Secure Engineering. Prof. Dr. Michael Waidner. Fraunhofer SIT und TU Darmstadt
|
|
- Jobst Morgenstern
- vor 8 Jahren
- Abrufe
Transkript
1 Secure Engineering Prof. Dr. Michael Waidner Fraunhofer SIT und TU Darmstadt 2011 ICT-Security Technologietag, DB Systel, Frankfurt, 5. Juni 2012 Page 1 of 29
2 Fraunhofer-Institut für Sichere Informationstechnologie Ältestes und größtes Institut für IT-Sicherheit in Deutschland 160 Angestellte 9.1 M Jahresbudget, zu 2/3 aus Auftragsforschung für Industrie und Staat 2 Lehrstühle an der TU Darmstadt (Waidner, Sadeghi) Birlinghoven Berlin Darmstadt Kompetenzfelder Secure Engineering & Security Testing Mobile & Cyberphysical Systems Cloud Systems & Services Identity and Privacy Multimedia Security Information Security Management IT-Forensics 10 IT-Sec Profs an der TU Darmstadt + 6 an der h_da Page 2 of 29
3 BMBF-Finanziertes Zentrum für Cybersecurity-Forschung ( ) TU Darmstadt + Fraunhofer SIT Wissenschaftliche Exzellenz Security & Privacy by Design Trends Anwendungen und Architekturen Methoden und Tools Bausteine für IT-Sicherheit Fokus auf exzellente Nachwuchsgruppen Claude Shannon Fellows Stand: 2 von ca. 6 CSF s besetzt Schwesterzentren in Karlsruhe, Saarbrücken Page 3 of 29
4 Gliederung 1. Sicherheit und Unsicherheit von IT 2. Secure Engineering: Security and Privacy by Design 3. Zusammenfassung Page 4 of 29
5 Sicherheitsunfälle des Jahrs 2011 Trend bislang ungebrochen: Cyber-Kriminalität, Hacktivismus, Spionage SecureID Compromise Anonymous Source for base graphics: IBM X-Force Research and Development, 2012 Page 5 of 29
6 Anatomie eines Angriffs RSA & Lockheed-Martin (2011) 1: Social Engineering + Unpatched Vulnerability 3: Angreifer findet Schlüssel für das SecureID System und lädt sie über einen Staging Server. 17. März: RSA warnt Kunden Ungewöhnlich schnell (z.b. Angriff auf Nortel wurde 10 Jahre lang nicht beachtet) 3. März: Vorgetäuschte an RSA Angestellte: [2011 Recruitment plan.xls] mit Flash und Zero-day CVE in Adobe Flash Player. Hinterlässt Poison Ivy Trojan. 2: Digitales Shoulder Surfing Poison Ivy verbindet sich mit dem Control Server, Angreifer erhält volle Kontrolle über Rechner. Angreifer bewegt sich in Richtung hochwertiger Systeme und Daten : Angreifer nutzt SecureID Schlüssel zum digitalen Einbruch in Verteidigungsindustrie. 3. Juni: Lockheed informiert über einen verhinderten Angriff. RSA startet Austauschprogramm für SecureID Token (>40M weltweit, Lockheed > ). August 2011: RSA bestätigt unmittelbare Kosten von 66M$. 27. March 2012: NSA identifiziert China als Ursprung des Angriffs. Page 6 of 29
7 Aktuelle Cyber-Gefährdungen und Angriffsformen Register des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Gezieltes Hacking von Webservern mit dem Ziel der Platzierung von Schadsoftware oder zur Vorbereitung der Spionage in angeschlossenen Netzen oder Datenbanken Drive-by-Exploits zur breitflächigen Infiltration von Rechnern mit Schadsoftware beim Surfen mit dem Ziel der Übernahme der Kontrolle des betroffenen Rechners Gezielte Malware-Infiltration über und mithilfe von Social Engineering mit dem Ziel der Übernahme der Kontrolle über den betroffenen Rechner und anschließender Spionage Distributed Denial of Service-Angriff mittels Botnetzen mit dem Ziel der Störung der Erreichbarkeit von Webservern oder der Funktionsfähigkeit der Netzanbindung der betroffenen Institution Ungezielte Verteilung von Schadsoftware mittels SPAM oder Drive-by- Exploits mit Fokus auf Identitätsdiebstahl Mehrstufige Angriffe, bei denen z.b. zunächst zentrale Sicherheitsinfrastrukturen (wie TLS/SSL-Zertifizierungsstellen) kompromittiert werden, um dann in weiteren Schritten die eigentlichen Ziele anzugreifen Source: Register aktueller Cyber-Gefährdungen und Angriffsformen, BSI, Bonn 2012 Page 7 of 29
8 Informationstechnologie findet sich überall und meistens gibt es schon gehackte Beispiele Page 8 of 29
9 Wieso ist IT unsicher? Im Prinzip wissen wir seit mehr als 20 Jahren, wie man IT sicher entwerfen und betreiben kann. Page 9 of 29
10 1. Industrialisierte und gut ausgestattete Angreifer Page 10 of 29
