Entwicklung eines Schedulers zur automatisierten Durchführung eines Security- Scans

Größe: px
Ab Seite anzeigen:

Download "Entwicklung eines Schedulers zur automatisierten Durchführung eines Security- Scans"

Transkript

1 Entwicklung eines Schedulers zur automatisierten Durchführung eines Security- Scans Zusammenfassung der Diplomarbeit von Nadja Schwalbach Erstprüfer: Prof. Dr. M. Leischner Zweitprüfer: Prof. Dr. K.W. Neunast Externe Betreuer: Manuel Atug, SRC GmbH, Bonn-N o r d Randolf Skerka, SRC GmbH, Bonn-N o r d

2 Inhaltsverzeichnis 1 Einleitung Motivation Zielsetzung der Arbeit Aufbau der Arbeit Projektbeschreibung und Rahmenbedingungen Begriffsdefinitionen S e c u r i t y-scan S e c u r i t y-scanner MasterCard Site Data Protection (SDP) Visa Account Information Security (AIS) SDP compliant Vendor AIS compliant Assessor Acquirer Payment Service Provider (PSP) Internet -Händler (electronic-commerce merchant) MasterCard Site Data Protection und Visa Account Information Security Ziele von MasterCard und Visa Gemeinsame Ziele Unterschiede Anforderungen von MasterCard Konzept zur Online Security Service Platform (OSSP) Kurze Erläuterung des Konzeptes zum Security-Scan von SRC Abgrenzung zu anderen S e c u r i t y-scannern Anforderungen an den Scheduler von MasterCard von SRC Bestehende Lösungen Scheduling Konzepte im Prozessscheduling Mechanismen zur Auslösung eines Ereignisses zu einem bestimmten Zeitpunkt Kommunikation im Netzwerk Sicherheitsma nagement und Realisierung von Kundenschnittstellen (User-Interface Design) Szenario zur Kombination aus Sicherheitsmanagement und User-Interface Design Entwicklung eines Schedulers zur automatisierten Durchführung eines Security- S c a n s Einleitung Use Cases Analyse der Use-Cases konzeptuelles Modell Exkurs Zeitzonen Konzept zur Darstellung der Termine Konzept zur Terminvereinbarung Termin -Scheduler Konzept zur Koordination der Scan-Tools Scan-Scheduler Kommunikation der Scheduler Konzept zur Garbage Collection und Wartungs- und Fehlerplan Oberfläche des Webinterfaces Design-Konzept Design der Oberfläche und Funktionen des Webinterfaces Fazit Literaturverzeichnis

3 1 Einleitung 1.1 Motivation Das Thema Sicherheitsmanagement wird immer wichtiger. Fast täglich werden Netzwerke über Sicherheitslücken im System, die häufig durch veraltete Software, fehlende Sicherheitsupdates oder Konfigurationsfehler entstehen, angegriffen. Dadurch entsteht erheblicher Schaden für die Betroffenen. Sicherheitsüberprüfungen durch einen Security-Scan bzw. Penetrationstest helfen Unternehmen das Geschäftsrisiko zu minimieren, indem Sicherheitslücken gefunden und geschlossen werden, bevor sie ein Angreifer ausnutzt. E i n S e c u r i t y-scan ist eine Methode zur Ermittlung von Schwachstellen in über ein Netzwerk erreichbaren Systemen und deren Diensten. Hierzu werden Werkzeuge (Security-Scanner) genutzt, welche automatisiert derartige Analysen (Vulnerability Assessment) durchführen. Security-Scanner können von einem System aus ein ganzes Rechnernetz auf Schwachstellen hin untersuchen und damit die Anfälligkeit gegenüber aktuellen Angriffen bestimmen. Ausgehend von diesen Analysen können Korrekturmaßnahmen definiert werden. Die Ergebnisse eines Security-Scans, sowie die Korrekturmaßnahmen selbst werden in einem Bericht festgehalten. Im Rahmen ihrer Dienstleistungen führt die Security Research & Consulting GmbH (SRC) S e c u r i t y- Scans unterschiedlicher über das Internet erreichbarer Serverumgebungen durch. Neben stark individuellen Security- Scans werden auch standardisierte Security-Scans durchgeführt. Derzeit läuft bei SRC ein internes Projekt zur automatisierten Durchführung eines Security-Scans auf der Basis verschiedener freier Analysewerkzeuge. SRC hat verschiedene Anforderungen an einen automatisierten Security- Scan definiert. Eine wesentliche Komponente ist hierbei die automatisierte Durchführung eines Security- Scans zu einem vom Benutzer bestimmbaren Zeitpunkt (Scheduler). Zu beachten ist, dass diese Schnittstelle benutzerfreundlich, also kundenorientiert, und sicher ist. Es wurden bereits verschiedene Vorarbeiten getätigt, auf die bei der Entwicklung des Schedulers aufgesetzt werden muss. Die Ergebnisse müssen sich in die bereits vorhandenen Komponenten einbinden lassen. 1.2 Zielsetzung der Arbeit Ziel der Arbeit soll die automatisierte Planung und Durchführung eines Security-Scans sein. Hierzu sollen im Rahmen der Diplomarbeit die Anforderungen des Unternehmens an einen Scheduler für automatisiert durchzuführende Security- Scans dargestellt und anschließend bisherige Ansätze analysiert werden. Hierauf aufbauend wird ein eigener Scheduler entwickelt und abschließend in das bestehende System integriert. Der Sc heduler soll unter anderem: - einem Nutzer online Termine für seinen individuell zusammengestellten Scan anbieten, - eine Action-Queue verwalten und abhängig von der Komplexität durchzuführender Scans und weiterer Parameter (z.b. Vermeidung paralleler Scans) einen neuen Eintrag in die Action - Queue hinzufügen, sowie - zum definierten Zeitpunkt einen Security- Scan des Ziels durchführen. Hierzu muss auch die Prozessverwaltung des zugrundeliegenden Betriebssystems betrachtet werden. -3 -

4 1.3 Aufbau der Arbeit Zu Beginn de r Arbeit wird ein Einblick in das Projekt zur Online Security Service Platform (OSSP) von SRC gewährt, um die Problematik und die Notwendigkeit für einen automatischen Security-Scan zu verdeutlichen. Dazu werden wichtige Begriffe erläutert und die Programme der Kreditkartenorganisationen MasterCard und Visa vorgestellt, die die Grundlage des Projektes bilden. Außerdem werden die in den Programmen formulierten Ziele und Anforderungen aufgeführt. Anschließend wird speziell auf den Scheduler, die Anforderungen an diesen und die derzeitige Lösung eingegangen; aber auch die Besonderheiten der OSSP und des Schedulers gegenüber anderen Online- Plattformen und automatischen Schedulern hervorgehoben. Nach der Darstellung der Hintergründe, der Voraussetzungen und der Problematik beinhaltet das nächste Kapitel die Grundlagen und bestehende Lösungen, die bei der Entwicklung des Schedulers berücksichtigt werden müssen. Hier werden u.a. die verschiedenen Scheduling Konzepte und ihr Nutzen für den Scheduler diskutiert. Auch Mechanismen zum Auslösen eines Ereignisses werden angeführt. Da diese Arbeit im umfassenden Rahmen der Themen Sicherheitsmanagement und Schnittstellengestaltung liegt, werden ihnen zwei Unterkapitel gewidmet und darauf aufbauend eine Kombination dieser Gebiete in Form der OSSP und des Schedulers dargestellt. Im vierten Kapitel werden die gewonnenen Erkenntnisse verwendet, um den Scheduler zum automatischen Security-Scan zu entwickeln. Um die Arbeit im zeitlichen Rahmen beenden zu können, wird sich auf die Entwicklung des Schedulers zur Planung eines Scans (Termin-Scheduler) konzentriert. Nach dem Prinzip der Softwareentwicklung werden für diesen Scheduler Use Cases erstellt. Nach Absprache und Kontrolle auf Vollständigkeit, werden Konzepte zur Umsetzung der Use Cases und damit zum Entwurf des Schedulers formuliert. Dazu gehören der Datenbankentwurf und die Darstellung der Schnittstelle sowie der Ablauf bei der Terminvereinbarung. Zudem wird ein Konzept für den Scheduler zur Koordination der Scan-Tools (Scan-Scheduler) während eines Security- Scans und für die Kommunikation der beiden Scheduler vorgestellt. Das fünfte Kapitel der Diplomarbeit enthält Informationen zur Implementierung der Module und stellt die durchgeführten Tests und deren Ergebnisse vor. In dieser Zusammenfassung fehlt dieses Kapitel aufgrund der Vertraulichkeit der Informationen. Im Fazit wird analysiert, ob die gesteckten Ziele erreicht wurden und mögliche Erweiterungen des Schedulers aufgezeigt. -4 -

5 2 Projektbeschreibung und Rahmenbedingungen Dieses Kapitel soll einen ersten Eindruck von der Idee der Online Security Service Platform (OSSP) und die Hintergründe zu diesem Projekt vermitteln. Dazu werden zunächst einige wichtige Begriffe erläutert, die zum Verständnis nötig sind. Darauf aufbauend werden die Programme der Kreditkartenorganisationen MasterCard und Visa und die von MasterCard gestellten Anforderungen an Vendors wie SRC kurz vorgestellt. Es folgt das grobe Konzept zum automatischen Security-Scan im Rahmen der OSSP und eine Abgrenzung zu a nderen Plattformen bzw. automatischen Scans. Abschließend werden die Anforderungen an den Scheduler beschrieben. 2.1 Begriffsdefinitionen Security-Scan Ein Security-Scan ist eine entfernte Überprüfung der Netzwerk -Infrastruktur auf eventuelle Schwächen und Sicherheitslücken, die ein Hacker für einen Angriff ausnutzen könnte. Er ist eine wesentliche Komponente des Penetrationstests Security-Scanner Ein Security- Scanner ist ein Tool mit dem ein Security- Scan durchgeführt wird. Bei einem Scan werden oft auch mehrere Tools eingesetzt. Eine Erweiterung um zusätzliche Tools ist ohne Probleme möglich MasterCard Site Data Protection (SDP) Site Data Protection (SDP engl. Standortdatenschutz; Schutz von gespeicherten Daten). SDP ist ein Programm von MasterCard International zur Verbesserung der Sicherheit von Kartendaten bei der Verarbeitung und Speicherung durch Internet-Systeme Visa Account Information Security (AIS) Account Information Security (AIS engl. Sicherheit der Kontoinformationen). AIS ist ein zu SDP ähnliches Programm von Visa International. Dieses soll auch die Sicherheit von Kartendaten bei der Verarbeitung und Speicherung durch Internet-Systeme verbessern. Dabei beschreibt Visa was erreicht werden soll, während MasterCard festlegt, wie die Ziele erreicht werden sollen SDP compliant Vendor AIS compliant Assessor Ein SDP compliant Vendor ist ein von der Kreditkartenorganisation MasterCard akkreditierter Partner. Visa nennt diesen Partner AIS compliant Assessor. Diese Partner kontrollieren anhand vorgegebener Maßnahmen regelmäßig, ob die Händler die ihnen auferlegten Standards einhalten. Die Vendors bzw. Assessors werden auf den Internetseiten von MasterCard und Visa veröffentlicht. SRC ist von beiden Organisationen akkreditiert Acquirer Acquirer sind Vertragspartner der Kreditkartenorganisationen MasterCard und Visa und der Händler oder Payment Service Provider (PSP; Erklärung siehe Kap ). MasterCard und Visa übertragen damit gewisse Verantwortlichkeiten für die Händle r an die Acquirer. Die Acquirer leiten die Transaktionen der Händler oder PSPs an die Organisationen weiter und dienen den Händlern damit als Schnittstelle zu MasterCard und Visa. Somit können die Kreditkartenorganisationen die Zugänge in ihr Netz besser kontrollieren, da sie diese auf wenige Acquirer beschränkt haben. -5 -

