IT in Sicherheit Wie rüste ich meine IT gegen Angriffe von innen und außen?

Größe: px
Ab Seite anzeigen:

Download "IT in Sicherheit Wie rüste ich meine IT gegen Angriffe von innen und außen?"

Transkript

1 Fokus Datenklau Risiken Rechtslage Gegenstrategien IT in Sicherheit Wie rüste ich meine IT gegen Angriffe von innen und außen? Donnerstag 19. Mai Flemings Deluxe Hotel, Wien City

2 Statement SOFTWARE Bei kaum einem anderem Produkt lässt sich Qualität so schwer beurteilen und herstellen wie bei Software. Die Schwierigkeiten sind so groß, dass die Menschheit gelernt hat, mit schlechten Komponenten zu leben. Seite 2 Quelle IX-Magazin 1/2011

3 Überblick Allgemeines IT in Sicherheit Datenklau Kosten Zertifizierung Zusammenfassung Seite 3

4 Allgemeines Seite 4

5 Wolfgang Prentner Promotion an der TU-Wien im Sicherheitsbereich IT-Ziviltechniker und gerichtlich zertifizierter Sachverständiger für IT-Sicherheit (seit 1998) Gesellschafter der ZTPRENTNERIT GmbH (1999) Vorsitzender der Bundesfachgruppe IT der Bundeskammer der Arch+Ing (2003-4/2011, Stv) E-Government Beauftragter des Bundeskomitees der Freien Berufe Österreichs. Dazu zählen die Kammern der Ärzte, Apotheker, Notare, Patentanwälte, Rechtsanwälte, Wirtschaftstreuhänder und Ziviltechniker (seit 2003) Mitglied der Plattform Digitales Österreich im Bundeskanzleramt (seit 2004) Seite 5

6 Warum IT-Ziviltechniker? Facheinschlägiges Studium (!) Fachliche Kompetenz Objektivität Unabhängigkeit Staatliche Befugnis Hohe Akzeptanz beim Kunden Verschwiegenheitsverpflichtung gemäß ZTG Haftungsübernahme im Schadensfall (Mio. 1,5 pro Fall) Seite 6

7 Befugnis nach Ziviltechnikergesetz Beraten Planen Prüfen Überwachen und Koordinieren Treuhandschaften Urkundsfähigkeit - Zertifizierung nach ZTG 4 Abs. 3 Abgrenzung zum Gewerbe keine ausführenden Tätigkeiten keine Störungsbehebung aber z.b. Störungsanalyse kein Vertrieb von Software und Hardware, daher kein Interessenskonflikt mit gewerblichen Unternehmen Seite 7

8 Haftung des IT-Ziviltechniker 1. Öffentliche Urkunde gemäß Ziviltechnikergesetz zum heutigen Stand der Technik 2. Erhöhte Beweiskraft vor Gerichten im Streitfall 3. Haftung insbesondere nach 1299 ABGB für Sachverständigentätigkeit für grobe und leichte Fahrlässigkeit sowie 4. Haftungsübernahme je Schadensfall von 1,5 Mio. Euro durch die Berufshaftpflichtversicherung Seite 8

9 Kunden im IT-Sicherheitsbereich Kammern Behörden Handel Finanzsektor Energiesektor Gesundheitsbereich Seite 9

10 Daten 1. Was sind sensible Unternehmensdaten? 2. Wo sind sensible Daten gespeichert? 3. Wer verwendet sensible Daten? 4. Wie erstelle ich eine Richtlinie um sensible Daten zu schützen? 5. Welche Werkzeuge setze ich dafür ein? Seite 10

11 Wachstumsbranche Datendiebstahl Datendiebstahl Bundeskriminalamt (D) warnt Datendiebstahl Hacker beklauen Millionen Playstation-Kunden Datendiebstahl Chinesen sollen auch Morgan Stanley gehackt haben Datendiebstahl Sicherheitsexperten warnen vor kostenlosen WLAN Datendiebstahl Industriespionage: SAP muss 1,3 Milliarden Dollar an Oracle zahlen Seite 11