11 2. Wir machen immer wieder dieselben Fehler Vulnerabilities = Fehler in der SW/HW Fehler im Design, Code, Configs Fehler im Sicherheitsmodell Blinde Integration externer Komponenten (z.b. aus Open Source Projekten) Kontext, Identitäten, Events usw. gehen zwischen Systemen verloren Entwickler, Administratoren, Endnutzer Überfordert und unmotiviert Neugierde, Effizienz, Vertrauen Schlechtes IT-Management Unklare Verantwortlichkeiten Kein Überblick Kein Change Management Keine Frühwarnfähigkeiten Typische Ursachen aus Sicht von Development-Organisationen: Sicherheit nachgeordnetes Ziel Keine Zeit bzw. keine Ressourcen Mangelndes Fachwissen Schlechte Unterstützung durch Entwicklungstools und prozesse Page 11 of 29
12 Dumme Fehler in Web-Anwendungen 86% Konfigurationsfehler, 79% Integrationsfehler (IBM X-Force 2011) Könnten durch Checklisten, Reviews und Tools alle sehr leicht abgefangen werden! Source: IBM X-Force Research and Development, OWASP Top Ten 2010 Page 12 of 29
13 Dumme Fehler in der Cloud Öffentliche AMI s in Amazon Elastic Compute Cloud (CASED/SIT 2011) Analyse findet geheime Schlüssel und Passwörter in öffentlichen AMIs von Privaten, aber auch von einigen (eher unprofessionellen) Herstellern: Für alle Maschinen desselben Typs passende Schlüssel Angriffe auf Nutzer dieser AMIs (Manipulation, Botnetze) Für Maschinen im Netz des Herstellers passende Schlüssel Angriffe auf Hersteller der AMIs Diese öffentlichen AMIs wurden genutzt, auch von namhaften Firmen Source: Bugiel et al.: AmazonIA: when elasticity snaps back; ACM CCS 2011 Page 13 of 29
14 Zeichen von Stabilisierung, wenn auch auf hohem Niveau Anzahl neuer Vulnerabilities pro Jahr, nach Herstellerangaben? Source for base graphics: IBM X-Force Research and Development, 2012 Page 14 of 29
15 Fehlervermeidung ist 100x günstiger als Patching Klares Indiz für den Wert von Security and Privacy by Design Relative durchschnittliche Kosten zur Behebung eines Bugs 1x 10x 100x Entwurf Test Betrieb Überschlagsrechnung Große Software hat M LoC (Lines of Code) 1 Bug / 1000 LoC 1 Vulnerability / 100 Bugs Also Vulnerabilities Source: Shull et.al.: What We Have Learned About Fighting Defects; IEEE 2002 Studien zu den absoluten Kosten/Bug: IBM: 80$ 7 600$ Cigital: 139$ $ Page 15 of 29
16 3. Sicherheit hat natürliche Grenzen Komplexität von IT Menschen machen Fehler: Unmöglich, SW/HW fehlerfrei herzustellen oder zu nutzen Sicherheitsaufwand muss Risiko angemessen sein, 80/20 Unsichere Systeme Unsichere Attribution von Angreifern Möglicherweise unsicheres Verhalten ist oft gewollt oder notwendig und darf nicht verhindert werden Nutzung von IT braucht im allg. Freiheitsgrade IT mit zu starken Einschränkungen wird umgangen Überwachung schafft neue Risiken Überwachungsmechanismen sind neues Angriffsziel Erschwert Schutz der Privatsphäre Online Social Networks als freiwillige (?) Überwachung Page 16 of 29
17 Gliederung 1. Sicherheit und Unsicherheit von IT 2. Secure Engineering: Security and Privacy by Design 3. Zusammenfassung Page 17 of 29
18 Komponenten eines Secure Engineering Programms Vereinfacht: Reine Produkt-Perspektive Governance: Strategy, Responsibilities and Powers, Metrics, Policies Standards Secure Coding Patterns, Models Protocols Libraries (Crypto, ) Training Awareness (Up & Down) Community Education & Training Supply Chain Security Trusted Supplier Code Signing 3 rd -party Code Open Source Code Design Security Requirements Use/Abuse Cases Threat/Attack Model Security & Privacy Risk Usability Security Architecture Resilient Architecture Development Dev/Test Process with Security Gates Dev/Test Environment Dev/Test Tooling Measuring Progress Test/Verification External Assurance Maintaining Security Security Research Product Security Incident Response Team Incident Response Plan Vulnerability Disclosure Hardening, Patching Page 18 of 29