6 Jeder Internet-Händler, der das Bezahlen per Kreditkarte anbieten möchte, muss also einen Vertrag mit einem Acquirer abschließen. Die Acquirer müssen zudem darauf achten, dass ihre Händler die Standards von MasterCard und Visa einhalten, da auch ihnen ein Imageschaden und finanzieller Verlust bei Datenkompromittierung droht. Im Rahmen der OSSP entspricht ein Acquirer einem OEM -Partner von SRC, d.h. der Acquirer bekommt die Plattform und ihre Funktionen zur Verfügung gestellt, kann aber die Oberfläche individuell anpassen Payment Service Provider (PSP) Payment Service Provider sind eine Instanz zwischen den Händlern und den Acquirern. Sie dienen als Vermittler von Transaktionen zwischen diesen Parteien. Ein PSP schließt mit Händlern Verträge ab, hat aber mit den Acquirern, bei denen seine Händler unter Vertrag stehen nur eine Vereinbarung. Ein PSP nutzt über den Acquirer die Infrastruktur von MasterCard bzw. Visa und erleichtert den Geldtransfer zwischen Käufer und Händler. Außerdem nimmt er dem Händler gegebenenfalls das Speichern der Kreditkartendaten ab. Ein weiterer Vorteil, den PSPs bieten, sind integrierte Lösungen für den Zugang zu anderen Kreditkartenorganisationen. Wenn ein Händler außer MasterCard und Visa z.b. noch American Express als Zahlungsmittel anbieten möchte, und sein PSP unterstützt diese Transaktionen, dann kann er sich für dieses Netz freischalten lassen ohne selbst viel Aufwand betreiben zu müssen. Andere Payment Service Provider ähnliche Unternehmen sind Data Storage Entity (DSE), Member Service Provider (MSP) und Transaction Service Provider (TSP) Internet-Händler (electronic-commerce merchant) In diesem Dokument gelten Internet-Händler als Händler, die Produkte und Dienstleistungen im Internet verkaufen und dabei Kartenzahlung akzeptieren. Dabei ist electronic commerce (E-Commerce) der Austausch von Waren oder Dienstleistungen gegen Bezahlung zwischen einem Kartenbesitzer und einem Händler über elektronische Kommunika tion. (vgl. Mas03, Glossary-2 ) 2.2 MasterCard Site Data Protection und Visa Account Information Security Aufgrund der elektronischen Durchdringung vieler bankbetrieblicher Prozesse zur Verbesserung der Geschäftsprozesse und eine Öffnung von Teilen der IT -Infrastruktur nach Außen zum Ermöglichen von Internetbanking entstehen für Banken und Kreditkartenorganisationen neue Risiken. Diese werden unter dem Begriff operationelle Risiken zusammengefasst. Nach Verabschiedung einer neuen Eigenkapitalrichtlinie für Kreditinstitute (Basel II) durch den Baseler Ausschuss für Bankenaufsicht müssen die operationellen Risiken nun mit Eigenkapital hinterlegt werden. Damit trägt die Reduzierung operationeller Risiken zum wirtschaftlichen Erfolg eines Kreditinstituts bei. Diese Richtlinie und die steigenden Missbrauchsraten bei der Nutzung von Kreditkarten für Zahlungen im Internet veranlassten die Kreditkartenorganisationen MasterCard International und Visa International dazu, die Programme MasterCard Site Data Protection (SDP -engl. Standortdatenschutz; Schutz von gespeicherten Daten) und Visa Account Information Security (AIS engl. Sicherheit der Kontoinformationen) zu initiieren, um die Sicherheit von Kartendaten bei der Verarbeitung und Sp eicherung durch Internet-Systeme zu verbessern. Die Regularien der Kreditkartenorganisationen fordern von E-Commerce-Händlern gegenüber ihren Acquirern nachzuweisen, dass sie angemessene technische und organisatorische Sicherheitsmaßnahmen getroffen haben, die eine Kompromittierung von Kartendaten wirksam verhindern. -6 -

7 Die Programme richten sich dementsprechend nur an Händler, die Kreditkartendaten speichern oder lokal verarbeiten. Händler, die sich eines Payment Service Providers bzw. einer Data Storage Entity bedienen, sind von der Umsetzung nicht betroffen. (vgl. SRC03, S. 1) Im Rahmen des SDP Programms hat MasterCard unter anderem ein Pflichtenheft speziell für die akkreditierten Partner entworfen, das MasterCard Security Standard Applicable to Vendors (Mas03). 2.3 Ziele von MasterCard und Visa Gemeinsame Ziele MasterCard und Visa wollen mit ihren Programmen erreichen, dass die Sicherheit der Kartendaten bei der Speicherung und Verarbeitung durch die Internetsysteme verbessert, und die Kompromittierung der Daten durch angemessene organisatorische und technische Maßnahmen verhindert wird. Ziel ist damit eine langfristige Sicherung der Daten, um Imageschäden und finanzielle Verluste zu vermeiden Unterschiede Dabei gibt MasterCard mittels der Anforderungen an den Vendor genau vor, wie die Überprüfung der technischen Strukturen der Händler stattfinden soll. Visa dagegen beschreibt, was erreicht werden soll und welche Maßnahmen regelmäßig durchzuführen sind. Dazu gehören die jährliche Bewertung mittels Fragebogen und ab einer bestimmten Transaktionsmenge ein jährlicher Security-Scan und der OnSite-Review alle zwei Jahre. (vgl. SRC03, S. 1) Wie diese Überprüfung te chnisch abläuft, ist den Vendors überlassen. SRC hat die technische Überprüfung mit Visa abgesprochen und vereinbart. Bei Neuerungen werden auch neue Verhandlungen geführt. SRC kann die technische Überprüfung, die MasterCard vorschreibt, größtenteils auch für Visa verwenden. Daher folgen nun die Anforderungen, die MasterCard an Vendors stellt und die implizit auch für Assessors von Visa gelten. 2.4 Anforderungen von MasterCard In diesem Kapitel werden nun die Anforderungen, die MasterCard laut MasterCard Security Standard Applicable to Vendors ( Mas03) an SDP -compliant vendors wie SRC stellt, aufgeführt. Das Manual enthält die funktionalen und technischen Standards für einen sicheren Web -Scan, der von akkreditierten Partnern (V endors) durchgeführt wird. Die beschriebenen Anforderungen müssen alle Vendors erfüllen, die MasterCard konform (compliant) arbeiten wollen. MasterCard überprüft die Einhaltung regelmäßig und veröffentlicht seine Vendors auf einer Internetseite. Diese Anforderungen betreffen nur den Security- Scan. Die Anforderungen an den Fragebogen, den alle Händler beantworten müssen, werden im Standard für die Händler definiert und sind nicht Gegenstand dieser Arbeit. Die Anforderungen an den Scheduler, der für die Akkre ditierung nicht erforderlich ist, werden zunächst nicht berücksichtigt, da diese im Kapitel Anforderungen von MasterCard und Visa an den Scheduler als Kernstück für das Thema dieser Ausarbeitung separat behandelt werden. Das Manual schreibt den Vendors für den Automated Web-based Scanning Service vor, das diese ihre Dienstleistungen nur über eine Webseite anbieten dürfen. Nach der manuellen Verifikation und Authentisierung des E-Commerce-Händlers, soll dieser die Webseiten des Vendors mittels Eingabe eines Nutzernamens und Passwortes nutzen können. Hier soll der Händler u.a. einen Scan konfigurieren und verwalten können. Die Ergebnisse des Scans werden in einer Datenbank gespeichert. Somit ist es dem Nutzer möglich, Scan-Tools über das Internet zu nutzen. Die Hauptschnittstelle zwischen Nutzer (Händler oder PSP) und Vendor ist die Webseite. Sie kommunizieren über den Webbrowser. -7 -

8 Die Webseite des Vendors sollte dem Nutzer folgende Funktionen anbieten: - Registrierung als Händler - Konfiguration und Änderung d es Nutzerprofils - Anlegen und Verwalten eines Scans - Einsehen der Scan-Ergebnisse (vgl. Mas03, S. 2-1 bis 2-4) Dazu definiert MasterCard Anforderungen an - die Schnittstelle Vendor E-Commerce-Händler, - die Registrierung, - das Scan Management, - die Scan -Tools und - den Report. Die Anforderungen können im MasterCard Security Standard Applicable to Vendors (M a s 0 3) nachgeschlagen werden, weshalb in dieser Zusammenfassung nicht weiter darauf eingegangen wird. Basierend auf diesen Anforderungen hat SRC das im Folgenden erläuterte Konzept entworfen. 2.5 Konzept zur Online Security Service Platform (OSSP) SRC ist ein von MasterCard und Visa autorisierter Zertifizierer von Internet- Händlern (Merchants) und P SPs. Diese werden von MasterCard und Visa verpflichtet, ihre Systeme regelmäßig auf Konformität (engl. Compliance) zu den Vorgaben der Organisationen überprüfen zu lassen. Um der Anforderung gerecht zu werden, dass die Händler keine zusätzliche Software fü r die Sicherheitsüberprüfung ihrer Systeme installieren dürfen, hat SRC das Webinterface OSSP (Online Security Service Platform) entworfen. Mittels dieser Plattform können Händler und PSPs alle Aktionen steuern, die zur Erfüllung der Compliance nötig sind. OSSP ist ein datenbankbasiertes Websystem. Es besteht aus mehreren Datenbanken, die jeweils für einen Teilbereich des Systems zuständig sind. Alle verwendeten Datenbanken und Tabellen sind im OSSP Datenbankmodell (SRC04a) beschrieben. Für Administrator, Acquirer, PSPs und Händler bietet OSSP unterschiedliche Oberflächen, da jeder andere Aufgaben und Berechtigungen hat. Diese Oberflächen sind unabhängig von den Scripten implementiert. Für jede Nutzergruppe und Sprache existiert ein separater Ordner. Bevo r die Seiten benutzt werden können, müssen diese in eine Tabelle der Datenbank geschrieben werden. Aus dieser laden Scripte eine HTML- Seite mit gleichem Namen und generieren die Seite dynamisch. Über die Startseite wird bestimmt, in welchem System der Nutzer sich befindet. So rufen z.b. alle, die das System ausprobieren und testen wollen, die Seite des Demo-Acquirers auf. Nach dem Anmelden wird die Kundenidentifikation und die Sprache des Kunden bei jedem Schritt übergeben, so dass immer die richtige Oberfläche angezeigt wird. So können die Nutzergruppen speziell ihre Funktionen nutzen und die von den Kreditkartenorganisationen gestellten Aufgaben erfüllen. Ein weiterer umfangreicher Bestandteil der OSSP ist der Security-Scan. Da der Scheduler diesen steuern soll, wird das Konzept zum webbasierten Security- Scan im nächsten Kapitel separat behandelt. -8 -