12 Kriminalitätsstatistik BKA/D (2009) Computerbetrug: Fälle (plus 35%) Kreditkartenbetrug: Fälle (plus 6,1%) Kreditkarten-Informationen: "Handelsware im Internet", Seite 12

13 Internet-Sicherheit On the Internet, nobody knows you are a dog. Seite 13

14 Realer Terrorismus im Internet Weitere Beispiele: CIO Land, CIO KH, BM LV, aktuelle Bedrohungen wie Stuxnet-Wurm Seite 14

15 Hacker kaperten Homepage der dt. Atomlobby Seite 15

16 Stuxnet - Computerwurm karikatur-cartoon.de Seite 16

17 Sony Playstation Hack 77 Mio. Betroffene weltweit, in Österreich Seite 17 de.toonpool.com

18 Datenklau I: unbeabsichtigt Seite 18

19 Datenklau II: vorsätzlich Steuer-CD: Datendieb soll Administrator in Bank gewesen sein. 09. Februar 2010, 12:28. Seite 19

20 Datenklau III: Social Engineering Seite 20

21 Datenklau IV: automatisiert Seite 21

22 IT-Sicherheit Seite 22

23 Sicherheitszonen Unternehmens sicherheit Informations sicherheit IT-Sicherheit Seite 23

24 IT-Sicherheit Vertraulichkeit eine bestimmte Information dem zuständigen Anwender Integrität Unversehrtheit und Korrektheit der Daten Information oder Funktion Verfügbarkeit zur rechten Zeit am rechten Ort Seite 24

25 Einordnung Standards und Normen CobIT, ITIL (20000), ISMS (2700x), GSHB, Ö-SHB Organisation Prozess GSHB A 7700 Websicherheit BSI Common Criteria Technologie Seite 25

26 Standards und Ihre Zuordnung ISO 9000 ISO ISO 2700x CobIT INTERNET SICHERHEI TSGURT A 7700, BSI Seite 26

27 Sicherheitsprozess P A D C Plan, Do, Check, Act Seite 27

28 IT-Sicherheitsanforderungen I (Standard) Seite 28

29 IT-Sicherheitsanforderungen II (High Risk) Seite 29

30 Datenklau extern Seite 30

31 1. E-Spionage Informationen sammeln Output Netzwerkplan des Ziel-Unternehmens Außensicht des Angreifers Seite 31

32 1a. E-Spionage Ergebnis Seite 32

33 2. Netzwerk- und Systemsicherheit Port 1337 offen - steht in der Hackerszene für LEET, also Elite Seite 33

34 3. Kommunikation - verschlüsselt Secure Socket Layer TLSv1 Record Layer: Application Data Protocol: http Content Type: Application Data (23) Version: TLS 1.0 (0x0301) Length: 622 Encrypted Application Data: CDC503543A6E10F79505C598D0802D44D0C332F0A74F3E04... Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) e9 3f f 76 e h.?..?v...E b 32 ba a dd ac c c 41 3d bb f9 15 b7 d0 09 e A=u..1...P ff d1 8d e cd c a...S...n...T: e 10 f c5 98 d0 80 2d 44 d0 c3 32 f0 a7 n...-d f 3e c8 8a 65 ba a f 72 de d6 O>.A...e.../r c a6 4d b9 83 d3 37 a0 46 ae 16 4d ca de <.M...7.F..M.3e df 8f 08 6c c1 d2 56 0a c2 70 7f a7 8a 77...l.%..V..p...w d0 42 df ca a2 f8 22 a0 47 4f 3f 3f b4 f4 bd..b...".go??... Client 0090 d5 36 9a b1 30 2b b0 52 8a 07 2d 2f df 13 fb R..-/... 00a0 2d c b c 0f 00b0 b3 7f b3 38 2d f8 b1 a6 30 d c 80 b4 6e $L..n 00c0 0e 1f f0 e8 72 6b 9d f8 d df 51 fa 5a 32...rk...%.Q.Z2 00d0 89 5a 6e 2c ef 54 4a d2 71 0f e0 3d 55 3f 67 8c f3 2e eb 3e 72 df 69 8a a4 67 7e =U?g...>r.i..g~ 00f d 6a f8 df ca 5a a9 4e 1e 5c ba a2 f4 1$g.j...Z.N.\ c1 40 a5 44 e3 2a 0f c0 52 de 6f 2c 7f 19 1c...C..~Q.h.6}R.. Angreifer banking-server Seite 34