19 Komponenten eines Secure Engineering Programms Blau: Forschungsthemen in CASED Governance: Strategy, Responsibilities and Powers, Metrics, Policies Standards Secure Coding Patterns, Models Secure Protocols Libraries (Crypto, ) Training Awareness (Up & Down) Community Education & Training Supply Chain Security Trusted Supplier Code Signing 3 rd -party Code Open Source Code Design Security Requirements Use/Abuse Cases Threat/Attack Model Security & Privacy Risk Usability Security Architecture Resilient Architecture Development Dev/Test Process with Security Gates Dev/Test Environment Dev/Test Tooling Measuring Progress Test/Verification External Assurance Maintaining Security Security Research Product Security Incident Response Team Incident Response Plan Vulnerability Disclosure Hardening, Patching Page 19 of 29
20 Secure Development Lifecycles Microsoft (SDLC, STRIDE), Cigital (TP, BSIMM), OWASP (CLASP, OpenSAMM) Source: Source: Source: McGraw: A Software Security Marketplace Case Study; IEEE Software, 9/ Page 20 of 29
21 Code-Analyse Werkzeuge Industrie + Forschung. + Code Reviews. + Penetrationstest/Ethical Hacking. Source: Tian-yang et.al.: Research on Software Security Testing; WASET Page 21 of 29
22 Herausforderung: Ende-zu-Ende Secure Engineering Konsistent und verbunden über Dokumentation, über alle Phasen hinweg Security concept artifacts Security concept documentation Complete security analysis Practical methods Development process Security design and implementation Secure product Page 22 of 29
23 Beispiel: Threat Modeling Experiment at Fraunhofer SIT Subject 1 Consistent assessments including partial matches Three experienced security engineers, products and threat modelling techniques Each subject identified about 30 valid threats, over 70 in total There is surprisingly little overlap Subject 3 Subject 2 Page 23 of 29
24 Beispiel: Risikofreundliche IT-Architekturen Architekturen können mehr oder weniger überlebensfähig sein High-risk Architecture Plain data (without metadata) Single Layer of Defense Access Control Centralized data repositories & processing Low-risk Architecture Rich meta data (rights, obligations, retention, ) Multiple Layers of Defense + Wrap Unknown/Legacy Code Usage Control Distributed and client-side data repositories & processing, finegrained protection and isolation Real identity, early identification Broad permissions, opt-in by default Pseudonyms, attributes, late identification Least privilege, security and privacy by default Page 24 of 29
25 Beispiel: Model-driven Security Idee Verständliche Beschreibung Automate Implementierung Beispiele: Abbildung UML-Modelle auf XACML Zugriffskontrollregeln Abbildung Sicherheitsanforderungen auf spezielle Mechanismen / Konstrukte Compiler für kryptographische Protokolle (gezielt auf spezielle Prozessoren usw.) Unterstützung für Patterns und Secure Coding-Guidelines Page 25 of 29
26 Herausforderung: Sichere Ende-zu-Ende Integration Über unterschiedliche Software- und Hardwaresysteme hinweg Semantik / Annahmen Sicherheits-Kontext Sicherheits-Policy Kryptogr. Schlüssel Identitäten Page 26 of 29
27 Gliederung 1. Sicherheit und Unsicherheit von IT 2. Secure Engineering: Security and Privacy by Design 3. Zusammenfassung Page 27 of 29
28 Aktive Forschungsthemen in EC SPRIDE Methoden und Tools Auch: Privacy by Design, Building Blocks, Architekturen für wichtige Gebiete wie Cloud, Mobile, Cyberphysical Systems, Wichtiges Paradigma für Software-Sicherheit Erwartung: 100:1 Kostenvorteil gegenüber Security by Patching Erfolgreiche Programme in der Industrie: Adobe, IBM, Microsoft, SAP, Guter Fortschritt seit Anfang 2000: relativ einfacher Einstieg Aber auch nach wie vor viele offene Fragen Page 28 of 29
29 Prof. Dr. Michael Waidner Fraunhofer-Institut für Sichere Informationstechnologie Rheinstrasse Darmstadt, Germany Technische Universität Darmstadt CASED/EC-SPRIDE & Lehrstuhl Sicherheit in der IT Mornewegstrasse Darmstadt, Germany Page 29 of 29
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit Prof. Dr. Michael Waidner Fraunhofer SIT und TU Darmstadt michael.waidner@sit.fraunhofer.de 2011 Cyber-Sicherheit Kooperationsmodelle und
MehrCloud Computing und IT-Sicherheit in der Praxis: Aktuelle Herausforderungen für Unternehmen