9 2.6 Kurze Erläuterung des Konzeptes zum Security-Scan von SRC Abgrenzung zu anderen Security-Scannern Die von SRC eingesetzten Tools überprüfen aktuell bekannte Schwächen von Netzwerkkomponenten, Betriebssystemen und Applikationen und sind damit geeignet, sich einen aktuellen Überblick über die tatsächlichen Risiken eines Angriffs aus dem Internet zu verschaffen, oder aber die Wirksamkeit von IT -Sicherheitsmaßnahmen zum Schutz personenbezogener Daten entsprechend den Vorgaben des Bundesdatenschutzgesetzes (BDSG) zu überprüfen. SRC verwendet verschiedene Security- S c a n n e r ( S c a n-tools), um von Herstellern und Service Providern unabhängig zu bleiben und eigene Erweiterungen einbringen zu können. Die Entwicklungsgemeinde reagiert schnell auf neue Schwächen und SRC aktualisiert die Scan-Tools regelmäßig. Nach einer Aktualisierung werden die Tools zunächst an eigenen Systemen getestet, um Fehlfunktionen auszuschließen. So sind immer die aktuellsten Sicherheitstests für neu entdeckte Sicherheitslücken vorhanden. Die Penetrationstest wurden zunächst speziell für den Einsatz im Bereich des E- Payment entwickelt, können aber über die OSSP auch von jedem anderen Nutzer, der sein System von außen überprüfen lassen möchte, in Anspruch genommen werden. Nach ausführlicher Recherche und Einholung von Informationen über Onlineplattformen und S e c u r i t y-scannern anderer Firmen wurde deutlich, dass eine Plattform wie die OSSP zur Zeit nicht auf dem Markt existiert. Somit hat SRC hier eine Vorreiterrolle und auch einen Marktvorteil. 2.7 Anforderungen an den Scheduler Für die Entwicklung des Schedulers sind besonders die Anforderungen an diesen zu berücksichtigen. Daher werden diese nun separiert nach MasterCard und SRC aufgeführt von MasterCard Der SDP konforme Vendor - muss dem E-Commerce-Händler oder PSP eine einfache Bestellmöglichkeit bieten. - soll dem E-Commerce-Händler oder PSP die Möglichkeit bieten, einen Scan unmittelbar zu starten. Diese Option wurde von SRC insofern abgewandelt, dass diese Funktion dem Administrator vorbehalten bleiben muss, da immer eine Vorbereitungszeit benötigt wird. - muss eine benutzerfreundliche intuitive Schnittstelle anbieten, die das Hinzufügen, Ändern und Löschen von geplanten Scans ermöglicht. - muss dem E -Commerce-Händler oder PSP die Option anbieten, einen laufenden Scan abzubrechen. - muss den E-Commerce-Händler oder PSP darauf hinweisen, dass die MasterCard compliance (Konformität) ausläuft. - muss den E- Commerc e-händler oder PSP per informieren, wenn neue Vulnerabilities entdeckt und zur Knowledge base hinzugefügt werden. - muss den E-Commerce-Händler oder PSP per informieren, dass ein Scan gestartet wird. - muss den E-Commerce-Händler oder PSP per informieren, dass ein Scan fertig ist. - muss dem E-Commerce-Händler oder PSP die Möglichkeit bieten, einen Rescan nur über die korrigierten Schwachstellen durchzuführen. Auch diese Option wird von SRC verschärft, da eine korrigierte Schwachstelle immer neue Schwachstellen nach sich ziehen kann. Somit führt SRC nur vollständige Rescans durch. (vgl. Mas03, S. 2-6). -9 -

10 von SRC Nun erfolgt eine Darstellung der Anforderungen, die SRC zusätzlich an den Scheduler stellt. Das Sys tem ist modular und dynamisch konzipiert, daher soll auch der Scheduler diese Eigenschaften erhalten. Da der Scan webbasiert ist, und die Weboberfläche die einzige Kundenschnittstelle darstellt, soll bei ihrer Erstellung besonders auf die Benutzerfreundlichkeit geachtet werden. Hierzu ist die Mehrsprachigkeit der Darstellung wichtig, damit der Benutzer seine Sprache wählen kann. Diese Sprachfunktion ist von der eigentlichen Funktion der Seiten zu trennen. Die HTML-Seiten werden durch Skripte erzeugt. Auch der Scheduler soll über Scripte konzipiert werden, damit er in das vorhandene Konzept eingebunden werden kann. Eine weitere Anforderung von SRC ist, dass die Termine in der jeweiligen Ortszeit des Kunden angezeigt werden. Da SRC plant, die Scans weltweit anzubieten, müssen folglich auch alle Zeitzonen, sofern standardisiert, berücksichtigt werden. Im Kapitel Exkurs Zeitzonen wird das Problem der Zeitzonenumrechnung und die gefundene Lösung dargestellt. Um dem Kunden die Terminauswahl zu vereinfachen, sollen ihm drei Termine zur Auswahl angezeigt werden, wobei der früheste Termin mindestens einen Arbeitstag später sein soll, damit SRC genügend Vorbereitungszeit hat. Auch soll der Kunde als vierte Auswahl die Möglichkeit haben, selbst einen Termin zu bestimme n. Weiterhin soll die Zeitangabe zwar eingeschränkt werden können, aber dennoch hohe Flexibilität haben. Ein definierter Abbruch des Scans muss sowohl für Nutzer als auch für Administrator möglich sein. Die Scantermine müssen hinzugefügt, geändert und gelö scht werden können. Zusätzlich zum Webinterface des Kunden soll es auch ein Webinterface für den Administrator geben. Hier kann der Administrator seinerseits Termine eintragen, zu denen kein Scan stattfinden kann, da z.b. Wartungsarbeiten anstehen oder aber kein für die Scans zuständiger Mitarbeiter im Haus ist. Außerdem soll er sich unter dieser Oberfläche alle Termine unter verschiedenen Filtern ansehen und diese zudem modifizieren oder einen Termin für einen Kunden eingeben können. Es muss auch einkalkuliert werden, dass die Anzahl der Scanaufträge so groß wird, dass ein Penetrator allein die Aufträge nicht bewältigen kann. Der Penetrator ist der Server, der die Scans durchführt. Daher muss dem Administrator auch eine Oberfläche bereitgestellt werden, auf der er die Penetratoren verwalten kann. Der Scheduler muss folglich nicht nur die Termine sondern auch den Ort des Scans verwalten. Der Administrator soll dem Scheduler sagen können, wie viele Scans gleichzeitig ablaufen können, sowie welcher Penetrator jeweils den Scan übernimmt. Das ganze System basiert auf mehreren kombinierten Datenbanken, weshalb auch für die Security- Scans, die der Scheduler verwaltet, eine Datenbank angelegt werden soll. Diese muss entwickelt werden und in das existierende System eingegliedert werden können. Liegen zwischen der Terminvereinbarung und dem eigentlichen Scantermin mehr als zwei Wochen, sollen der Nutzer der Scan-Dienstleistung und der Administrator jeweils zwei Wochen, eine Woche und zwei Tage vor Beginn des Scans per informiert werden, um den Termin nicht zu vergessen. Außerdem soll immer eine Stunde vor Beginn eines Scans eine an den Nutzer und den Administrator gesendet werden, damit diese die nötigen Vorbereitungen treffen können. Unmittelbar nach Beendigung des Scans soll der Administrator informiert werden, um das Resultat kontrollieren und darauf basierend manuell nachtesten zu können, bevor eine weitere an den Nutzer gesendet wird, dass das Scanergebnis eingesehen werden kann. Diese soll dr eißig Minuten nach Beendigung des Scan gesendet werden. Im Gegensatz zu der Forderung von MasterCard verlangt SRC, dass ein Rescan immer vollständig erfolgen muss, da eine Änderung an einer Vulnerability Gesamtkonfigurationsänderungen mit sich ziehen kann

11 Wenn der Kunde vier Scans ordert, muss er auch direkt vier Termine (im Abstand von drei Monaten) festmachen. Die Termine können in einem Zeitfenster von 14 Tagen verschoben werden. Obwohl für den Kunden nur die Möglichkeit bestehen soll, einen Termin einen Arbeitstag später zu erhalten, soll der Administrator einen Scan zu jeder vollen Stunde starten können. Das heißt, wenn er z.b. um 11:45 Uhr den Befehl Scan anlegen ausführt, soll er als Termin bereits 12:00 h wählen können. Hier muss beachtet werden, dass die Mail, die unmittelbar geschickt wird, den Text enthält: der Scan beginnt in... Minuten. und nicht in einer Stunde. Weiterhin wird verlangt, dass die Daten ständig konsistent sind

12 3 Bestehende Lösungen In diesem Kapitel werden relevante existierende Konzepte und Methoden zum Thema Scheduling, Prozesssteuerung, Webdesign und Sicherheitsmanagement dargestellt. Zudem wird diskutiert, ob und wie diese bei der Entwicklung des Schedulers angewendet werden können. 3.1 Scheduling Im Bereich der Betriebssysteme existieren für das Scheduling bereits viele bekannte und gut ausgearbeitete Konzepte. Da für das Scheduling eines automatisierten Security- Scan noch keine Ausarbeitungen zur Verfügung stehen, müssen die vorhandenen Konzepte auf ihre Verwendbarkeit hin analysiert werden. In dieser Zusammenfassung wird nur das Ergebnis dieser Analyse dargestellt. Im vierten Kapitel werden dann die Ergebnisse für die Entwicklung des neuen Konzeptes verwendet Konzepte im Prozessscheduling Es gibt grundsätzlich zwei Ar ten des Schedulings, das Langzeitscheduling und das Kurzzeitscheduling. Mit Langzeitscheduling bezeichnet man das Planen der Jobausführung und mit Kurzzeitscheduling die Strategie zur Zuweisung des Prozessors an Prozesse (vgl. Bra04, S. 26f). Beim Scheduler für den automatischen Security- Scan kann man eine ähnliche Einteilung vornehmen. Hier ist das Langzeitscheduling die Terminvereinbarung mit dem Kunden, während das Starten der Scan -Tools und die Durchführung des Scans dem Kurzzeitscheduling zuzuordnen ist. Beim Langzeitscheduling wird darauf geachtet, dass immer genügend Kapazität für die Jobs zur Verfügung steht. Es beschreibt eine intelligente Verwaltung der Systemlast. Also muss auch bei der Terminvereinbarung beachtet werden, dass die Zeiträume verfügbar sind, die für die erfolgreiche Durchführung eines ausgewählten Scans benötigt werden. Im Bereich der Betriebssysteme hat das Kurzzeitscheduling eine sehr viel größere Bedeutung, weshalb hier bereits viele Schedulin gstrategien bestehen. Nach ausführlicher Diskussion der Strategien wurde für den Scan-Scheduler das Prinzip der multiplen Warteschlangen aus dem Multi-level-Scheduling gewählt. 3.2 Mechanismen zur Auslösung eines Ereignisses zu einem bestimmten Zeitpunkt Eine weitere Aufgabe des Schedulers ist es, den Security-Scan zu dem vereinbarten Termin zu starten. Zum Auslösen von Ereignissen zu einem bestimmten Zeitpunkt gibt es in der Informatik mehrere Mechanismen. Für den Scheduler kann der Trigger, der Cron-Job oder ein Perl-Daemon verwendet werden. 3.3 Kommunikation im Netzwerk Die verteilte Datenhaltung im OSSP benötigt eine Kommunikation über das Netzwerk von SRC, um den Scan anzustoßen. Da das Starten und Beenden eines Security-Scans kontrolliert ablaufen soll, kommt hier nur eine Verbindung über das verbindungsorientierte Transmission Control Protocol (TCP) in Frage. Diese Verbindung muss geschützt werden. In der Diplomarbeit wurden dazu die Vorund Nachteile von IPsec (Internet Security Protocol) und SSH (Secure Shell) diskutiert