35 4. Applikationssicherheit Login/Doing/Logout Authentifikation Autorisierung Session Management Testen in unfreundlicher Umgebung Auditing Reporting Seite 35

36 Ergebnisse Seite 36

37 Technische Sicherheit Arbeitsplatzcomputer Server Firewall Status: nicht ok (hohes Risiko) Status: nicht ok (hohes Risiko) Status: nicht ok (mittleres Risiko) Seite 37

38 Organisatorische Sicherheit Systemwartung Status: nicht ok (hohes Risiko) Passwort-Handhabung Status: nicht ok (mittleres Risiko) Datensicherung Status: nicht ok (mittleres Risiko) Datenarchivierung Status: nicht ok (mittleres Risiko) Datenträger-Vernichtung Status: ok Virenschutz Status: ok Fernwartung Status: ok Wireless LAN Status: nicht anwendbar Telearbeit bzw. Home-Office Status: nicht anwendbar Geheimhaltungsvereinbarung mit Dritten Status: ok Seite 38

39 IT-Schwachstellen auf Netzwerkebene Seite 39

40 IT-Schwachstellen - Behebungsdauer Seite 40

41 Datenklau - intern Seite 41

42 Neue Bedrohung Professioneller Datenklauer Seite 42

43 Engagement Index Deutschland 2010 Seite 43 GALLUP (D)

44 Datenklau: Mitarbeitermeinungen Unternehmensdaten: Meinungen von Mitarbeitern Die Firma verdient es nicht, sie zu behalten 47% Die Firma kann die Informationen nicht zu mir zurückverfolgen. 49% Ich habe diese Informationen mit erstellt. Die Informationen könnten sich zukünftig als nützlich erweisen. 52% 53% % Alle anderen machen das anscheindend auch. 54% Quelle: heise.de Seite 44

45 Private Internet-Nutzung am Arbeitsplatz Seite 45

46 Der Standard (11. Jänner 2010) Überwachung am Arbeitsplatz nimmt zu! s, Internetnutzung oder etwa Krankenstandstage. Umfrage: 65% plädieren für ein Überwachungsverbot (AK OÖ) Seite 46

47 Ergebnis der Untersuchung I (AK OÖ) 65% traten bei der Befragung für ein Überwachungsverbot ein. 26% gehen davon aus, dass sie am Arbeitsplatz überwacht werden. 4% schließen eine Überwachung definitiv aus. Stichprobe: 600 AK-Mitarbeiter Seite 47

48 Ergebnis der Untersuchung II (AK OÖ) 47% nehmen an, s und Internetnutzung 36% vermuten eine kontinuierliche Beobachtung während der Arbeitszeit. 67% der Beschäftigten in Oberösterreich sind der Ansicht, dass derartige Überwachungen in letzter Zeit stark oder leicht zugenommen haben. 17% glauben, dass die Überwachung nicht ausgeweitet worden sei. Stichprobe: 600 AK-Mitarbeiter Seite 48

49 Schutz gegen internen Datenklau Seite 49

50 Data Loss Prevention (DLP) Schutzmaßnahmen, die direkt den Schutz der Vertraulichkeit von Daten unterstützen und je nach Ausprägung direkt oder indirekt die Integrität und Zuordenbarkeit sicher stellt. Quelle: Seite 50

51 Bedrohungsbereiche (Threat Coverage) Endpunkt (PC) Device Kontrolle Daten Kontrolle Applikationen Kontrolle Netzwerk Mail Web Instant Message,... Storage Archive/Backup Filesystem Datenbanken,... Seite 51