Cloud Computing und IT-Sicherheit in der Praxis: Aktuelle Herausforderungen für Unternehmen Prof. Dr. Michael Waidner Institutsleiter, Fraunhofer SIT + Direktor, CASED 2011 Bedingt abwehrbereit Unternehmen
MehrBedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen
Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 23. Oktober 2012, S-IHK Hagen Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service
MehrAllianz für Cyber-Sicherheit
Allianz für Cyber-Sicherheit Dirk Häger Bundesamt für Sicherheit in der Informationstechnik Bonn, 13. November 2012 1 Nationales CyberSicherheitsprogramm (BSI) Folie aus 2011 Ziele: die Risiken des Cyber-Raums
MehrProf. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand
Lage der IT-Sicherheit im Mittelstand Inhalt Die Situation heute: Eine kritische Bewertung 2 Inhalt Die Situation heute: Eine kritische Bewertung 3 IT-Sicherheit u. Vertrauenswürdigkeitrdigkeit Veränderung,
MehrVon Perimeter-Security zu robusten Systemen
Von Perimeter-Security zu robusten Systemen Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de Inhalt Motivation Perimeter
MehrWie entwickelt sich das Internet in der Zukunft?
Wie entwickelt sich das Internet in der Zukunft? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de Inhalt
MehrAlbert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen
Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.
MehrSicherheitsanalyse von Private Clouds
Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung
MehrOpen Source als de-facto Standard bei Swisscom Cloud Services
Open Source als de-facto Standard bei Swisscom Cloud Services Dr. Marcus Brunner Head of Standardization Strategy and Innovation Swisscom marcus.brunner@swisscom.com Viele Clouds, viele Trends, viele Technologien
MehrPressemitteilung. Sichere Dokumente in der Cloud - Neue Open Source Dokumenten-Verschlüsselung
Sichere Dokumente in der Cloud - Neue Open Source Dokumenten-Verschlüsselung CORISECIO präsentiert auf der it-sa 2013 eine Antwort auf PRISM und Co. Dateien werden mit starken Algorithmen hybrid verschlüsselt
MehrSMART Newsletter Education Solutions April 2015
SMART Education Newsletter April 2015 SMART Newsletter Education Solutions April 2015 Herzlich Willkommen zur aktuellen Ausgabe des Westcon & SMART Newsletters jeden Monat stellen wir Ihnen die neuesten
MehrInfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.
InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle. RESSOURCEN BESTMÖGLICH NUTZEN. WORKSHOP INFOSEC AWARENESS DAS NOTWENDIGE
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrCeBIT 17.03.2015. CARMAO GmbH 2014 1
CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH
MehrHerzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10.
Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen Udo H. Kalinna Nürnberg, den 10.10.2013 AGENDA Kein Tag ohne Hack! Sind diese Schwachstellen
MehrQualität und Vertrauenswürdigkeit von Software Ist open oder closed besser?
Qualität und Vertrauenswürdigkeit von Software Ist open oder closed besser? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
MehrDiplomarbeit. Konzeption und Implementierung einer automatisierten Testumgebung. Thomas Wehrspann. 10. Dezember 2008
Konzeption und Implementierung einer automatisierten Testumgebung, 10. Dezember 2008 1 Gliederung Einleitung Softwaretests Beispiel Konzeption Zusammenfassung 2 Einleitung Komplexität von Softwaresystemen
MehrIT Security Investments 2003
Grafische Auswertung der Online-Befragung IT Security Investments 2003 1) Durch welche Vorfälle wurde die IT-Sicherheit Ihres Unternehmens / Ihrer Organisation im letzten Jahr besonders gefährdet beziehungsweise
Mehr2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:
2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway
MehrMOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!
MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! Oliver Steinhauer Sascha Köhler.mobile PROFI Mobile Business Agenda MACHEN SIE IHRE ANWENDUNGEN MOBIL?! HERAUSFORDERUNG Prozesse und Anwendungen A B
MehrDas System sollte den Benutzer immer auf dem Laufenden halten, indem es angemessenes Feedback in einer angemessenen Zeit liefert.