13 3.4 Sicherheitsmanagement und Realisierung von Kundenschnittstellen (User-Interface Design) OSSP ist eine Plattform, auf der SRC seinen Kunden Sicherheitsdienste anbietet. MasterCard und Visa verlangen von den E- Commerce Händlern ein aktives Sicherheitsmanagement ihrer Systeme. Im Rahmen dieses Sicherheitsmanagements nutzen Händler OSSP als externe Dienstleistung. Da OSSP nur über eine Webschnittstelle zum Kunden verfügen darf, müssen bei der Entwicklung von OSSP und dem zugehörigen Scheduler a uch die Konzepte zum User- Interface Design berücksichtigt werden. Somit stellt der Scheduler innerhalb von OSSP und OSSP selbst umfassend betrachtet eine Kombination aus IT -Sicherheitsmanagement und Realisierung einer nutzerfreundlichen Webschnittstelle dar. Im Rahmen der Diplomarbeit wurden zunächst die bestehenden Konzepte zum Sicherheitsmanagement allgemein und besonders zum IT - Sicherheitsmanagement für Kreditinstitute und zum User-Interface Design kurz vorgestellt. Anschließend wurde mit den gewonnenen Erkenntnissen das nachfolgende Szenario entworfen Szenario zur Kombination aus Sicherheitsmanagement und User-Interface Design SRC wurde als unabhängiges Beratungsunternehmen von den vier kreditwirtschaftlichen Verlagen Bank-Verlag, Deutscher Genossenschaftsverlag, Deutscher Sparkassenverlag und VÖB-ZVD Bank für Zahlungsverkehrsdienstleistungen gegründet. SRC bündelt aktuelles Know-how zur Sicherheit in der Informationstechnik und berät und unterstützt ihre Kunden bei der Konzeption, der Spezifikation, der Implementierung, dem Betrieb und der Begutachtung sicherer Systeme. (vgl. SRC02, S.15) Darunter fällt auch die Unterstützung bei der Implementierung eines zertifizierbaren Sicherheitsmanagements und im Bereich Netzwerksicherheit die Durchführung von Security Audits, Security Assessments, Penetrationstests und Risikoanalysen. SRC bietet somit aktives IT -Risikomanagement, welches ein Teilgebiet des IT -Sicherheitsmanagements ist. (vgl. SRC02, S.5-10) Mittels der Online-Plattform OSSP wird dieser Managementprozess nun größtenteils automatisiert. Da jetzt aber nicht mehr nur Spezialisten die Sicherheitsmanagementprozesse steuern, muss OSSP als Software-Produkt, das online angeboten wird, die Usability in den Mittelpunkt der Entwicklung stellen, um Fehler bei der Bedienung zu vermeiden und damit die Sicherheit zu garantieren. Außerdem müssen alle Funktionen für den Nutzer der Plattform logisch aufgebaut sein und Abläufe verständlich dargestellt werden, um sein Vertrauen in das Produkt zu gewinnen und eine schnelle Durchführung der nötigen Prozesse zu ermöglichen. Denn für die Internet-Händler, die zur Zeit den Benutzerkreis darstellen, ist z.b. die jährliche Beantwortung des Fragebogens Pflicht. Die Fragen werden von den Kreditkartenorganisationen vorgegeben. Zum besseren Verständnis der Fragen wurden in OSSP zusätzliche Hinweistexte formuliert, die über einen Fragezeichenbutton aufgerufen werden können. Auch bei der Entwicklung und Gestaltung der Oberfläche zur Terminvereinbarung wird ein Schwerpunkt auf die Usability gelegt. Der Benutzer soll seine Termine möglichst komfortabel und ohne großen Aufwand wählen können. Weiterhin soll er Funktionen zur Modifizierung der Termine erhalten. SRC hat zwar ein definiertes Vorgehen bei der Softwareentwicklung, das eher dem Wasserfall-Modell entspricht. Dennoch werden in den einzelnen Stadien der Entwicklung immer wieder andere Kollegen, die nicht mit dem Projekt betraut sind, um ihre Meinung zur Usability gebeten. Somit erfolgt eine ständige Evaluation der Software, wie es das Life -C y c l e -Modell im Usability- Engineering beschreibt (vgl. Sch03, S.51). Die endgültigen Tests werden von SRC -Mitarbeitern aus anderen Projekten und einigen Mitarbeitern der Acquirer durchgeführt. Erst wenn diese Tests erfolgreich abgeschlossen wurden, werden die entsprechenden Module, wie z.b. der in dieser Arbeit zu entwickelnde Scheduler für die Online-Version freigegeben. Bei der Programmierung sind Richtlinien zur Erfüllung der hohen Sicherheitsanforderungen von SRC zu beachten. So darf nur reiner HTML-Code zur Erstellung der Oberflächen benutzt werden, weil Sprachen wie JavaScript potentielle Gefahren bergen. Zudem müssen sich alle Entwickler an die Programmierrichtlinien halten, um eine einheitliche Struktur und eine gute Dokumentation zu schaffen

14 4 Entwicklung eines Schedulers zur automatisierten Durchführung eines Security-Scans 4.1 Einleitung In diesem Kapitel wird ein Kern der Arbeit, die konzeptionelle Entwicklung des Schedulers, beschrieben. Zunächst werden die in Kapitel 2. 7 definierten funktionalen Anforderungen an den Scheduler in einem Anwendungsfalldiagramm oder Use Case Model dargestellt, um diese noch einmal bewu sst zu erfassen. Diese Notation zur Visualisierung der Use Cases (dt. Anwendungsfälle) wurde von Jacobson entworfen. Sie stellt die Use Cases als primäre Elemente der Softwareentwicklung dar. Zusätzlich werden die Akteure dargestellt. Das sind die vom Anwe nder in Bezug auf das System, welches hier der Scheduler ist, eingenommenen Rollen. (vgl. F ow98, S. 54f) Im folgenden Kapitel werden die Konzepte und Szenarien zur Umsetzung der Anforderungen im System soweit möglich vorgestellt. Details werden aufgrund der Vertraulichkeit der Informationen nicht erwähnt. So können das Konzept zur Darstellung der Termine für den Kunden und das zur Terminvereinbarung nur rudimentär erläutert werden. Der Datenbankentwurf zur Datenbank, die alle für den Scheduler benötigten Tabellen enthält, entfällt vollständig. Zur Darstellung der Termine sind die Zeitzonen relevant. Aus diesem Grund wird ein Exkurs über die Zeitzonen eingeschoben. Abschließend wird das Design der Oberfläche präsentiert

15 4.2 Use Cases Fachbereich Ve r w a l t e S c a n -T e r m i n e Nutzer Ve re in b a r e S c a n -Te r min e B r e c h e S c a n a b benutzt e r weitert e r weitert benutzt Ve re i n b a r e Ve re i n b a r e E in -S c a n Vie r- S c a n s W e b i n t e r f a c e benutzt Ve r w a lt e P e n e t r a t o r e n benutzt Administrator benutzt S e t ze S c a n t e r m in S t a r t e S c a n OEM B e o b a c h t e S c a n -Te r min e benutzt B e e n d e S c a n K o o r d i e n i e re S c a n G a r b a g e C o l l e c t i o n Verwalter Abbildung 1: Use Case Diagramm zum Scheduler 4.3 Analyse der Use-Cases konzeptuelles Modell Die Analysephase der Softwareentwicklung befasst sich mit der internen Sicht des Systems. Hier wird überlegt, wie die Use Cases umgesetzt werden können. Bei der Modellierung der Use Cases wurde geklärt, was das System tun muss. In diesem Kapitel wird nun überlegt, wie das System die genannten Use Cases umsetzt. Dazu werden die Entwürfe für - die Darstellung der Termine (für die ein Exkurs über die Zeitzonen nötig ist), - die Terminvereinbarung und die Speicherung der Termine in der Datenbank, - das Vorgehen bei Ausfall eines Penetrators und - die Oberfläche des Webinterfaces umrissen. Eine detaillierte Beschreib ung ist in der Diplomarbeit nachzulesen. Während der Konzeptionierung wurde deutlich, dass der Scheduler eigentlich aus zwei Schedulern mit unterschiedlichen Aufgaben besteht. Der eine Scheduler (Termin -Scheduler) ist für die Terminvereinbarung und das Sta rten und Beenden eines Security- Scans zuständig und der zweite (Scan -Scheduler) für die Koordination der Scan-Tools während eines Scans