52 Data Loss Prevention Systeme I Seite 52

53 Mitarbeiter Benachrichtigung Seite 53

54 Rechtliche Aspekte Seite 54

55 Verschuldensfrage bei Angriffen Verschulden Auftraggeber (verflochtene Unternehmen) Entwickler (Anwendung und DB) Netzwerk/Infrastruktur (FW/Router/System) Betreiber/Outsourcer (lokal, international, Cloud) Haftung Gewährleistung Schadenersatz Seite 55

56 Strafbestimmungen Seite 56

57 Strafbestimmungen I Strafgesetzbuch (StGB) 118a (1) - Widerrechtlicher Zugriff auf ein Computersystem - Geldstrafe oder bis zu 6M Haft 119 (1) - Verletzung des Telekommunikationsgeheimnisses: Geldstrafe oder bis zu 6M Haft 119a (1) - Missbräuchliches Abfangen von Daten: Geldstrafe oder bis zu 6M Haft 126b - Störung der Funktionsfähigkeit eines Computersystems: Geldstrafe oder bis zu 6M Haft 126c - Missbrauch von Computerprogrammen oder Zugangsdaten: Geldstrafe oder bis zu 6M Haft Seite 57

58 Strafbestimmungen II Strafgesetzbuch (StGB) 122ff StGB: Verletzung Betriebsgeheimnis; Strafrahmen: bis 3 Jahre 246 StGB: Staatsfeindliche Verbindungen; Strafrahmen: bis 5 Jahre 252 StGB: Verrat von Staatsgeheimnissen; Strafrahmen: bis 10 Jahre 242 StGB: Hochverrat; Strafrahmen: bis 20 Jahre Datenschutzgesetz 52 bis ,- Mediengesetz 7 bis ,- Telekommunikationsgesetz 109 bis ,- Seite 58

59 Kosten Seite 59

60 Aufwandsverteilung Applikationsanalyse Kommunikationsanalyse Netzwerkanalyse Seite 60

61 Kosten Sicherheitsaudits Standard Sicherheitsaudit bis Spezielle Sicherheitsaudits bis Spezielle Sicherheitsüberwachung mit staatl. anerk. Zertifikat und Haftungsübernahme bis pro Jahr Seite 61

62 Zertifizierung Seite 62

63 Sicherheitssiegel ELBA-internet Seite 63

64 Sicherheitszertifikat staatlich anerkannt. Seite 64

65 Zusammenfassung Wie rüste ich meine IT gegen Angriffe von innen und außen? Seite 65

66 Abwehr - interne Angriffe Regelungen und Richtlinien (Auszug) Benutzungsregelung Passwortrichtlinie (Benutzer und Admins) Eintritt und Austritt Dienstleistervertrag Protokollierung (revisionssicher) Einschränkung von Passwörtern Technologien (Auszug) Interne Firewalls, IDS Verschlüsselung Auditing Data Loss Prevention Seite 66

67 Nacktscanner Seite 67

68 Abwehr externer Angriffe Regelungen und Richtlinien (Auszug) Periodische Logfile Analyse Wartung (Auszug) Zeitnahe Updates Technologien (Auszug) Firewalls Virenschutz Spamfilter IDS/IPS Sichere Software Entwicklung Auditing und Zertifizierung Seite 68

69 Top 5 Probleme 1. Klassiker unbewusst offene Dienste. 2. Nicht aktueller Patchlevel von Serversoftware. Buffer Overflows, Code Injection und DoS-Angriffen, Nicht korrekt programmierte Webanwendungen. SQL-Injections, Cross-Site-Scripting, Falsch oder nicht korrekt konfigurierte Serversoftware Quelle für Informationen über das System: Banner 5. Verwenden nicht aktueller oder ausreichender Sicherheitsmechanismen Microsoft Remote Desktop über Internet -> Man-in-the-Middle Attacke. Stand Seite 69