Usability Heuristiken Karima Tefifha Proseminar: "Software Engineering Kernkonzepte: Usability" 28.06.2012 Prof. Dr. Kurt Schneider Leibniz Universität Hannover Die ProSeminar-Ausarbeitung beschäftigt
MehrKombinierte Attacke auf Mobile Geräte
Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware
MehrSchützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015
Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise Matthias Kaempfer April, 20 2015 Ganzheitlicher SAP Sicherheitsansatz Detect attacks Secure infrastructure Security processes and awareness
Mehrarlanis Software AG SOA Architektonische und technische Grundlagen Andreas Holubek
arlanis Software AG SOA Architektonische und technische Grundlagen Andreas Holubek Speaker Andreas Holubek VP Engineering andreas.holubek@arlanis.com arlanis Software AG, D-14467 Potsdam 2009, arlanis
MehrCyber-Sicherheit Aktuelle Gefährdungen und Gegenmaßnahmen. Dr. Harald Niggemann
Cyber-Sicherheit Aktuelle Gefährdungen und Gegenmaßnahmen Dr. Harald Niggemann Hagen, 3. Dezember 2014 Kernaussagen» Die Bedrohungslage im Cyber-Raum ist heute gekennzeichnet durch ein breites Spektrum
MehrPatch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011
Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Patch-Management Thomas Beer Abgabedatum: 28.03.2011 Anmerkung: Diese Wissenschaftliche Arbeit ist
MehrBenötigen wir einen Certified Maintainer?
Benötigen wir einen Certified Maintainer? Stefan Opferkuch Universität Stuttgart Institut für technologie, Abteilung Engineering Bestehende Qualifizierungsprogramme Qualifizierungsprogramme existieren
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrSicherheits-Tipps für Cloud-Worker
Sicherheits-Tipps für Cloud-Worker Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de Cloud Computing Einschätzung
MehrIT-Security Herausforderung für KMU s
unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/
MehrMehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft
Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft Prof. Dr. (TU NN) Norbert Pohlmann Vorstandsvorsitzender TeleTrusT - Bundesverband IT-Sicherheit e.v. Professor
MehrSERVICE SUCHE ZUR UNTERSTÜTZUNG
SERVICE SUCHE ZUR UNTERSTÜTZUNG VON ANFORDERUNGSERMITTLUNG IM ERP BEREICH MARKUS NÖBAUER NORBERT SEYFF ERP SYSTEME Begriffsbestimmung: Enterprise Resource Planning / Business Management Solution Integrierte
MehrEin Plädoyer für mehr Sicherheit
FACHARTIKEL 2014 Oder: Warum Zwei-Faktor-Authentifizierung selbstverständlich sein sollte Unsere Fachartikel online auf www.norcom.de Copyright 2014 NorCom Information Technology AG. Oder: Warum Zwei-Faktor-Authentifizierung
MehrMulticast Security Group Key Management Architecture (MSEC GKMArch)
Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen
Mehr360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf
360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf Von der Entstehung bis heute 1996 als EDV Beratung Saller gegründet, seit 2010 BI4U GmbH Firmensitz ist Unterschleißheim (bei München)
MehrSJ OFFICE - Update 3.0
SJ OFFICE - Update 3.0 Das Update auf die vorherige Version 2.0 kostet netto Euro 75,00 für die erste Lizenz. Das Update für weitere Lizenzen kostet jeweils netto Euro 18,75 (25%). inkl. Programmsupport
MehrUpdatehinweise für die Version forma 5.5.5
Updatehinweise für die Version forma 5.5.5 Seit der Version forma 5.5.0 aus 2012 gibt es nur noch eine Office-Version und keine StandAlone-Version mehr. Wenn Sie noch mit der alten Version forma 5.0.x
Mehrsieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie
sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie Sichere E-Mail ist von Ende zu Ende verschlüsselt Sichere E-Mail-Kommunikation bedeutet, dass die Nachricht nur vom
Mehr10.3.1.10 Übung - Konfigurieren einer Windows-XP-Firewall
5.0 10.3.1.10 Übung - Konfigurieren einer Windows-XP-Firewall Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung werden Sie erfahren, wie man die Windows XP-Firewall konfiguriert und
MehrLokale Installation von DotNetNuke 4 ohne IIS
Lokale Installation von DotNetNuke 4 ohne IIS ITM GmbH Wankelstr. 14 70563 Stuttgart http://www.itm-consulting.de Benjamin Hermann hermann@itm-consulting.de 12.12.2006 Agenda Benötigte Komponenten Installation
MehrWas meinen die Leute eigentlich mit: Grexit?