16 Diese Zuständigkeiten werden im Konzept zur Terminvereinbarung Termin -Scheduler und im Konzept zur Koordination der Scan-Tools Scan-Scheduler dargestellt. Da die Implementierung der Terminvereinbarung bereits sehr aufwendig ist, wird für den Scheduler, der den Scan koordiniert, und für die Kommunikation zwischen den beiden Schedulern nur ein Konzept entworfen. Die Implementierung des Scan -Schedulers ist nicht Gegenstand der Diplomarbeit Exkurs Zeitzonen Wie im Anwendungsfall Webinterface erwähnt, ist eine Anforderung, dass den Kunden alle Termine in ihrer Zeit angezeigt werden sollen, um die Auswahl für die Benutzer zu vereinfachen und ihnen die Umrechnung zur Coordinated Universal Time (UTC), in der die Termine gespeichert werden, zu ersparen. Die Termine werden in UTC gespeichert, weil die Koordinierte Weltzeit UTC (Coordinated Universal Time entspricht Greenwich Mean Time -GMT) die internationale Grundlage für die Zeitbestimmung im täglichen Leben, aber auch für wissenschaftlich-technische Anwendungen in der Astronomie, Geodäsie, Navigation und Telekommunikation ist. (vgl. P t b 0 4) Da SRC seinen Kunden empfiehlt, das Zeitprotokoll aus Sicherheitsgründen abzuschalten, müssen die Zeitdifferenzen also lokal vorhanden sein und bei der Darstellung der Termine abgerufen werden können. Da das ganze System datenbankbasiert aufgebaut ist, sollen auch die Zeitdifferenzen in einer Tabelle abgelegt werden. Nun stellt sich nur noch die Frage, wie detailliert die Zeitdifferenzen festgehalten werden müssen, um jedem Benutzer seine lokale Zeit darstellen zu können. So existieren im Internet Seiten (z.b. die die Uhrzeit jedes Landes anzeigen. Da jeder Benutzer bei der Registrierung sein Land angeben muss, könnte so die Zeit unmittelbar zugeordnet werden. Allerdings ist der Verwaltungsaufwand für eine länderbasierte Tabelle mit Zeitdifferenzen zur UTC sehr hoch, da diese durch Sommer- und Winterzeitwechsel ständig aktualisiert werden müsste. Bei der riesigen Anzahl an Ländern und den unterschiedlichen Regelungen zur Sommerzeit in den Ländern, würden hierfür zu viele Ressourcen verbraucht. Aus diesem Grund wurde sich darauf geeinigt, die Zeitzonen als Zeitreferenz zu nutzen. Doch auch diese Lösung ist nicht trivial, weshalb nun eine kurze Darstellung zum Thema Zeitzonen folgt. Die Zeitzone ist ein Gebiet der Erde, in dem vereinbarungsgemäß die gleiche Uhrzeit (Zonenzeit) gilt wurde eine Einteilung der Erde in Zeitzonen festgelegt, die im wesentlichen bis heute beibehalten wurde. 24 Meridiane, jeweils 15 voneinander entfernt, sind die Mittellinien von 24 Zeitzonen. In der Praxis wurde der Verlauf der Grenzen zwischen den einzelnen Zonen vor allem den politischen Grenzen angepasst (zusätzliche Abweichungen entstanden durch Sommer- und Winterzeit). (vgl. Kal04b) Die Sommerzeit ist eine während der Sommermonate, gelegentlich aber auch während des ganzen Jahres, meist um eine Stunde gegenüber der Zonenzeit (= Ortszeit eines bestimmten Längenkreises (Meridians) der Erde (vgl. Kal04c )) vorverlegte Uhrzeit. Gelegentlich wird auch eine doppelte Sommerzeit eingeführt, die gegenüber der eigentlichen Zonenzeit um zwei Stunden vorauseilt. [...] Als Erfinder der Sommerzeit gilt der US-Physiker Benjamin Franklin. Der hatte 1784 bei einer Paris- Reise festgestellt, dass viele Menschen dort spät zu Bett gingen und den Morgen verschliefen. Franklin rechnete aus, wie viele Kerzen gespart werden könnten, wenn die Menschen früher aufstehen würden. Deutschland war schließlich das erste Land, dass die Sommerzeit im Kriegsjahr 1916 (bis 1919) einführte, um Kohle für Beleuchtungszwecke zu sparen. Diese Rechnung ging auf. (vgl. Kal04a) In den nächsten Jahrzehnten wurden Somme rzeiten in vielen Ländern oder Staaten aus Energiespargründen und zur besseren Nutzung des Tageslichtes eingeführt und wieder verworfen. Die Regelungen waren oft aber länderintern wie z.b. in den USA nicht einheitlich, was für viele Konfusionen sorgte. Ers t 1986 wurde in den USA ein Gesetz zur einheitlichen Festlegung der Sommerzeiten (engl. Daylight Saving Time) verabschiedet. (vgl. Web04a) In Deutschland wurde die Sommerzeit während der Kriegsjahre und dann erst wieder eingeführt. Die Einführung der Sommerzeit wurde durch Rechtsverordnungen der Bundesregierung bekannt gemacht. Die aktuelle Verordnung (Bundesgesetzblatt 2001 Teil 1, Nr. 35, S. 1591, Juli 2001) legt fest, dass ab dem Jahr 2002 die mitteleuropäische Sommerzeit (MESZ) auf unbestimmte Zeit eingeführt wird, und zwar

17 immer zwischen dem letzten Sonntag im März und dem letzten Sonntag im Oktober. (vgl. P t b 0 4 ) Mit dieser Verordnung wurde die europäische Regelung zur Sommerzei t (RICHTLINIE 2000/84/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 19. Januar 2001 zur Regelung der Sommerzeit) in Deutschland umgesetzt. Mit dieser Richtlinie wurde für alle Staaten der EU eine einheitliche Regelung zum Wechsel zwischen Sommer- und Winterzeit geschaffen. (vgl. Eur01 ) Zeitzonen werden im allgemeinen durch einen Code aus drei Zeichen dargestellt, wie GMT oder PST, aber es gibt keinen internationalen Standard, der diese dreibuchstabigen Zeitzonenbezeichnungen definiert. Sie werden durch lokale Standards festgelegt, und es ist möglich, dass es doppelte Zeitzonencodes gibt. Der internationale Standard zur Darstellung von Zeitzonen ist ein Ein-Zeichen- Code. (vgl. Pat99, S.84) Er orientiert sich am Alphabet und ist auf der folgenden Weltzeitzonenkarte dargestellt: Abbildung 2: Weltzeitzonenkarte (Tim04) Z ist der Nullmeridian und entspricht der UTC. Da diesen standardisierten Ein - Zeichen -Code aber viele Nutzer nicht kennen und er außerdem die Sommerzeitbezeichnungen nicht berücksichtigt, werden dem Nutzer die Zeitzonen im Drei- Zeichen- Code und in der ausgeschrieben Form angezeigt. Hier wird darauf geachtet, dass es nicht gleiche Abkürzungen zu verschiedenen Zeitzonen gibt. Wie bereits erwähnt, gibt es in ca. 70 Ländern die Sommerzeitverschiebung. Deshalb müssen für die richtige Darstellung die Regelungen für die Sommerzeiten berücksichtigt werden

18 4.3.2 Konzept zur Darstellung der Termine Die Termine werden in Unixsekunden in UTC in der Datenbank gespeichert. Jeder Benutzer soll die Termine für den Security- Scan aber in seiner Ortszeit auswählen und verwalten können. Zur Lösung dieses Problems werden zwei Tabellen angelegt, über die die Anzeige der Ortszeit gesteuert wird. Der Benutzer wird bei der Registrierung gebeten, seine Zeitzone auszuwählen. Wählt der Nutzer keine Zeitzone, werden ihm alle Termine in UTC angezeigt. Nachdem die Zeitzone gewählt ist, werden dem Kunden alle Termine in seiner Zeit und zur Absicherung auch in UTC, welche die geltende Zeit ist, angezeigt. Denn unabhängig von der Anzeige werden alle Termine in Unixsekunden in UTC in der Datenbank gespeichert Konzept zur Terminvereinbarung Termin-Scheduler Diese Kapitel beschreibt das Szenario zur Terminvereinbarung. Die Aufgabe des Termin -Schedulers ist es, die Security-Scans zu dem vom Nutzer definierten Zeitpunkt zu starten und spätestens zu dem vom System vorgegebenen Zeitpunkt wieder zu beenden. Zur Lösung dieser Aufgabe wird in einer Datenbank für jeden Security-Scan ein Job angelegt, der unter anderem den Start - und Endzeitpunkt des Scans enthält. Wenn der Nutzer nun einen Termin vereinbaren, also einen Scan -Job anlegen möchte, muss die Tabelle auf freie Zeiträume überprüft werden. Dies wird ähnlich gelöst wie die Allokation von Speicherplatz beim Speichermanagement. Bei der Terminvereinbarung werden dem Nutzer wie gefordert, drei Termine zur Auswahl angeboten. Bevor diese angezeigt werden, passiert systemintern folgendes: Zunächst wird der erste Termin berechnet. Dieser muss mindestens 24 Stunden später vom Zeitpunkt der Terminvereinbarung und außerdem ein Arbeitstag sein. Der Endzeitpunkt eines Scans wird über eine Vorlage bestimmt. Die Vorlage hat der Nutzer vo rher über die Art des Scans bestimmt. Zur Zeit existiert nur eine Standardvorlage für den Scan, der zur Erfüllung der Compliance vorgeschrieben ist. Demnach wird diese standardmäßig eingesetzt. Zukünftig sollen weitere Vorlagen hinzukommen, weshalb Auswahl und Zuteilung einer Vorlage flexibel gehalten werden müssen. Die Laufzeit wird ermittelt und zum Startzeitpunkt addiert. Wenn der errechnete Zeitpunkt frei ist, wird der Scan-Job als Angebot für den Nutzer angelegt. Sollte dieser Termin belegt sein, wird der nächstmögliche freie Termin angeboten. Wenn nun das erste Angebot steht, wird ausgehend von diesem die nächsten beiden Scan -Jobs nach dem gleichen Prinzip angelegt. Erst wenn drei Angebote für den Nutzer in der Tabelle Jobs angelegt wurden, bekommt e r diese angezeigt. Als weitere Option kann er einen Termin (Startzeitpunkt) selbst bestimmen. Sollte er diese Möglichkeit nutzen, muss auch hier eine Überprüfung auf Verfügbarkeit stattfinden. Ist der Termin frei, wird dieser zusätzlich zur Auswahl mit angezeigt. Sollte der Termin schon vergeben oder ungültig sein, bekommt der Nutzer diese mitgeteilt und es wird der nächstmögliche Termin von dem Eingegebenen aus mit angezeigt. Hat der Nutzer nur einen Scan geordert, erscheint nach dem Vermerken unmittelbar die Seite, auf dem ihm die eingegebenen IP -Adressen und der ausgewählte Termin noch einmal zur Kontrolle angezeigt werden. Klickt er hier auf Bestätigen, wird der Termin gültig. Der Scheduler startet nur Scan -J o b s, die bestätigt wurden. Alle anderen werden ignoriert. Sollte er noch Änderungswünsche haben, kann der Nutzer an dieser Stelle auch wieder zurückgehen und diese vornehmen. Wenn ein Nutzer vier Scans geordert hat, durchläuft er die Terminvereinbarung viermal bevor er auf die Seite zum Bestätigen g elangt. Bei dieser Vereinbarung kontrolliert der Scheduler zusätzlich, dass die Termine nicht die Compliance-Frist überschreiten. Wird z.b. einem Händler von MasterCard vorgeschrieben, viermal im Jahr seine Systeme zu scannen, muss er spätestens alle 91 Tage einen S e c u r i t y-scan durchführen lassen

19 Die Größe eines Scan-Jobs wird von der Scan-Dauer bestimmt. Die optimale Nutzung der Zeit aufgrund der Größe eines Scan-Jobs, der vielleicht genau eine Lücke ausfüllen könnte, ist dabei zweitrangig, weil zunächst die Terminwünsche des Nutzers relevant sind. Nach dem Bestätigen der Termine sind die Jobs fest in der Tabelle eingetragen. Es fehlt aber noch ein Tool oder ein Prozess, der die Jobs dann auch zum definierten Zeitpunkt startet. Wie in Kapitel 3.2 angedeutet, werden die Scans durch einen Mechanismus ausgelöst. Dieser ruft ein Programm auf, das den Scan startet, indem es eine Verbindung zum Scan-Scheduler aufbaut, der den eigentlichen Scan übernimmt. Diese Zusammenfassung geht nicht auf die genaue Beschreibung der Kommunikation der Scheduler ein. Auch das selbstdefinierte Kommunikationsprotokoll wird nicht aufgeführt. Nun folgen die Konzepte zur Koordination der Scan-Tools und zur Kommunikation der Scheduler Konzept zur Koordination der Scan-Tools Scan-Scheduler Die Security- Scans werden über in der Datenbank gespeicherte Jobs gesteuert. Ein Scan-Job enthält den Start- und Endzeitpunkt des Scans und über eine Referenz die Art des Scans. Zum eingetragenen Termin startet ein Mechanismus das Programm, das dem zweiten Scheduler über TCP - Kommunikation die Art des Scans übergibt, worauf dieser die einzelnen Tools koordinieren muss. Wie in Kapitel dargelegt, wird dazu vom Prinzip her das Multi-level-Scheduling in Form der multiplen Warteschlangen verwendet. Das bedeutet, dass die Tools, die gleichzeitig ablaufen können, gleiche Priorität erhalten. Zusätzlich wird eine Zeitverschiebung hinterlegt, damit diese nicht alle gleichzeitig starten. Pro Tool wird dann ein Objekt angelegt, das die weiteren Prozesse steuert. Wenn der Scan-Scheduler nach maximaler Zeitüberschreitung beendet werden musste, wird dies vermerkt Kommunikation der Scheduler Für die Kommunikation der Scheduler wird eine TCP-Verbindung aufgebaut. Der Termin -Scheduler ist der Client und der Scan-Scheduler der Server. Aus Datensicherheitsgründen darf eine Übertragung nur verschlüsselt stattfinden, weshalb, wie in Kapitel 3.3 diskutiert, ein Tunnel aufgebaut wird. Die Scheduler kommunizieren über ein selbstdefiniertes Protokoll, dem Scan Scheduling Protokoll, welches sich an SMTP (Simple Management Transfer Protocol) anlehnt. Dieses Protokoll umfasst fünf Befehle, mit denen der Termin-Scheduler den Scan -Scheduler startet, dessen Zustände regelmäßig abfragt (Polling) und wenn nötig den Scan beendet Konzept zur Garbage Collection und Wartungs- und Fehlerplan Zusätzlich zu den Konzepten über die Scheduler wurde ein Konzept zur Garbage Collection und ein Wartungs- und Fehlerplan entworfen. Die Garbage Collection muss regelmäßig die Datenbank aufräumen. Der Wartungs- und Fehlerplan hält fest, welche Tabellen und Beziehungen bei Festlegung eines Wartungstermins oder im Fehlerfall, z.b. bei Ausfall eines Penetrators, berücksichtigt werden müssen. Es wird ein Vorgehen für die Fälle Wartung, Abwesenheit und Ausfall festgehalten