70 Seite 70

71 Besten Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? Seite 71

72 Top Ten Sicherheitsprobleme 2010 A1 - SQL injection, OS Command injection A2 - Cross Site Scripting (XSS) Cross-site scripting A3 - Broken Authentication and Session Management A4 - Insecure Direct Object References A5 - Cross Site Request Forgery A6 - Security Misconfiguration - No direct mappings A7 - Failure to Restrict URL Access A8 - Unvalidated Redirects and Forwards A9 - Insecure Cryptographic Storage A10 - Insufficient Transport Layer Protection OWASP Seite 72

73 Standards und Normen Seite 73

74 Ebenen 1. IT-Governance 2. IT-Compliance 3. IT-Informationssicherheit 4. IT-Sicherheit Seite 74

75 ZTPRENTNERIT - Know-How, Ausbildung und Zertifizierungen Organisation/Prozess ZTP - COBIT ZTP - ITIL (ISO 20000) ZTP - ISMS (ISO ) ZTP - Österreichisches Sicherheitshandbuch ZTP - IT-Grundschutz-Katalog Technik ZTP - ÖNORM A 7700, AT ZTP - Sicherheit von Webanwendungen, BSI ZTP - Common Criteria. INT ZTP - IT-Grundschutz-Katalog, BSI ZTP - CISCO, Vmware,., INT Seite 75

Erfahrungsbericht zu Datenschutzprüfungen

Erfahrungsbericht zu Datenschutzprüfungen ADV-Tagung 3. IT-Sicherheitstagung für Fortgeschrittene Wien 11.Nov. 2010, Austria Trend Hotel Erfahrungsbericht zu Datenschutzprüfungen IT-Sicherheit ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3

Mehr

E-Spionage und E-Attacken Schutzstrategien für Websysteme

E-Spionage und E-Attacken Schutzstrategien für Websysteme Compliance & Risk-Management, Cybersecurity als Herausforderung 10. Oktober 2013, IBM Forum Wien E-Spionage und E-Attacken Schutzstrategien für Websysteme ZT Prentner IT GmbH. A-1040 Wien. Mommsengasse

Mehr

Con.ect Event 10. Oktober 2014, Wien. Mobile Security und staatlich anerkannte Software-Beweissicherung

Con.ect Event 10. Oktober 2014, Wien. Mobile Security und staatlich anerkannte Software-Beweissicherung Con.ect Event 10. Oktober 2014, Wien Mobile Security und staatlich anerkannte Software-Beweissicherung Überblick Einleitung Mobile Devices - Sicherheitsprüfungen Auffinden von E-Spionageaktivitäten Fünf

Mehr

Mobile Apps Risiko und Schutzbedarf von mobilen Anwendungen

Mobile Apps Risiko und Schutzbedarf von mobilen Anwendungen Mobile Apps Risiko und Schutzbedarf von mobilen Anwendungen Conect IV, Wien, 8. Mai 2012, Wien ZT Prentner IT GmbH. A-1040 Wien. Mommsengasse 4/3. office@zt-prentner-it.at. www.zt-prentner-it.at 8. Mai

Mehr

Technische Aspekte der ISO-27001

Technische Aspekte der ISO-27001 ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ

Mehr

Schutz vor Datenklau. Sinnvolle Regelungen zur Internet-Nutzung am Arbeitsplatz ARZ - Veranstaltung Do. 8. April, Windischgarsten

Schutz vor Datenklau. Sinnvolle Regelungen zur Internet-Nutzung am Arbeitsplatz ARZ - Veranstaltung Do. 8. April, Windischgarsten Schutz vor Datenklau Sinnvolle Regelungen zur Internet-Nutzung am Arbeitsplatz ARZ - Veranstaltung Do. 8. April, Windischgarsten Referent ZT DI Dr. Wolfgang g Prentner. ZT Prentner IT GmbH prentner@zt-prentner-it.at.