Was meinen die Leute eigentlich mit: Grexit? Grexit sind eigentlich 2 Wörter. 1. Griechenland 2. Exit Exit ist ein englisches Wort. Es bedeutet: Ausgang. Aber was haben diese 2 Sachen mit-einander zu tun?
MehrResearch Note zum Thema: Laufzeit von Support-Leistungen für Server OS
Research Note zum Thema: Laufzeit von Support-Leistungen für Axel Oppermann Advisor phone: +49 561 506975-24 mobile: +49 151 223 223 00 axel.oppermann@experton-group.com November 2009 Inhalt 1 EINFÜHRUNG
MehrZugriff auf Unternehmensdaten über Mobilgeräte
1 Mobility meets IT Service Management 26. April 2012 in Frankfurt Zugriff auf Unternehmensdaten über Mobilgeräte Notwendigkeit und Risiken Ergebnisse einer europaweiten Anwenderstudie Norbert Pongratz,
MehrMarketing-Leitfaden zum. Evoko Room Manager. Touch. Schedule. Meet.
Marketing-Leitfaden zum Evoko Room Manager. Touch. Schedule. Meet. Vorher Viele kennen die Frustration, die man bei dem Versuch eine Konferenz zu buchen, erleben kann. Unterbrechung. Plötzlich klopft
MehrSoziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.
Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co. www.bsi-fuer-buerger.de Sicher unterwegs in studivz, Facebook & Co. Die sozialen
MehrEchtzeiterkennung von Cyber Angriffen auf SAP-Systeme mit SAP Enterprise Threat Detection und mehr
Echtzeiterkennung von Cyber Angriffen auf SAP-Systeme mit SAP Enterprise Threat Detection und mehr Martin Müller (Customer Value Sales Security), SAP Deutschland SE Public Disclaimer Die in diesem Dokument
MehrSchutz von IT-Dienststrukturen durch das DFN-CERT. Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de
Schutz von IT-Dienststrukturen durch das DFN-CERT Jürgen Brauckmann DFN-CERT Services GmbH brauckmann@dfn-cert.de Schutz - Warum? Folie 2 Schutz - Warum? (1) Schutz von IT-Dienststrukturen immer bedeutsamer:
MehrUpgrade von Starke Praxis
Upgrade von Starke Praxis Version 8.x auf Version 9.x - Einzelplatz - Starke Software GmbH Lise-Meitner-Straße 1-7 D-24223 Schwentinental Tel 04307/81190 Fax 04307/811962 www.buchner.de 1. Allgemeines
MehrT.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten
T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten Tobias Hahn Fraunhofer Institut für sichere Informationstechnologie (SIT) Vorstellung Tobias Hahn Wissenschaftlicher
MehrWozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.
Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrANLEITUNG. Firmware Flash. Seite 1 von 7
ANLEITUNG Firmware Flash chiligreen LANDISK Seite 1 von 7 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 2 2 Problembeschreibung... 3 3 Ursache... 3 4 Lösung... 3 5 Werkseinstellungen der LANDISK wiederherstellen...
MehrUpdate und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten
Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert
MehrSENSIBILISIERUNG FÜR CYBERSICHERHEIT: RISIKEN FÜR VERBRAUCHER DURCH ONLINEVERHALTEN
SENSIBILISIERUNG FÜR CYBERSICHERHEIT: RISIKEN FÜR VERBRAUCHER DURCH ONLINEVERHALTEN Oktober 2013 Der Oktober ist in den USA der National Cyber Security Awareness -Monat, in dem der öffentliche und der
MehrImpulsstatement: Methoden und Ziele der massenhaften Sammlung von Daten
Impulsstatement: Methoden und Ziele der massenhaften Sammlung von Daten Prof. Dr. Michael Waidner Fraunhofer-Institut für Sichere Informationstechnologie SIT und Technische Universität Darmstadt Expertentagung»Gegen
MehrAcht Gute Gründe für Integration und einen Content Backbone
Acht Gute Gründe für Integration und einen Content Backbone COMYAN Whitepaper Autor Peter Resele Datum 9. März 2009 Status Public =GmbH Karolingerstrasse 34a 82205 Gilching Germany t + 49 810 5779390 peter.resele@comyan.com
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
MehrIT-Security Portfolio
IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training
MehrZahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)
Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009) Probleme unseres Alltags E-Mails lesen: Niemand außer mir soll meine Mails lesen! Geld abheben mit der EC-Karte: Niemand außer mir soll
MehrVirtual Roundtable: Business Intelligence - Trends
Virtueller Roundtable Aktuelle Trends im Business Intelligence in Kooperation mit BARC und dem Institut für Business Intelligence (IBI) Teilnehmer: Prof. Dr. Rainer Bischoff Organisation: Fachbereich Wirtschaftsinformatik,
MehrAnleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren
Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen
MehrInformationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:
Informationssystemanalyse Problemstellung 2 1 Problemstellung Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse: große Software-Systeme werden im Schnitt ein Jahr zu spät
MehrSichere Fernsteuerung, bzw. -wartung, zwei Beispiele für Industrie 4.0. Dr. Detlef Houdeau CODE, Fachworkshop, 26.03.