20 4.3.7 Oberfläche des Webinterfaces Beim Entwurf der Oberfläche dienen die Kriterien für eine benutzergerechte Webseite (vgl. Pus01, S.33) als Grundlage. Es wird versucht die bestehenden Konventionen weitestgehend einzuhalten. Die Navigationsleiste ist links und immer sichtbar. Sie ist untergliedert in die einzelnen Aufgabenbereiche der OSSP. Oberhalb der Navigationsleiste befindet sich das Logo des Acquirers (hier Demo Mandant GmbH). Auf Plug-Ins, Multimedia -Elemente und JavaScript wird auch aus Sicherheitsaspekten ganz verzichtet. Die Oberfläche wird ausschließlich in HTML dargestellt. Der Nutzer bekommt nur die nötigsten Funktionen angezeigt und diese werden übersichtlich und strukturiert dargestellt. Zu tätigende Eingaben und Transaktionen werden durch Textfelder und Buttons mit klarer Beschriftung gekennzeichnet. Nach jeder Transaktion erhält der Nutzer eine Rückmeldun g über Erfolg oder Misserfolg der Aktion. Warnungen und Fehlermeldungen werden durch rote Schriftfarbe und größerer Schrift hervorgehoben. Um dem Nutzer ein bequemes zurücknavigieren zu ermöglichen, wenn er z.b. ausgewählte Termine ändern möchte, werden alle benötigten Daten für die Seitenzustände festgehalten. Somit ist das Layout der Seiten zwar statisch, enthält aber dynamische Inhalte. Die einleitenden Texte zur Bedienung der Funktionen beinhalten nur die nötigsten Informationen, sollten aber ausreichen, um effektiv einen Termin zu vereinbaren. Die Anordnung der Navigationsbuttons für den Terminvereinbarungsprozess ist auf allen Seiten identisch und an die Struktur anderer gewohnter Bedienelemente angelehnt. Im Kapitel ist die Umsetzung des Entwurfs zur Weboberfläche mit Screenshots dargestellt

Sicherheit bei Internet- Kreditkartentransaktionen

Sicherheit bei Internet- Kreditkartentransaktionen Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Benutzerdokumentation Hosted Backup Services Client

Benutzerdokumentation Hosted Backup Services Client Benutzerdokumentation Hosted Backup Services Client Geschäftshaus Pilatushof Grabenhofstrasse 4 6010 Kriens Version 1.1 28.04.2014 Inhaltsverzeichnis 1 Einleitung 4 2 Voraussetzungen 4 3 Installation 5

Mehr

GlobalHonknet.local. Implementieren von IPSec - Verschlüsselung im Netzwerk 27.03.2004 05.04.2004

GlobalHonknet.local. Implementieren von IPSec - Verschlüsselung im Netzwerk 27.03.2004 05.04.2004 GlobalHonknet.local 1 von 37 GlobalHonknet.local 13158 Berlin Implementieren von IPSec - Verschlüsselung im Netzwerk Einrichten der Verschlüsselung unter Verwendung einer PKI 27.03.2004 05.04.2004 GlobalHonknet.local

Mehr

7.11 Besprechungen planen und organisieren

7.11 Besprechungen planen und organisieren 7. Effektive Zeitplanung und Organisation von Aufgaben 7.11 Besprechungen planen und organisieren Wie bereits zu Beginn des Kapitels erwähnt, nehmen im Gegensatz zu einem normalen Termin mehrere Teilnehmer

Mehr

Sage Shop Schnelleinstieg

Sage Shop Schnelleinstieg Sage Shop Schnelleinstieg Impressum Sage Software GmbH Hennes-Weisweiler-Allee 16 41179 Mönchengladbach Copyright 2014 Sage Software GmbH Die Inhalte und Themen in dieser Unterlage wurden mit sehr großer

Mehr

TIKOS Leitfaden. TIKOS Update

TIKOS Leitfaden. TIKOS Update TIKOS Leitfaden TIKOS Update Copyright 2015, Alle Rechte vorbehalten support@socom.de 06.05.2015 Inhalt 1. Allgemeine Hinweise... 3 2. Ausführen des Updates... 3 3. Mögliche Meldungen beim Update... 9

Mehr

CARM-Server. Users Guide. Version 4.65. APIS Informationstechnologien GmbH

CARM-Server. Users Guide. Version 4.65. APIS Informationstechnologien GmbH CARM-Server Version 4.65 Users Guide APIS Informationstechnologien GmbH Einleitung... 1 Zugriff mit APIS IQ-Software... 1 Zugang konfigurieren... 1 Das CARM-Server-Menü... 1 Administration... 1 Remote-Konfiguration...

Mehr

Handbuch Schulungsdatenbank

Handbuch Schulungsdatenbank Handbuch Schulungsdatenbank Inhaltsverzeichnis Hinweise... 3 Überblick... 4 Themen... 5 Schulungsprogramm Verwalten... 6 Details... 7 Schulungsprogramm bearbeiten... 9 Anstehende Termine... 10 Schulungen

Mehr

NetMan Desktop Manager Quick-Start-Guide

NetMan Desktop Manager Quick-Start-Guide NetMan Desktop Manager Quick-Start-Guide In diesem Dokument wird die Installation von NetMan Desktop Manager beschrieben. Beachten Sie, dass hier nur ein Standard-Installationsszenario beschrieben wird.

Mehr

BANKETTprofi Web-Client

BANKETTprofi Web-Client BANKETTprofi Web-Client Konfiguration und Bedienung Handout für die Einrichtung und Bedienung des BANKETTprofi Web-Clients im Intranet / Extranet Der BANKETTprofi Web-Client Mit dem BANKETTprofi Web-Client

Mehr

Rollen- und Rechtekonzept

Rollen- und Rechtekonzept Inhaltsverzeichnis Rollen- und Rechtekonzept 1. Ziele...1 2. Konzeption zur Realisierung durch Access Control List und im Management-Interface...2 2.1. Ansatz...2 2.2. Safety oder Security...2 2.3. User-

Mehr

Endkunden Dokumentation

Endkunden Dokumentation Endkunden Dokumentation X-Unitconf Windows Version - Version 1.1 - Seite 1 von 20 Inhaltsverzeichnis 1. Anmeldung an X-Unitconf... 3 2. Menü Allgemein... 4 2.1. Übersicht... 4 2.2. Passwort ändern... 5

Mehr

Einrichtung Mac OS X Mail IMAP

Einrichtung Mac OS X Mail IMAP Einrichtung Mac OS X Mail IMAP Fachhochschule Eberswalde IT-Servicezentrum Erstellt im Mai 2009 www.fh-eberswalde.de/itsz Die folgende Anleitung beschreibt die Einrichtung eines E-Mail-Kontos über IMAP

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

Registration ISYS. User's Guide. Elektronisches Anmeldesystem des Fachbereichs Rechtswissenschaft. Version 1.1. User's Guide Version 1.

Registration ISYS. User's Guide. Elektronisches Anmeldesystem des Fachbereichs Rechtswissenschaft. Version 1.1. User's Guide Version 1. Seite 1 von 8 ISYS Elektronisches Anmeldesystem des Fachbereichs Rechtswissenschaft Seite 2 von 8 Table of Contents 1.Überblick...3 2.Zugang zum System...4 2.1.Technische Voraussetzungen...4 2.2. Zugang

Mehr

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2

Finaler Testbericht. Finaler Testbericht. 1 Einführung 2. 1.1 Warum Softwaretests?... 2 Inhaltsverzeichnis 1 Einführung 2 1.1 Warum Softwaretests?.................................... 2 2 Durchgeführte Tests 2 2.1 Test: allgemeine Funktionalität............................... 2 2.1.1 Beschreibung.....................................

Mehr

Leitfaden zur Inbetriebnahme von BitByters.Backup

Leitfaden zur Inbetriebnahme von BitByters.Backup Leitfaden zur Inbetriebnahme von BitByters.Backup Der BitByters.Backup - DASIService ist ein Tool mit dem Sie Ihre Datensicherung organisieren können. Es ist nicht nur ein reines Online- Sicherungstool,

Mehr

Outlook Web App 2010. Kurzanleitung. interner OWA-Zugang

Outlook Web App 2010. Kurzanleitung. interner OWA-Zugang interner OWA-Zugang Neu-Isenburg,08.06.2012 Seite 2 von 15 Inhalt 1 Einleitung 3 2 Anmelden bei Outlook Web App 2010 3 3 Benutzeroberfläche 4 3.1 Hilfreiche Tipps 4 4 OWA-Funktionen 6 4.1 neue E-Mail 6

Mehr

Online Bedienungsanleitung elektronisches Postfach

Online Bedienungsanleitung elektronisches Postfach Online Bedienungsanleitung elektronisches Postfach 1. elektronisches Postfach 1.1. Prüfung ob das Postfach bereits für Sie bereit steht. 1.2. Postfach aktivieren 1.3. Neue Mitteilungen/Nachrichten von

Mehr

Datenzugriff über VPN

Datenzugriff über VPN Leitfaden Datenzugriff über VPN Einführung Ab der Version 3.0 besteht bei einer Installation von SPG-Verein die Möglichkeit, den Programmund Datenbereich getrennt abzulegen. Dadurch kann u. a. der Datenbereich

Mehr

GS-Programme 2015 Allg. Datensicherung

GS-Programme 2015 Allg. Datensicherung GS-Programme 2015 Allg. Datensicherung Impressum Business Software GmbH Primoschgasse 3 9020 Klagenfurt Copyright 2014 Business Software GmbH Die Inhalte und Themen in dieser Unterlage wurden mit sehr

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?