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Prüf- und Überwachungsstelle für Informatik. CyberSecurity. Datenschutz

Prüf- und Überwachungsstelle für Informatik. CyberSecurity. Datenschutz Unabhängige Prüf- und Überwachungsstelle für Informatik. CyberSecurity. Datenschutz Gesundheit für ihre IT VORTRAG CyberSecurity & Datenschutz - erfolgreiche Strategien E-Spionage, CyberSecurity und Datenschutz

Mehr

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012

Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Warum werden täglich tausende von Webseiten gehackt? 16.10.2012 Vorstellung 8com GmbH & Co. KG Tobias Rühle Information Security Consultant Aufgaben Penetrationstests Sicherheit in Funktechnologien Information

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Gesundheit für ihre IT

Gesundheit für ihre IT Gesundheit für ihre IT Sicherheitsmanagement - Enterprise & Risk Management Haftungsrechtliche und sicherheitstechnische Optimierung beim Cloud Computing ZT Dr. Wolfgang Prentner IT-Ziviltechniker, staatlich

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Marc Skupin Werner Petri. Security Appliances

Marc Skupin Werner Petri. Security Appliances There s s a new kid in town! Marc Skupin Werner Petri Security Appliances tuxgate Ein Saarländischer Hersteller Wer ist? Sicherheit, warum? Wieviel Sicherheit? tuxgate Security Appliances tuxgate 1998

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Datenbanksicherheit Überwachung und Kontrolle. Dr. Ing. Oriana Weber 07/06/2011

Datenbanksicherheit Überwachung und Kontrolle. Dr. Ing. Oriana Weber 07/06/2011 Datenbanksicherheit Überwachung und Kontrolle Dr. Ing. Oriana Weber 07/06/2011 Agenda Leitfragen Warum sind Datenbanken attraktive Ziele? Klassifizierung von DB Sicherheitsrisiken Die Komplexität der Steuerung

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Web 2.0-Hacking Live Vorführung. Philipp Rocholl, Secaron AG Proseminar "Network Hacking und Abwehr", 27.01.2011

Web 2.0-Hacking Live Vorführung. Philipp Rocholl, Secaron AG Proseminar Network Hacking und Abwehr, 27.01.2011 Web 2.0-Hacking Live Vorführung Philipp Rocholl, Secaron AG Proseminar "Network Hacking und Abwehr", 27.01.2011 Übersicht Vorstellung Motivation Penetrationstests Schwachstellenklassen im Webumfeld Live

Mehr

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software

Mehr

Was ist bei der Entwicklung sicherer Apps zu beachten?

Was ist bei der Entwicklung sicherer Apps zu beachten? Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung

Mehr

Sicherheit Web basierter Anwendungen

Sicherheit Web basierter Anwendungen Sicherheit Web basierter Anwendungen IT Sicherheit Dozent: Prof. Dr. Stefan Karsch Enriko Podehl 13.02.2008 Einleitung it Web basierte basierte Anwendungen Teil unseres Alltags Geben dabei persönliche

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

PKI im Cyberwar. Nutzen, Angriffe, Absicherung. Dr. Gunnar Jacobson. 2015 PKI im Cyberwar

PKI im Cyberwar. Nutzen, Angriffe, Absicherung. Dr. Gunnar Jacobson. 2015 PKI im Cyberwar PKI im Cyberwar Nutzen, Angriffe, Absicherung Dr. Gunnar Jacobson 1 Cyberwar Anti virus 2 Der SONY-Hack Hackerangriff könnte Sony hunderte Millionen Dollar kosten. unverschlüsselte E-Mails Passwörter im

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Vortragsreihe: Mittwoch 22. Mai 2013. CMS Wien. ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3 office@zt-prentner-it.at. www.zt-prentner-it.