Sichere Fernsteuerung, bzw. -wartung, zwei Beispiele für Industrie 4.0 Dr. Detlef Houdeau CODE, Fachworkshop, 26.03.2015, Neubiberg Agenda n Zielsetzung des IT-Gipfel Demonstrators (10/2014) n Sicherheitsarchitektur
MehrAnleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem
Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem Information Ob in Internet-Auktionshäusern, sozialen Netzwerken oder Online-Geschäften, das Stöbern im
MehrProjekte für reale Herausforderungen Projektarbeit: Einleitung und Gliederung. Projekte für reale Herausforderungen
Steinbeis-Hochschule Berlin Institut für Organisations-Management Handout zu den YouTube-Videos: Projekte für reale Herausforderungen Projektarbeit: Einleitung und Gliederung Prof. Dr. Andreas Aulinger
Mehr12.4 Sicherheitsarchitektur
12.4 Sicherheitsarchitektur Modellierung Sicherheitsstrategie Systemmodell Sicherheitsmodell Entwurf Architektur Sicherheitsarchitektur Implementierung sicherer Code SS-12 1 Wie wird das Sicherheitsmodell
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrHERZLICH WILLKOMMEN SHAREPOINT 2013 - DEEP DIVE FOR ADMINS 11.09.2012 IOZ AG 2
11.09.2012 IOZ AG 1 HERZLICH WILLKOMMEN SHAREPOINT 2013 - DEEP DIVE FOR ADMINS 11.09.2012 IOZ AG 2 AGENDA Über mich Architekturänderungen Systemvoraussetzungen Migration Fragen 11.09.2012 IOZ AG 3 ÜBER
MehrSECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN
Matthias Heyde / Fraunhofer FOKUS SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN Dr. Jörg Caumanns Fraunhofer FOKUS, Berlin BEISPIELE FÜR EHEALTH ARCHITEKTUREN Security Security Security c c c c c c S
MehrLizenzierung von SharePoint Server 2013
Lizenzierung von SharePoint Server 2013 Das Lizenzmodell von SharePoint Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und CALs zur Lizenzierung der Zugriffe
MehrLebenszyklus einer Schwachstelle
GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines
Mehrecambria experts IT-Projekte in der Krise Ursachen und Vermeidungsstrategien aus Sicht eines Gerichtssachverständigen
ecambria experts IT Gutachten Schlichtung Beratung IT-Projekte in der Krise Ursachen und Vermeidungsstrategien aus Sicht eines Gerichtssachverständigen Dr. Oliver Stiemerling* Diplom-Informatiker ecambria
MehrUniversität zu Köln Prof. Dr. Manfred Thaller Aktuelle Probleme digitaler Medien Referat von Marcel Kemmerich vom 18.12.14
Universität zu Köln Prof. Dr. Manfred Thaller Aktuelle Probleme digitaler Medien Referat von Marcel Kemmerich vom 18.12.14 Inhalt Das Deep Web Tor-Netzwerk & Hidden Services Hacktivism Regierung im Deep
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrAnleitung zum DKM-Computercheck Windows Defender aktivieren
Anleitung zum DKM-Computercheck Windows Defender aktivieren Ziel der Anleitung Sie möchten das Antivirenprogramm Windows Defender auf Ihrem Computer aktivieren, um gegen zukünftige Angriffe besser gewappnet
MehrLizenzierung von SharePoint Server 2013
Lizenzierung von SharePoint Server 2013 Das Lizenzmodell von SharePoint Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und CALs zur Lizenzierung der Zugriffe
MehrWas ist LDAP. Aufbau einer LDAP-Injection. Sicherheitsmaßnahmen. Agenda. LDAP-Injection. ITSB2006 WS 09/10 Netzwerkkonfiguration und Security
Agenda Was ist LDAP Aufbau einer Sicherheitsmaßnahmen Was ist LDAP Abstract RFC4510 The Lightweight Directory Access Protocol (LDAP) is an Internetprotocol for accessing distributed directory services
MehrEngagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.
Engagement der Industrie im Bereich Cyber Defense Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25. April 2012 Cyber Defense = Informationssicherheit 2 Bedrohungen und Risiken Bedrohungen
MehrSurfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen. www.bsi-fuer-buerger.
Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Im Internet surfen ist wie Autofahren reinsetzen
MehrIT-Security Awareness. Schulungen. info@brainsecurity.de www.brainsecurity.de Stand: September 2014. Seite 1 von 11
IT-Security Awareness Schulungen Seite 1 von 11 Schulungen Langatmige PowerPoint-Vorträge gibt s woanders! Unsere Awareness-Schulungen und -Workshops werden frei nach Ihren Wünschen angepasst und beinhalten
MehrInstallation der SAS Foundation Software auf Windows
Installation der SAS Foundation Software auf Windows Der installierende Benutzer unter Windows muss Mitglied der lokalen Gruppe Administratoren / Administrators sein und damit das Recht besitzen, Software
MehrDie Telematikinfrastruktur als sichere Basis im Gesundheitswesen
Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?
MehrDominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH
Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH Peter Cullen, Microsoft Corporation Sicherheit - Die Sicherheit der Computer und Netzwerke unserer Kunden hat Top-Priorität und wir haben
MehrFit for Fair-Training. Unternehmensberatung. Mit Weitblick & System!
Fit for Fair-Training Unternehmensberatung. Mit Weitblick & System! Wer wir sind Die Freese Marketing Gesellschaft (FMG) wurde von Dr. Christoph Freese und Claas Freese gegründet. Dr. Christoph Freese
Mehr----------------------------------------------------------------------------------------------------------------------------------------
0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,
MehrSicherheit von Open Source Software
Sicherheit von Open Source Software Wie sicher ist Open Source Software? Lukas Kairies Gliederung 1. Begriffseinführung 1. Freie Software 2. Open Source Software 2. Sicherheitsphilosophien 1. Open Source
MehrNachricht der Kundenbetreuung
Cisco WebEx: Service-Pack vom [[DATE]] für [[WEBEXURL]] Sehr geehrter Cisco WebEx-Kunde, Cisco WebEx sendet diese Mitteilung an wichtige Geschäftskontakte unter https://[[webexurl]]. Ab Samstag, 1. November
MehrSystemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrKlassenentwurf. Wie schreiben wir Klassen, die leicht zu verstehen, wartbar und wiederverwendbar sind? Objektorientierte Programmierung mit Java
Objektorientierte Programmierung mit Java Eine praxisnahe Einführung mit BlueJ Klassenentwurf Wie schreiben wir Klassen, die leicht zu verstehen, wartbar und wiederverwendbar sind? 1.0 Zentrale Konzepte
MehrIBM Security Systems: Intelligente Sicherheit für die Cloud
: Intelligente Sicherheit für die Cloud Oliver Oldach Arrow ECS GmbH 2011 Sampling of Security Incidents by Attack Type, Time and Impact Conjecture of relative breach impact is based on publicly disclosed
MehrEIDAMO Webshop-Lösung - White Paper
Stand: 28.11.2006»EIDAMO Screenshots«- Bildschirmansichten des EIDAMO Managers Systemarchitektur Die aktuelle EIDAMO Version besteht aus unterschiedlichen Programmteilen (Komponenten). Grundsätzlich wird
MehrJava Entwicklung für Embedded Devices Best & Worst Practices!
Java Entwicklung für Embedded Devices! George Mesesan Microdoc GmbH Natürlich können wir dieses neue log4j Bundle auch auf dem Device verwenden. Ist doch alles Java. Java Micro Edition (ME) Java Standard
MehrTess TeSign nutzen mit App's"! iphone und Bria Informationen zur Nutzung
Tess TeSign nutzen mit App's"! iphone und Bria Informationen zur Nutzung Der Begriff App ist die Kurzform für Applikation und bedeutet Anwendungssoftware. Mit dem Herunterladen von App s kann man sich
MehrAnalyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS
Analyse zum Thema: Laufzeit von Support-Leistungen für Axel Oppermann Advisor phone: +49 561 506975-24 mobile: +49 151 223 223 00 axel.oppermann@experton-group.com Januar 2010 Inhalt Summary und Key Findings
Mehr»d!conomy«die nächste Stufe der Digitalisierung
»d!conomy«die nächste Stufe der Digitalisierung Prof. Dieter Kempf, BITKOM-Präsident Oliver Frese, Vorstandsmitglied Deutsche Messe AG Hannover, 15. März 2015 Digitalisierung in Unternehmen Einsatz von
MehrSoziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.
www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,
MehrIT-Security Portfolio
IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen
Mehr