Mehr

Optionale Umstellung der Intranet-Version von Perinorm auf wöchentliche Aktualisierung

Optionale Umstellung der Intranet-Version von Perinorm auf wöchentliche Aktualisierung Optionale Umstellung der Intranet-Version von Perinorm auf wöchentliche Aktualisierung Perinorm Online wurde im Dezember 2013 auf eine wöchentliche Aktualisierung umgestellt. Ab April 2014 können auch

Mehr

Registrierung am Elterninformationssysytem: ClaXss Infoline

Registrierung am Elterninformationssysytem: ClaXss Infoline elektronisches ElternInformationsSystem (EIS) Klicken Sie auf das Logo oder geben Sie in Ihrem Browser folgende Adresse ein: https://kommunalersprien.schule-eltern.info/infoline/claxss Diese Anleitung

Mehr

Anwenderdokumentation

Anwenderdokumentation Anwenderdokumentation SAP Supplier Lifecycle Management SAP SLC 1.0 SP02 Alle Rechte vorbehalten Inhaltsverzeichnis 1 SAP Supplier Lifecycle Management (SAP SLC)... Fehler! Textmarke nicht definiert. 1

Mehr

Collax E-Mail Archive Howto

Collax E-Mail Archive Howto Collax E-Mail Archive Howto Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als E-Mail Archive eingerichtet werden kann, um Mitarbeitern Zugriff auf das eigene E-Mail Archiv

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Ordner und Laufwerke aus dem Netzwerk einbinden

Ordner und Laufwerke aus dem Netzwerk einbinden Inhaltsverzeichnis 1. Einführung...2 2. Quellcomputer vorbereiten...3 2.1 Netzwerkeinstellungen...3 2.2 Ordner und Laufwerke freigeben...4 2.2.1 Einfache Freigabe...5 2.2.2 Erweiterte Freigabe...6 3. Zugriff

Mehr

Datenschutzerklärung ENIGO

Datenschutzerklärung ENIGO Datenschutzerklärung ENIGO Wir, die, nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Website nur

Mehr

ELWIS 3.0. Dokumentation E-Mail-Verteilerlisten

ELWIS 3.0. Dokumentation E-Mail-Verteilerlisten ELWIS 3.0 Dokumentation E-Mail-Verteilerlisten Dienstleistungszentrum Informationstechnik im Geschäftsbereich des BMVBS (DLZ-IT BMVBS) Bundesanstalt für Wasserbau Am Ehrenberg 8, 98693 Ilmenau Stand, 10.02.2011

Mehr

Installation und Konfiguration des KV-Connect-Clients

Installation und Konfiguration des KV-Connect-Clients Installation und Konfiguration des KV-Connect-Clients 1. Voraussetzungen 1.1 KV-SafeNet-Anschluss Über KV-SafeNet wird ein geschützter, vom Internet getrennter, Hardware-basierter Tunnel aufgebaut (Virtuelles

Mehr

Dokumentation Softwareprojekt AlumniDatenbank

Dokumentation Softwareprojekt AlumniDatenbank Dokumentation Softwareprojekt AlumniDatenbank an der Hochschule Anhalt (FH) Hochschule für angewandte Wissenschaften Fachbereich Informatik 13. Februar 2007 Betreuer (HS Anhalt): Prof. Dr. Detlef Klöditz

Mehr

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Secure E-Mail S Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Einleitung Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend

Mehr

Terminland Free / Terminland Easy Schnellstart

Terminland Free / Terminland Easy Schnellstart Dokumentation: V 10.04.0 Datum: 22.12.2014 Inhaltsverzeichnis 1. Einführung... 3 2. Hilfe... 3 3. Online-Terminbuchung... 4 3.1. Aufruf der Online-Terminbuchung... 4 3.2. Aufruf des internen Terminmanagers...

Mehr

HILFE Datei. UPC Online Backup

HILFE Datei. UPC Online Backup HILFE Datei UPC Online Backup Inhalt Login Screen......? Welcome Screen:......? Manage Files Screen:...? Fotoalbum Screen:.........? Online backup Client Screen...? Frequently Asked Questions (FAQ s)...?

Mehr

Installationsanleitung CLX.PayMaker Home

Installationsanleitung CLX.PayMaker Home Installationsanleitung CLX.PayMaker Home Inhaltsverzeichnis 1. Installation und Datenübernahme... 2 2. Erste Schritte Verbindung zur Bank einrichten und Kontoinformationen beziehen... 4 3. Einrichtung

Mehr

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12

Operator Guide. Operator-Guide 1 / 7 V1.01 / jul.12 Operator Guide Einleitung Diese Guide vermittelt ihnen das Operator Know How für die Gästbox. Was müssen Sie wissen bevor Sie sich an die Arbeit machen. Von welchem PC aus kann ich die Gästbox bedienen.

Mehr

Lastenheft. Inhaltsverzeichnis. Gruppe: swp09-5. Projektleiterin: Anne Vogler am: 28. April 2009. 1 Zielbestimmungen 2. 2 Produkteinsatz 2

Lastenheft. Inhaltsverzeichnis. Gruppe: swp09-5. Projektleiterin: Anne Vogler am: 28. April 2009. 1 Zielbestimmungen 2. 2 Produkteinsatz 2 Lastenheft Inhaltsverzeichnis 1 Zielbestimmungen 2 2 Produkteinsatz 2 3 Produktübersicht 3 4 Produktfunktionen 4 4.1 Muss-Funktionen................................. 4 4.1.1 Benutzerfunktionen...........................

Mehr

Internet for Guests. Interfaces. 1.0.0 Deutsch. Interfaces Seite 1/14

Internet for Guests. Interfaces. 1.0.0 Deutsch. Interfaces Seite 1/14 Internet for Guests Interfaces 1.0.0 Deutsch Interfaces Seite 1/14 Inhalt 1. PMS... 3 1.1 Hinweise... 3 1.2 Konfiguration... 4 1.2.1 VIP/Mitgliedschaft: VIP Gast kostenloser Betrieb... 5 1.2.2 VIP/Mitgliedschaft:

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

Formular-Generator. 1. Übersichtsseite

Formular-Generator. 1. Übersichtsseite Formular-Generator Der Formular-Generator dient dazu, Formulare ohne Kenntnisse von Html- oder JavaScript- Programmierung zu erstellen. Mit den Formularen können Sie einfache Anfragen, Anregungen und Wünsche

Mehr

Installationsanleitung CLX.PayMaker Office

Installationsanleitung CLX.PayMaker Office Installationsanleitung CLX.PayMaker Office Inhaltsverzeichnis 1. Installation und Datenübernahme... 2 2. Erste Schritte Verbindung zur Bank einrichten und Kontoinformationen beziehen... 4 3. Einrichtung

Mehr

Dokumentation Uni Köln Bildergalerie

Dokumentation Uni Köln Bildergalerie Uni Köln Bildergalerie Universität zu Köln RRZK Regionales Rechenzentrum webmaster@uni-koeln.de Ansprechpartner: Webmaster Verwendungshinweise: Dokumentation zum Arbeiten mit der Uni Köln Bildergalerie

Mehr

Installation SQL- Server 2012 Single Node

Installation SQL- Server 2012 Single Node Installation SQL- Server 2012 Single Node Dies ist eine Installationsanleitung für den neuen SQL Server 2012. Es beschreibt eine Single Node Installation auf einem virtuellen Windows Server 2008 R2 mit

Mehr

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH Postbank P.O.S. Transact GmbH (nun EVO Kartenakzeptanz GmbH) ist kürzlich von der EVO Payments International Group erworben worden Produktcharakteristik VISA und MasterCard haben unter dem Namen VISA-AIS

Mehr

ewon über dynamische Adresszuweisung erreichbar machen

ewon über dynamische Adresszuweisung erreichbar machen ewon - Technical Note Nr. 013 Version 1.3 ewon über dynamische Adresszuweisung erreichbar machen Übersicht 1. Thema 2. Benötigte Komponenten 3. ewon Konfiguration 3.1 ewon IP Adresse einstellen 3.2 ewon

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Collax E-Mail-Archivierung

Collax E-Mail-Archivierung Collax E-Mail-Archivierung Howto Diese Howto beschreibt wie die E-Mail-Archivierung auf einem Collax Server installiert und auf die Daten im Archiv zugegriffen wird. Voraussetzungen Collax Business Server

Mehr

Outlook Web App 2010 Kurzanleitung

Outlook Web App 2010 Kurzanleitung Seite 1 von 6 Outlook Web App 2010 Einleitung Der Zugriff über Outlook Web App ist von jedem Computer der weltweit mit dem Internet verbunden ist möglich. Die Benutzeroberfläche ist ähnlich zum Microsoft

Mehr

White Paper Office Add-In & Exchange

White Paper Office Add-In & Exchange White Paper Office Add-In & Exchange Copyright 2012 Inhaltsverzeichnis 1. Office Add-In... 3 1.1. Einführung... 3 1.2. Office Add-In Installation... 3 1.2.1. Setup...3 1.3. Add-In Microsoft Outlook...

Mehr

Scheinaufgabe im Fach Web Engineering

Scheinaufgabe im Fach Web Engineering Otto-von-Guericke-Universität Magdeburg Fakultät für Informatik Institut für Verteilte Systeme Scheinaufgabe im Fach Web Engineering Thomas Thüm 07. August 2006 Matrikel: 171046 Lehrveranstaltung: Web

Mehr

COLLECTION. Installation und Neuerungen. Märklin 00/H0 Jahresversion 2009. Version 7. Die Datenbank für Sammler

COLLECTION. Installation und Neuerungen. Märklin 00/H0 Jahresversion 2009. Version 7. Die Datenbank für Sammler Die Datenbank für Sammler COLLECTION Version 7 Installation und Neuerungen Märklin 00/H0 Jahresversion 2009 Stand: April 2009 Inhaltsverzeichnis Inhaltsverzeichnis... 2 VORWORT... 3 Hinweise für Anwender,

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

Datentransfer. Verschlüsselt und stressfrei mit Cryptshare Kurzanleitung und Nutzungsbedingungen. Cryptshare

Datentransfer. Verschlüsselt und stressfrei mit Cryptshare Kurzanleitung und Nutzungsbedingungen. Cryptshare Datentransfer Verschlüsselt und stressfrei mit Cryptshare Kurzanleitung und Nutzungsbedingungen Cryptshare Kurzanleitung zum sicheren Versenden von Dateien und Nachrichten mit Cryptshare Die Web-Anwendung

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

WEB.DE WebBaukasten Inhaltsverzeichnis

WEB.DE WebBaukasten Inhaltsverzeichnis WEB.DE WebBaukasten Inhaltsverzeichnis Versionswechsel...2 Einleitung... 2 Was hat sich geändert?... 2 Allgemeine Änderungen... 2 Änderungen im Gästebuch... 2 Änderungen im Forum... 3 Änderungen in der

Mehr

Websense Secure Messaging Benutzerhilfe

Websense Secure Messaging Benutzerhilfe Websense Secure Messaging Benutzerhilfe Willkommen bei Websense Secure Messaging, einem Tool, das ein sicheres Portal für die Übertragung und Anzeige vertraulicher, persönlicher Daten in E-Mails bietet.

Mehr

Form Designer. Leitfaden

Form Designer. Leitfaden Leitfaden Copyright Die hier enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden, soweit nichts anderes

Mehr

Kundeninformation zu Sichere E-Mail

Kundeninformation zu Sichere E-Mail Kundeninformation zu Sichere E-Mail Einleitung Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologien bieten

Mehr

OP 2005: Änderungen Mailimport

OP 2005: Änderungen Mailimport OP 2005: Änderungen Mailimport 02.01.2008 Dokumentation Original auf SharePoint Doku zu OP 2005 JT-Benutzerkonfiguration - EMail In dieser Registerkarte können Sie die E-Mail-Konfiguration, des Benutzers

Mehr

Anwendungshinweis. IEC60870 Parametrieren aus der Applikation. a500780, Deutsch Version 1.0.0

Anwendungshinweis. IEC60870 Parametrieren aus der Applikation. a500780, Deutsch Version 1.0.0 IEC60870 Parametrieren aus der Applikation a500780, Deutsch Version 1.0.0 ii Wichtige Erläuterungen Impressum Copyright 2011 by WAGO Kontakttechnik GmbH & Co. KG Alle Rechte vorbehalten. WAGO Kontakttechnik

Mehr

Handbuch zu AS Connect für Outlook

Handbuch zu AS Connect für Outlook Handbuch zu AS Connect für Outlook AS Connect für Outlook ist die schnelle, einfache Kommunikation zwischen Microsoft Outlook und der AS Datenbank LEISTUNG am BAU. AS Connect für Outlook Stand: 02.04.2013

Mehr

Multivariate Tests mit Google Analytics

Multivariate Tests mit Google Analytics Table of Contents 1. Einleitung 2. Ziele festlegen 3. Einrichtung eines Multivariate Tests in Google Analytics 4. Das JavaScript 5. Die Auswertung der Ergebnisse Multivariate Tests mit Google Analytics

Mehr

IT-Support Ticketsystem. Stand: 24.09.2015

IT-Support Ticketsystem. Stand: 24.09.2015 IT-Support Ticketsystem Stand: 24.09.2015 Small Business Cloud Handbuch Stand: 24.09.2015 Small Business Cloud ist ein Produkt der DT Netsolution GmbH. DT Netsolution GmbH Taläckerstr. 30 70437 Stuttgart

Mehr

Gauß-IT-Zentrum. DHCP für Institute. Zielgruppe: DV Koordinatoren. Version 1.0

Gauß-IT-Zentrum. DHCP für Institute. Zielgruppe: DV Koordinatoren. Version 1.0 Gauß-IT-Zentrum DHCP für Institute Zielgruppe: DV Koordinatoren Version 1.0 1 DHCP für Institute Inhalt Dynamic Host Configuration Protocol (DHCP) für Institute 2 DHCP-Interface im KDD 2 DHCP beantragen

Mehr

Warenwirtschaft Handbuch - Administration. 2013 www.addware.de

Warenwirtschaft Handbuch - Administration. 2013 www.addware.de Warenwirtschaft Handbuch - Administration 2 Warenwirtschaft Inhaltsverzeichnis Vorwort 0 Teil I Administration 3 1 Datei... 4 2 Datenbank... 6 3 Warenwirtschaft... 12 Erste Schritte... 13 Benutzerverwaltung...

Mehr

Userhandbuch. Version B-1-0-2 M

Userhandbuch. Version B-1-0-2 M Userhandbuch Version B-1-0-2 M Inhaltsverzeichnis 1.0 Was bietet mir SERVRACK?... 3 1.1 Anmeldung... 3 1.2 Passwort vergessen?... 3 1.3 Einstellungen werden in Realtime übernommen... 4 2.0 Die SERVRACK

Mehr

Mac Quick Guide für die Migration zum HIN Client

Mac Quick Guide für die Migration zum HIN Client Mac Quick Guide für die Migration zum HIN Client Anleitung zur Migration vom ASAS Client zum neuen HIN Client in Schritten:. Schritt 2. Schritt. Schritt Installation HIN Client Software Installiert die

Mehr

legal:office Macintosh Installationsanleitung

legal:office Macintosh Installationsanleitung legal:office Macintosh Installationsanleitung legal:office Macintosh Installationsanleitung Inhaltsverzeichnis 1. legal:office Einplatz Installation 3 1.1. Vor der Installation 3 1.2. Starten Sie den Installer

Mehr

Endkunden Dokumentation

Endkunden Dokumentation Endkunden Dokumentation X-Unitconf Windows Version - Version 3.1 - Seite 1 von 21 Inhaltsverzeichnis 1. Anmeldung an X-Unitconf... 3 2. Menü Allgemein... 4 2.1. Übersicht... 4 2.2. Passwort ändern... 5

Mehr

SMC Integrationsserver 5.0 Versionsinformationen

SMC Integrationsserver 5.0 Versionsinformationen SMC Integrationsserver 5.0 Versionsinformationen SMC IT AG Pröllstraße 24 86157 Augsburg Tel. (0821) 720 62-0 Fax. (0821) 720 62-62 smc-it.de info@smc-it.de Geschäftsstelle Ettlingen Pforzheimer Straße

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Konzepte zur Datenhaltung für Webseiten in einem Web-Content- Management-System

Konzepte zur Datenhaltung für Webseiten in einem Web-Content- Management-System Konzepte zur Datenhaltung für Webseiten in einem Web-Content- Management-System Web-Content-Management-Systeme () dienen dazu, komplexe Websites zu verwalten und den Autoren einzelner Webseiten möglichst

Mehr

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Installationsanleitung MS SQL Server 2005 für Sage 50 Ablage & Auftragsbearbeitung Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Inhaltsverzeichnis 1. GRUNDSÄTZLICHES... 3 2. SQLExpress Installationsanleitung

Mehr

Knorr Bremse Group Einkaufsplattform Lieferantenregistrierung Anleitung für neue Lieferanten

Knorr Bremse Group Einkaufsplattform Lieferantenregistrierung Anleitung für neue Lieferanten Knorr Bremse Group Einkaufsplattform Lieferantenregistrierung Anleitung für neue Lieferanten Inhalt 1 Einleitung... 3 2 Lieferantenregistrierung... 4 3 Lieferantenprofil... 7 3.1 Schritt 1: Registrierung

Mehr

Bedienungsanleitung zur Inbetriebnahme des Funkempfänger EFB-EXP-72a mit Ethernet-Schnittstelle

Bedienungsanleitung zur Inbetriebnahme des Funkempfänger EFB-EXP-72a mit Ethernet-Schnittstelle zur Inbetriebnahme des Funkempfänger EFB-EXP-72a mit Ethernet-Schnittstelle 1. Funktion und Voreinstellung Der EFB-EXP-72a basiert auf der Funktionsweise des Funkempfängers EFB-RS232 mit dem Unterschied,

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Version 8.0 Brainloop Secure Dataroom Artikel Serie - Folge 3

Version 8.0 Brainloop Secure Dataroom Artikel Serie - Folge 3 Version 8.0 kommt in Kürze! Was ändert sich? Lesen Sie Folge 3 unserer Serie: Zusammenarbeit im Datenraum Lesen Sie in der dritten Folge unserer Artikel-Serie, wie Sie effizient über den Datenraum mit

Mehr

3 Installation von Exchange

3 Installation von Exchange 3 Installation von Exchange Server 2010 In diesem Kapitel wird nun der erste Exchange Server 2010 in eine neue Umgebung installiert. Ich werde hier erst einmal eine einfache Installation mit der grafischen

Mehr

Überblick über COPYDISCOUNT.CH

Überblick über COPYDISCOUNT.CH Überblick über COPYDISCOUNT.CH Pläne, Dokumente, Verrechnungsangaben usw. werden projektbezogen abgelegt und können von Ihnen rund um die Uhr verwaltet werden. Bestellungen können online zusammengestellt

Mehr

Leitfaden Datensicherung und Datenrücksicherung

Leitfaden Datensicherung und Datenrücksicherung Leitfaden Datensicherung und Datenrücksicherung Inhaltsverzeichnis 1. Einführung - Das Datenbankverzeichnis von Advolux... 2 2. Die Datensicherung... 2 2.1 Advolux im lokalen Modus... 2 2.1.1 Manuelles

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Hochschule Mittweida. UML-Dokumenation. Franziska Frenzel [Wählen Sie das Datum aus]

Hochschule Mittweida. UML-Dokumenation. Franziska Frenzel [Wählen Sie das Datum aus] Hochschule Mittweida UML-Dokumenation Franziska Frenzel [Wählen Sie das Datum aus] Inhalt UML-Dokumenation Inhalt... 1 /PF 000/ App ausführen inkl. Tracking und UUID erstellen... 2 /PF 001/ Modus wechseln...

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Web Interface für Administratoren (postmaster):

Web Interface für Administratoren (postmaster): Ing. G. Michel Seite 1/9 Web Interface für Administratoren (postmaster): 1) Grundlagen: - Der Administrator für e-mail wird auch Postmaster genannt. - Sie benötigen die Zugangsdaten zu Ihrem Interface,

Mehr

Eine Online-Befragung durchführen Schritt für Schritt

Eine Online-Befragung durchführen Schritt für Schritt Anleitung für Schulleitende Eine Online-Befragung durchführen Schritt für Schritt 20. September 2010 IQES online Tellstrasse 18 8400 Winterthur Schweiz Telefon +41 52 202 41 25 info@iqesonline.net www.iqesonline.net

Mehr

Anleitung IQXPERT-Demo-Version Ideenmanagement

Anleitung IQXPERT-Demo-Version Ideenmanagement Anleitung IQXPERT-Demo-Version Ideenmanagement Im Folgenden wird Ihnen eine kurze Einführung für das IQXpert-Demo-System gegeben. Zugang zum System finden Sie unter http://vplanweb.de/iqx_demo/login.php

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien 3. Installation Ihres Shops im Internet / Kurzanleitung Kurzanleitung: Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien Geben Sie während der Webbasierten Installationsroutine alle

Mehr

Kinderschutzsoftware fragfinn-kss

Kinderschutzsoftware fragfinn-kss Kinderschutzsoftware fragfinn-kss bereitgestellt von Cybits AG Inhalt 1 Was ist zu beachten?...2 1.1 Eigenes Nutzerprofil für Ihr Kind...2 2 Installation der Software...3 2.1 Hinweise bei bereits installierter

Mehr

Filterregeln... 1. Einführung... 1. Migration der bestehenden Filterregeln...1. Alle eingehenden Nachrichten weiterleiten...2

Filterregeln... 1. Einführung... 1. Migration der bestehenden Filterregeln...1. Alle eingehenden Nachrichten weiterleiten...2 Jörg Kapelle 15:19:08 Filterregeln Inhaltsverzeichnis Filterregeln... 1 Einführung... 1 Migration der bestehenden Filterregeln...1 Alle eingehenden Nachrichten weiterleiten...2 Abwesenheitsbenachrichtigung...2

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Alinof Key s Benutzerhandbuch

Alinof Key s Benutzerhandbuch Alinof Key s Benutzerhandbuch Version 3.0 Copyright 2010-2014 by Alinof Software GmbH Page 1/ Vorwort... 3 Urheberechte... 3 Änderungen... 3 Systemvoraussetzungen für Mac... 3 Login... 4 Änderung des Passworts...

Mehr

Astaro Mail Archiving Service Version 1.0

Astaro Mail Archiving Service Version 1.0 Astaro Mail Archiving Service Version 1.0 Verfahrensdokumentation Inhaltsverzeichnis 1. Einleitung... 2 2. Übersicht... 2 2.1 Production-Cloud... 3 2.2 Backup-Cloud... 3 2.3 Control-Cloud... 3 2.4 Zugangsschutz...

Mehr