Vortragsreihe: Mittwoch 22. Mai 2013. CMS Wien. ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3 office@zt-prentner-it.at. www.zt-prentner-it. Vortragsreihe: Mittwoch 22. Mai 2013. CMS Wien ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3 office@zt-prentner-it.at. www.zt-prentner-it.at Überblick 1. 2. 3. 4. 5. 6. Ausgangssituation Software IT-Compliance

Mehr

FileBox Solution. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil

FileBox Solution. Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Compass Security AG Glärnischstrasse 7 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch www.csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_V1.1.doc Version: v1.1

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

Datensicherheit im Family Office

Datensicherheit im Family Office Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Datensicherheit im Family Office - vom systematischen Datendiebstahl bis zum zufälligen Vertwittern Wiesbaden, 27.04.2015 Agenda Zahlen und Fakten

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

business.people.technology.

business.people.technology. business.people.technology. OWASP Top 10: Scanning JSF Andreas Hartmann 18.06.2010 2 OWASP Top 10: Scanning JSF 18.06.2010 Was ist Application Security? Application Security umfasst alle Maßnahmen im Lebenszyklus

Mehr

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF

Agenda. Agenda. Web Application Security Kick Start. Web Application Security Kick Start. OWASP Top Ten meets JSF. OWASP Top Ten meets JSF Andreas Hartmann OWASP Top 10: Scanning JSF Principal Software Engineer E-Mail hartmann@adesso.de Andreas Hartmann Tätigkeitsschwerpunkte: Konzeption und von Softwarearchitekturen und Frameworks auf Basis

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

OWASP Top 10 Was t/nun? OWASP Nürnberg, 20.10.2010. The OWASP Foundation http://www.owasp.org. Dirk Wetter

OWASP Top 10 Was t/nun? OWASP Nürnberg, 20.10.2010. The OWASP Foundation http://www.owasp.org. Dirk Wetter Top 10 Was t/nun? Nürnberg, 20.10.2010 Dirk Wetter Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The Foundation Permission

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

State of the Art in Network-Related Extrusion Prevention Systems. Andreas Hackl, Barbara Hauer

State of the Art in Network-Related Extrusion Prevention Systems. Andreas Hackl, Barbara Hauer State of the Art in Network-Related Extrusion Prevention Systems Andreas Hackl, Barbara Hauer Übersicht Extrusion Prevention Systems Network-Related Extrusion Prevention Systems Schwachstellen Zusammenfassung

Mehr

Sicherheit im IT - Netzwerk

Sicherheit im IT - Netzwerk OSKAR EMMENEGGER & SÖHNE AG IT - SERVICES Email mail@it-services.tv WWW http://www.it-services.tv Stöcklistrasse CH-7205 Zizers Telefon 081-307 22 02 Telefax 081-307 22 52 Kunden erwarten von ihrem Lösungsanbieter

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011 No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen Hamburg, 27.09.2011 Ausgangssituation Webanwendungen sind aus unserem heutigen Leben nicht mehr

Mehr

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover IT - Sicherheit Maximilian Zubke zubke@iwi.uni-hannover.de Gäste - & Doktorandenkolloquium 17. Juli 2008 Agenda Grundla agen Praxis Grundlagen der Risiken und Maßnahmen Security Engineering (Allgemeine

Mehr

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Der Weg zu einem sicheren SAP System

Der Weg zu einem sicheren SAP System Virtual Forge GmbH Der Weg zu einem sicheren SAP System Patrick Boch SAP Sicherheit Picture of Rolls Royce Oldtimer Agenda IST-Situation analysieren Sicherheitsanforderungen definieren Systemlandschaft

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH

HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert

Mehr

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12.

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12. Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit Uwe Bernd-Striebeck RSA Security Summit München, 12. Mai 2014 Security Consulting Planung und Aufbau von Informationssicherheit

Mehr

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn

Mehr

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH Windows Azure für Java Architekten Holger Sirtl Microsoft Deutschland GmbH Agenda Schichten des Cloud Computings Überblick über die Windows Azure Platform Einsatzmöglichkeiten für Java-Architekten Ausführung

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

Reale Nutzung kryptographischer Verfahren in TLS/SSL

Reale Nutzung kryptographischer Verfahren in TLS/SSL Reale Nutzung kryptographischer Verfahren in TLS/SSL CeBIT 2009/03/06 Dominique Petersen petersen (at) internet-sicherheit.de Institut für Internet-Sicherheit https://www.internet-sicherheit.de Fachhochschule

Mehr

OWASP Top 10 Wat nu? The OWASP Foundation http://www.owasp.org. OWASP Stammtisch. GUUG-Treffen. Dirk Wetter

OWASP Top 10 Wat nu? The OWASP Foundation http://www.owasp.org. OWASP Stammtisch. GUUG-Treffen. Dirk Wetter OWASP Top 10 Wat nu? Dirk Wetter OWASP Stammtisch GUUG-Treffen Dr. Wetter IT-Consulting & -Services mail bei drwetter punkt eu dirk punkt wetter bei owasp punkt org +49-(40)-2442035-1 Copyright The OWASP

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk

So gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk So gelingt die sichere Kommunikation mit jedem Empfänger Andreas Richter EVP Marketing & Product Management GROUP Business Software AG E-Mail-Verschlüsselung ist kein Hexenwerk Datenschutz im Fokus der

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

Endpunkt-Sicherheit für die Öffentliche Verwaltung

Endpunkt-Sicherheit für die Öffentliche Verwaltung Endpunkt-Sicherheit für die Öffentliche Verwaltung Effizienter Staat Kai Pohle Major Account Manager Bundes und Landesbehörden 22. April 2008 Agenda Endpunkt- Sicherheitslösung Übersicht Sicherheitsprobleme

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Whistleblowing und Meldewesen nach ISO 27001 im rechtlichen Spannungsfeld

Whistleblowing und Meldewesen nach ISO 27001 im rechtlichen Spannungsfeld Whistleblowing und Meldewesen nach ISO 27001 im rechtlichen Spannungsfeld Dr. Orlin Radinsky Rechtsanwalt Brauneis Klauser Prändl Rechtsanwälte GmbH 11. Mai, 2011 1 Begriffsbestimmungen Korruption Missbrauch

Mehr

Die goldenen Regeln der Data Loss Prevention

Die goldenen Regeln der Data Loss Prevention Die goldenen Regeln der Data Loss Prevention ISSS Zürcher Tagung 2010 1.6.2010, WIDDER Hotel, Zürich Johann Petschenka Channel Manager für internationale Sales Partner, SECUDE IT Security GmbH Information

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

Gerd Armbruster Gerd.Armbruster@GMX.De

Gerd Armbruster Gerd.Armbruster@GMX.De Viren, Trojaner & Hacker - so schützen Sie Ihren PC Gerd Armbruster Gerd.Armbruster@GMX.De 100 Mio Sony Kunden gehackt Aktuell Alles 2011 Immer noch 2011 Geschäftsmodell Agenda! Sicherheit im Internet!

Mehr

HISOLUTIONS - SCHWACHSTELLENREPORT

HISOLUTIONS - SCHWACHSTELLENREPORT HISOLUTIONS - SCHWACHSTELLENREPORT Eine Analyse der identifizierten Schwachstellen in Penetrationstests MOTIVATION HiSolutions führt jedes Jahr eine große Anzahl von unterschiedlichen Penetrations- und

Mehr

OWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller

OWASP Top 10: Scanning JSF. Andreas Hartmann & Stephan Müller OWASP Top 10: Scanning JSF Andreas Hartmann & Stephan Müller 07.04.2011 Andreas Hartmann (Principal Software Engineer): Leichtgewichtige Softwarearchitekturen und Frameworks auf Basis der JEE Plattform

Mehr

Cyberkriminalität und Datendiebstahl: Wie schütze ich mein Unternehmen?

Cyberkriminalität und Datendiebstahl: Wie schütze ich mein Unternehmen? Cyberkriminalität und Datendiebstahl: Wie schütze ich mein Unternehmen? Dienstag, 18. März 2014 Referentin Informationssicherheit IHK für München und Oberbayern Bildnachweis: Fotolia Maksim Kabakou Ihr

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr