Richtlinie - A1 Sicherheitsanforderungen an Produkte, Systeme, Applikationen

Größe: px
Ab Seite anzeigen:

Download "Richtlinie - A1 Sicherheitsanforderungen an Produkte, Systeme, Applikationen"

Transkript

1 Richtlinie - A1 Sicherheitsanforderungen an Produkte, Systeme, Applikationen Diese Richtlinie beschreibt die Mindest-Sicherheitsanforderungen der A1 Telekom Austria ( A1 ) an Produkte, Systeme oder Applikationen, die bei oder für A1 eingesetzt werden. Die Richtlinie gilt sowohl für A1 als auch für Lieferanten (auch Auftragnehmer genannt). Der Lieferant und/oder A1 haben die Umsetzung der Sicherheitsanforderungen im Zuge der Implementierung/Lieferung von Produkten, Systemen oder Applikationen mittels Checkliste (Security_Requirements_Checklist_2013) zu dokumentieren. Darüber hinaus gilt die A1 Information Security Policy *. A1 trifft geeignete Schutzvorkehrungen gegen folgende Bedrohungen: unerlaubtes Eindringen in das Firmennetz und damit die Gefahr der Sabotage, der Datenmanipulation und des Datendiebstahls einschleusen von malicious (bösartigem) Code ins Firmennetz blockieren von Applikationen/Services (insbesondere durch Denial of Service Attacken) alle weiteren nicht genannten zurzeit bekannten und auch zukünftigen Bedrohungen, die bei A1 Schaden verursachen könnten. Folgende Themenbereiche und Maßnahmen werden in dieser Richtlinie adressiert: 1. Security Maßnahmen (für alle Systeme erforderlich) 2. Unternehmenskritische Daten, Verkehrsdaten, Besondere Anforderungen zur Geheimhaltung von Daten (für Systeme gültig, wo diese Daten gespeichert werden) 3. Betriebliche Prozesse (für alle Systeme erforderlich) 4. Internes Kontrollsystem (für ICS-relevante Systeme) 5. Outsourcing (für ausgelagerte Systeme) OP Information Security/Legal Mai 2013_V1 1 von 7

2 1. Security Maßnahmen: 1.1. Authentifizierung Daten und sonstige in Systemen/Applikationen enthaltene Inhalte dürfen generell erst nach erfolgreicher Authentifizierung der Benutzer bzw. Zielsysteme ausgegeben werden. Die Authentifizierung eines Benutzers erfolgt mittels Kerberos mit dem Active Directory ( AD ). Das AD ist die Zentrale Benutzerdatenbank im Unternehmen der A1. Durch die Kerberos Authentifizierung wird auch SSO (Single-Sign-On) ermöglicht. Sollte Kerberos/SSO nicht möglich sein, muss eine alternative sichere Authentifizierung mit dem AD durchgeführt werden. Passwörter werden verschlüsselt im Filesystem bzw. in der Datenbank gespeichert und verschlüsselt im Netz übertragen, um das Risiko des Passwort-Diebstahls zu verringern. Hierzu werden nur State-of-the-Art Verfahren verwendet. Passwortspeicherung und Übertragung im Klartext ist verboten. Erfolgt der Zugang von außerhalb des Unternehmensnetzwerkes, muss die Authentifizierung mittels 2 Faktor Authentifizierung mit Corporate Account /PW + z.b. Zertifikat/SMS-Token/RSA- Token oder adäquater Technologie erfolgen. Zur Authentifizierung von Benutzern können auch alternative Systeme verwendet werden, die folgende Mindestkriterien erfüllen müssen: o Kennwörter mindestens 8-stellig o Komplex (Kombination aus Gross-/Kleinbuchstaben, Ziffern und Sonderzeichen) o regelmäßige Aufforderung zur Änderung des Kennworts nach z.b. 30 Tagen o Account wird automatisch nach mehrmaliger (z.b. 5) Falscheingaben gesperrt o Usernamen/Passwörter dürfen nicht fix in die Applikation programmiert sein o zufallsbasierend generierte Usernamen, woraus kein Rückschluss auf den Namen des Benutzers gezogen werden kann. Jeder angelegte User muss auch einen Account im Corporate Directory (CD) haben o rollenbasierende Berechtigungen o automatische Sperre nach Inaktivität o zwingende Änderung des Initialpasswortes nach Ersteinstieg o Passwort und Username sowie Teile davon dürfen nicht gleich sein o Die Änderung der System-, Applikations- und Datenbankkennwörter muss nach Übergabe an A1 erfolgen und hat jederzeit leicht änderbar zu sein Autorisierung Berechtigungen müssen generell rollenbasiert vergeben werden. Zentrale Autorisierung über den Standard-Genehmigungsprozess der Benutzerverwaltung. Zentrale Auflistung/Einsicht und automatische Auswertung aller Berechtigungen mit der Zugehörigkeit zu den Benutzern und Status des Accounts, z.b. gesperrt, deaktiviert, etc Hardening Nicht benötigte Ports, Schnittstellen und Services sind deaktiviert. Eine Beschreibung der benötigten Ports ist dokumentiert. Systeme werden frei von bekannten Sicherheitsmängeln an den A1 Betrieb übergeben. Default Passwörter werden vor der Übergabe an den A1 Betrieb geändert. OP Information Security/Legal Mai 2013_V1 2 von 7

3 Die Verwendung des Standard Virenschutzes, den es bei A1 für die entsprechende Plattform bereits gibt, muss möglich sein. Der Auftragnehmer hat die dafür notwendigen Informationen bei A1 einzuholen. Die Hardening Maßnahmen und der Patchstand werden durch Vulnerability Scans von A1 regelmäßig überprüft. Der Hersteller/Lieferant stellt Security-Patches spätestens 1 Woche nach öffentlicher Bekanntgabe auf Security Plattformen (CERT, SecurityTracker, Heise, etc.) oder in einem Zeitraum der im Service Level Agreement (SLA) definiert ist, bereit. Der Hersteller/Lieferant stellt Security-Patches spätestens 2 Wochen nach Entdecken mit den A1 Vulnerability Management-/Scan-Tools oder in einem Zeitraum der im SLA definiert ist, bereit. Es muss die automatisierte Möglichkeit geben, heruntergeladene Patches bzw. Software Updates auf ihre Integrität zu überprüfen Protokollierung Zentrale Protokollierung: o Login (erfolgreich/nicht erfolgreich) und Logoff o Protokollierung von Änderungen an Benutzerkonten und Berechtigungen o Protokollierung des Zurücksetzens von Passwörtern o Protokollierung der Änderungen an der Konfiguration von Komponenten o Protokollierungsdaten sind entsprechend den gesetzlichen und internen Vorgaben aufzubewahren Protokolldaten müssen mindestens folgende Daten enthalten: o Datum und Uhrzeit, Hostname/IP-Adresse, Account, Applikation/Service Export der Protokolldaten in einem allgemein bearbeitbaren Format (z.b. CSV, XML, syslog) muss möglich sein Architektur Applikationen sind in mehreren Tiers aufzubauen die sicher voneinander zu trennen sind, beim Zugriff darf kein Tier übersprungen werden. Der Zugriff von einem Tier zum nächsten ist nur über definierte Protokolle (Ports) möglich. Es muss eine Trennung in Test-, Integrations- und Produktivsystem erfolgen. Entwickler haben ohne ausdrückliche schriftliche Erlaubnis seitens A1 - auf dem Produktivsystem keinen Zugriff Der Einsatz von SNMP (Simple Network Management Protocol) wird aus sicherheitstechnischen Gründen nicht unterstützt Softwareentwicklung Die Entwicklung der Software erfolgt nach den Regeln der Informationssicherheit unter Berücksichtigung des OWASP Development Guide bzw. ÖNORM A7700 in der aktuellen Version. Berücksichtigung der OWASP Top 10 Application Security Risks. In der Test- und Change-Management Phase wird das Endergebnis von A1 mit einem Tool auf Sicherheitsmängel untersucht (z.b. Penetration Tests). Die Mängel sind vom Lieferanten ohne zusätzliche Kosten zu beheben Verschlüsselung Das System bietet die Möglichkeit, Daten bei Bedarf gezielt zu verschlüsseln (sowohl während der Übertragung, als auch beim Speichern auf Datenträger). OP Information Security/Legal Mai 2013_V1 3 von 7

4 Bereits in der Design- bzw. Ausschreibungsphase des Systems wird seitens A1 festgelegt, welche Daten verschlüsselt werden müssen; fehlen solche Anforderungen wird der Lieferant die notwendigen Informationen proaktiv bei A1 einholen Administration Eine direkte Verbindung auf ein System zum Zwecke der Administration ist nur innerhalb des A1 Netzwerkes erlaubt. Soll die Administration von außerhalb (des A1 Netzwerkes) erfolgen, darf nur eine Verbindung über festgelegte Ports der Firewall zu einem Zugangspunkt in der Demilitarized Zone (DMZ) möglich sein, von dem aus man sich dann auf das jeweilige Ziel-System weiter verbinden kann. Zur Administration sind sichere Applikationen (z.b. ssh, sftp, etc.) einzusetzen, welche über sichere Datenprotokolle (z.b. SSL) mit den Systemen kommunizieren. 2. Unternehmenskritische Daten, Verkehrsdaten, Besondere Anforderungen zur Geheimhaltung von Daten 2.1. Unternehmenskritische Daten Folgende Maßnahmen sind zusätzlich zu treffen, wenn bei Produkten bzw. Systemen oder Applikationen Kunden-, Verkehrs- oder andere schützenswerte Daten (siehe RL Unternehmenskritische Daten *) verarbeitet bzw. gespeichert werden oder Schnittstellen zu diesen Daten bestehen: Logging Protokollierung des Zugriffs/Exports unternehmenskritischer Daten Protokollierungsdaten sind entsprechend den jeweils aktuellen Vorgaben der A1 aufzubewahren, jedenfalls muss eine entsprechende Parametrisierung des Loggins möglich sein Löschen von Daten Kunden-, Verkehrs- oder andere schützenswerte Daten sind nach gesetzlichen Vorgaben der A1 zeitgerecht, regelmäßig, automatisiert zu löschen. Dies ist in der Designphase von A1 zu spezifizieren; fehlen solche Spezifikationen wird der Lieferant die notwendigen Informationen proaktiv bei A1 einholen. Jedenfalls hat der Lieferant die Daten zu löschen, wenn diese nicht mehr zur Erfüllung der vertraglichen Pflichten benötigt werden Verschlüsselung Kunden-, Verkehrs- oder andere schützenswerte Daten sind sowohl während der Übertragung im Datennetz, als auch beim Speichern auf Datenträgern zu verschlüsseln Penetration Test OP Information Security/Legal Mai 2013_V1 4 von 7

5 um den Sicherheitslevel zu evaluieren, werden Methoden des Penetration Testing verwendet. Mit Black- oder Whitebox Tests werden Angriffe simuliert. Der Lieferant muss gefundene Sicherheitsmängel umgehend beheben Vulnerability Scans Die Produkte bzw. Systeme oder Applikationen müssen in einem gehärteten und aktuell gepatchten Zustand geliefert bzw. implementiert werden. Vor Inbetriebnahme wird dies mittels Vulnerability Scans, die von A1 durchgeführt werden sichergestellt (dies als Teil des Abnahmeprozesses). Für Sicherheits-Schwachstellen, die nach Inbetriebnahme entdeckt werden, muss der Lieferant notwendige Updates kostenfrei zur Verfügung stellen Verkehrsdaten Wenn ein System Verkehrsdaten verarbeitet, sind alle Anforderungen der Richtlinie Vorratsdatenspeicherung und Datenlöschung* sowie die Anforderungen der jeweils aktuellen Richtlinien der A1 zum Thema Verkehrsdaten* einzuhalten Besondere Anforderungen zur Geheimhaltung von Daten Wenn ein System Daten unterschiedlicher Geschäftsbereiche in der A1 verarbeitet, muss eine Trennung der Geschäftsbereiche mittels definierter Zugriffsrechte möglich sein. 3. Betriebliche Prozesse 3.1. Anforderungsmanagement Die strukturierte Abhandlung von technischen Demands (Anforderungen) für eine neue Geschäftsanforderung oder eine Änderung einer bestehenden technischen Lösung sind über den von A1 vorgegebenen Prozess abzuwickeln Changemangement Alle Änderungen auf einem System od. Applikation müssen gemäß dem von A1 vorgegebenen Changeprozess durchgeführt werden Tests Änderungen auf einem System od. Applikation müssen entsprechend den Vorgaben des A1 Demand bzw. Changeprozesses vor Inbetriebnahme getestet werden Verwaltung von Daten und Jobverwaltung Die Abläufe für Backup, Restore und Jobabläufe müssen in die vorhandenen Prozesse von A1 eingebunden werden. OP Information Security/Legal Mai 2013_V1 5 von 7

6 4. Internes Kontrollsystem 4.1. Implementierung von Kontrollen Wenn ein neues System installiert wird, muss eine Relevanzanalyse mit dem ICS Competence Center durchgeführt werden. Wenn eine ICS-Relevanz besteht, müssen alle Kontrollen des internen Kontrollsystems auf dem System durchgeführt werden. Die Ansprechpartner für die Implementierung der Kontrollen sind die Process- und Control Responsibles in A1. Die Minimalanforderung sind die IT General Controls von A1 (siehe A1 ITGC _Kontrollliste*) Laufende Durchführung von Kontrollen Der Bereich Operation Information Security in A1 koordiniert die Implementierung und regelmäßige Durchführung der Kontrollen. 5. Outsourcing Wenn ein System oder Systemteile an entsprechende Lieferanten ausgelagert werden, gilt Folgendes: 5.1. Betrifft alle Systeme/Systemteile Der Lieferant hat ein Sicherheitskonzept über die Sicherheit der Daten vorzulegen, welches von A1 im Rahmen der Angebotsverhandlungen bewertet wird. Alle unter Punkt 1 Security Maßnahmen, Punkt 2 Unternehmenskritische Daten, Verkehrsdaten und Besondere Anforderungen zur Geheimhaltung von Daten sowie Punkt 3 Betriebliche Prozesse angeführten Maßnahmen müssen vom Auftragnehmer erfüllt werden. Service Level Agreements (SLAs) müssen vertraglich vereinbart werden und haben gemäß den jeweiligen Anforderungen von A1 z.b. entsprechende Pönalen bei Nichteinhaltung vorzusehen. Eine Zuständigkeitsmatrix der jeweiligen Leistungen muss vertraglich vereinbart werden Sicherheitsvorfälle (zb Einbruch, Sicherheitslücken, etc) beim Auftragnehmer im Rahmen der Vertragserfüllung müssen unverzüglich an A1 gemeldet werden Zusätzliche Anforderungen, wenn das System ICS-relevant ist: Der Auftragnehmer ist zertifiziert Der Anbieter muss ein Zertifikat für die zu erbringenden Tätigkeiten aufweisen können (SSAE 16, ISAE 3402, oder ISO 27001) Es ist mindestens ein Report pro Jahr über den aktuellen Zustand des Kontrollsystems an A1 zu übermitteln Zuständigkeitsmatrix über die Abdeckung der Risiken zwischen Auftragnehmer und A1 muss vorhanden sein. OP Information Security/Legal Mai 2013_V1 6 von 7

7 Der Auftragnehmer ist nicht zertifiziert Der Auftragnehmer muss Nachweise erbringen, dass sämtliche IT-Risiken durch interne Kontrollen abgesichert sind. o Zuständigkeitsmatrix über die Abdeckung der Risiken zwischen Auftragnehmer und A1 muss vorhanden sein o Kontrollnachweise der ausgelagerten Systembereiche müssen regelmäßig vorgelegt werden o Über die betroffenen Bereiche muss A1 ein Auditrecht eingeräumt werden. 6. Auditrecht Der Lieferant ermöglicht A1, die Überprüfung der Einhaltung der A1 Sicherheitsanforderungen durchzuführen bzw. stellt die notwendigen Nachweise ohne zeitliche Verzögerung zur Verfügung. A1 wird die Ausübung des Auditrechtes mindestens 5 Werktage vorab ankündigen. Der Lieferant stellt nachweislich sicher, dass dieses Auditrecht allfälligen Subunternehmern entsprechend vertraglich überbunden wird. OP Information Security/Legal Mai 2013_V1 7 von 7

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Scan Resolve Analyse Report Transparenz in Windows-Dateisystemen Rechte- und Risiko-Analysen in gewachsenen Windows-Dateisystemen Revision, Wirtschaftsprüfer und Aufsichtsbehörden fordern verstärkt detaillierte

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

Richtlinie zur Nutzung des Remote Access Services

Richtlinie zur Nutzung des Remote Access Services Richtlinie zur Nutzung des Remote Access Services vom 19.9.2011 Als Bestandteil zum Antrag für den Remote Access, werden die Einsatzmöglichkeiten, die Richtlinien und Verantwortlichkeiten für die Zugriffe

Mehr

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Raiffeisen Informatik Tätigkeitsfeld Security Competence Center Zwettl Datensicherheit Gesetzliche Anforderungen Angriffsvektoren

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Mission Critical Mobile Solutions

Mission Critical Mobile Solutions Mission Critical Mobile Solutions Anwendungsmöglichkeiten sowie Sicherheitsaspekte im Bereich Mobility und Situational Awareness Dipl.-Ing. Rainer Halanek Dr. Dan Temmer FREQUENTIS 2012 Datum: 2012-06-05

Mehr

INFINIGATE. - Managed Security Services -

INFINIGATE. - Managed Security Services - INFINIGATE - Managed Security Services - Michael Dudli, Teamleader Security Engineering, Infinigate Christoph Barreith, Senior Security Engineering, Infinigate Agenda Was ist Managed Security Services?

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sophos Anti-Virus im Active Directory

Sophos Anti-Virus im Active Directory Folie S1 Sophos Anti-Virus im Active Directory Sophos Enterprise Manager und Enterprise Library auf AD-Server GWD-Software Abonnement verschiedener Sophos-Produkte, Vorhaltung der abonnierten Antiviren-Software

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn

Mehr

WOTAN-GRC-Monitor. Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln)

WOTAN-GRC-Monitor. Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln) Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln) WOTAN-GRC-Monitor Das Risiko eines Unternehmens ist zu einem beträchtlichen Teil von

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Internet - Sicherheit Telekom Austria s Investition in eine gemeinsame Zukunft

Internet - Sicherheit Telekom Austria s Investition in eine gemeinsame Zukunft Internet - Sicherheit Telekom Austria s Investition in eine gemeinsame Zukunft Name: Armin Sumesgutner Datum. 17.02.2005 Armin Sumesgutner / Robert Hofer-Lombardini 1 Internetnutzung (Quelle Statistik

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

OEDIV SSL-VPN Portal Anbindung Externe

OEDIV SSL-VPN Portal Anbindung Externe OEDIV SSL-VPN Portal Anbindung Externe Collaboration & Communication Services Stand 10.03.2015 Seite 1 von 11 Inhaltverzeichnis 1 Allgemeine Informationen... 3 2 Voraussetzungen... 3 3 Anmeldung am Portal...

Mehr

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen Linux & Security Andreas Haumer xs+s Einsatz von Linux in sicherheitsrelevanten Umgebungen Einführung Netzwerksicherheit wichtiger denn je Unternehmenskritische IT Infrastruktur Abhängigkeit von E Services

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

UCS 2.4 Sicherheits-Update 3

UCS 2.4 Sicherheits-Update 3 UCS 2.4 Sicherheits-Update 3 Thema: Änderungen im Sicherheitsupdate 3 für UCS 2.4 Datum: 3. Mai 2011 Seitenzahl: 7 Versionsnummer: 8598 Autoren: Univention GmbH feedback@univention.de Univention GmbH Mary-Somerville-Straße

Mehr

Workbooster File Exchanger Command Line Tool

Workbooster File Exchanger Command Line Tool Thema Technische Benutzerdokumentation - WBFileExchanger Workbooster File Exchanger Command Line Tool Letzte Anpassung 18. Januar 2014 Status / Version Finale Version - V 1.1 Summary Erstellung Diese technische

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

04.06.2013. Mobile Business. SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs?

04.06.2013. Mobile Business. SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs? 04.06.2013 Mobile Business SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs? Kurze Vorstellung Mobile Geräte: Herausforderungen Mobile Geräte: Sicherheit Realisierungsbeispiel Fragen & Antworten

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Best Practice Standardportal Bundesministerium für Inneres und Land-, forst- und wasserwirtschaftliches Rechenzentrum

Mehr

(IT - Dienstleistungsvertrag)

(IT - Dienstleistungsvertrag) (IT - Dienstleistungsvertrag) Seite 1 von 5 Auftraggeber (nachfolgend Kunde genannt) Auftragnehmer (nachfolgend Provider genannt) Transoffice GmbH Industriestrasse 27 61381 Friedrichsdorf 1. Präambel Das

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

Ihr Laptop mit Sicherheit?

Ihr Laptop mit Sicherheit? Ihr Laptop mit Sicherheit? Agenda Was bedroht Sie und Ihren Laptop? Legen Sie Ihren Laptop an die Kette Ihr Laptop mit Sicherheit! 2 Was bedroht Sie und Ihren Laptop? Was bedroht Sie und Ihren Laptop?

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Internet Information Services v6.0

Internet Information Services v6.0 Internet Information Services v6.0 IIS History Evolution von IIS: V1.0 kostenlos auf der CeBit 1996 verteilt V2.0 Teil von Windows NT 4.0 V3.0 Als Update in SP3 von NT4.0 integriert V4.0 Windows NT 4.0

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Designprinzipien sicherer Systeme

Designprinzipien sicherer Systeme Designprinzipien sicherer Systeme Defense in Depth, Least Privilege, Design for Evil, Attack Surface Reduction, Security through Diversity, Dr. Peer Wichmann IT-Sicherheitsbeauftragter WIBU-SYSTEMS AG

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I Sicherheitsaspekte in Service Orientierten Architekturen Eike Falkenberg Sommersemester 2006 Anwendungen I Agenda SOA? Web Services? Sicherheitsrisiko Web Services Web Services & Sicherheit Sichere SOAs

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO an bi-cube IPM

Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO an bi-cube IPM Whitepaper bi-cube SSO Synergien durch die Anbindung eines externen SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 ZIEL...3 2 FUNKTIONS-KONZEPT...3 2.1 Struktur...3

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

BusinessMail X.400 Webinterface Mailbox V2.6

BusinessMail X.400 Webinterface Mailbox V2.6 V2.6 Benutzerinformation (1) In der Vergangenheit mussten Sie eine Sperre für Mitteilungen aus dem Internet bzw. die Freischaltung von definierten Partner über ein Formblatt bei der zentralen Administration

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

Vulnerability Management

Vulnerability Management Quelle. fotolia Vulnerability Management The early bird catches the worm Dipl.-Ing. Lukas Memelauer, BSc lukas.memelauer@calpana.com calpana business consulting gmbh Blumauerstraße 43, 4020 Linz 1 Agenda

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

Anleitung. Schritt für Schritt: iphone und ipad. Richten Sie Ihr E-Mail-Konto mit Ihrem iphone oder ipad Schritt für Schritt ein.

Anleitung. Schritt für Schritt: iphone und ipad. Richten Sie Ihr E-Mail-Konto mit Ihrem iphone oder ipad Schritt für Schritt ein. Anleitung Schritt für Schritt: iphone und ipad Richten Sie Ihr E-Mail-Konto mit Ihrem iphone oder ipad Schritt für Schritt ein. Inhaltsverzeichnis 1 E-Mail-Konten-Verwaltung... 1 2 E-Mail-Konto hinzufügen...

Mehr

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software

Mehr

1 ZIEL: ENGE INTEGRATION EINER PKI MIT EINEM IDENTITY & PROVISIONING MANAGEMENT SYSTEM (IPM)...2 3 PKI-PROZESSE...3. 3.1 Tokenverwaltung...

1 ZIEL: ENGE INTEGRATION EINER PKI MIT EINEM IDENTITY & PROVISIONING MANAGEMENT SYSTEM (IPM)...2 3 PKI-PROZESSE...3. 3.1 Tokenverwaltung... IPM mit integrierter PKI Inhalt 1 ZIEL: ENGE INTEGRATION EINER PKI MIT EINEM IDENTITY & PROVISIONING SYSTEM (IPM)...2 2 BI-CUBE PKI...3 3 PKI-PROZESSE...3 3.1 Tokenverwaltung...3 3.2 Tokenzuweisung...4

Mehr

07/2014 André Fritsche

07/2014 André Fritsche 07/2014 André Fritsche Seite 1 von 33 Gestern ging es Heute nicht mehr? Wer, hat was, wann und wo geändert, gelöscht? Was machen die Administratoren? Wer greift auf welche Daten und Systeme zu? Seite 2

Mehr

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei

Mehr

Securepoint Security Systems

Securepoint Security Systems HowTo: Installation Securepoint 10 Securepoint Security Systems Version 10 Inhalt 1 Wichtiger Hinweis vor der Installation... 3 2 Neue Features der Securepoint Version 10... 3 2.1 Allgemein... 3 2.2 HTTP

Mehr

Richtlinie für vertraglich gebundene externe Nutzer der GASAG Konzern-IT-Systeme

Richtlinie für vertraglich gebundene externe Nutzer der GASAG Konzern-IT-Systeme Richtlinie für vertraglich gebundene externe Nutzer der GASAG Konzern-IT-Systeme Fachverantwortlicher: IT-Konzernstrategie Version 1.0 Letzte Aktualisierung: 16.03.2009 Inhaltsverzeichnis 1 Geltungsbereich...2

Mehr

1.05 Informationssysteme und -technologien Novelliert am: 2014-12-15

1.05 Informationssysteme und -technologien Novelliert am: 2014-12-15 Ersteller Fachgarant Genehmigt von Blätter Anlagen D. Marek (EOS/2) EOS VS 5 Die Richtlinie ist gültig für alle Standorte von ŠKODA AUTO. Inhalt: 1 Verwendete Begriffe und Abkürzungen... 3 2 IT-Planung...

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Yellowbill Adapter Spezifikationen Voraussetzungen Datum : 22.08.2013 Version : 1.0.0.2 22.08.2013 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung...3 2 Architektur...3 2.1 Grundsätze

Mehr

Sicherheit in der Cloud aus Sicht eines Hosting-Providers

Sicherheit in der Cloud aus Sicht eines Hosting-Providers Sicherheit in der Cloud aus Sicht eines Hosting-Providers Veranstaltung Wirtschaftsspione haben auch Ihre Firmendaten im Visier der Nürnberger Initiative für die Kommunikationswirtschaft NIK e.v. vom 07.04.2014

Mehr

23. Automation Day 2014. OPC UA Security. Uwe Steinkrauss (ascolab GmbH)

23. Automation Day 2014. OPC UA Security. Uwe Steinkrauss (ascolab GmbH) OPC UA Security Uwe Steinkrauss (ascolab GmbH) Bewusstsein über das Risiko Stephen Cummings, director of the British government's Centre for the Protection of National Infrastructure, Cyberterrorism is

Mehr

EDI Connect goes BusinessContact V2.1

EDI Connect goes BusinessContact V2.1 EDI Connect goes BusinessContact V2.1 Allgemeine Informationen Ziel dieser Konfiguration ist die Kommunikation von EDI Connect mit dem neuen BusinessContact V2.1 Service herzustellen Dazu sind im wesentlichen

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Empfehlungen für die Vergabe von Passwörtern

Empfehlungen für die Vergabe von Passwörtern Berliner Beauftragter für Datenschutz und Informationsfreiheit Ratgeber zum Datenschutz Nr. 3 Empfehlungen für die Vergabe von Passwörtern Voraussetzung dafür, dass die Vertraulichkeit, Integrität und

Mehr

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH Single-Sign-On mit Java und Kerberos Michael Wiesner, SOFTCON IT-Service GmbH Über mich Softwareentwickler und Sicherheitsexperte bei der Firma SOFTCON Projekte: Enterprise Software, Webportale, Sicherheitslösungen,...

Mehr

Anwendungsintegration an Hochschulen am Beispiel von Identity Management. Norbert Weinberger - Sun Summit Bonn 26.4.2006

Anwendungsintegration an Hochschulen am Beispiel von Identity Management. Norbert Weinberger - Sun Summit Bonn 26.4.2006 Anwendungsintegration an Hochschulen am Beispiel von Identity Management Norbert Weinberger - Sun Summit Bonn 26.4.2006 Ausgangslage: Anwendungsinseln Zugang zu IT- Ressourcen, z.b. Radius Rechenzentrum

Mehr

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005 XIONET empowering technologies AG Bochum, 20. Oktober 2005 EIS Analyseorientierte Informationssysteme DSS Einkauf F u E MIS Lager Vertrieb Produktion Operative Informationssysteme Folie 2 Oktober 05 Anwender

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Nutzungsbestimmungen. Online Exportgarantien

Nutzungsbestimmungen. Online Exportgarantien Nutzungsbestimmungen Online Exportgarantien November 2013 1 Allgemeines Zwischen der Oesterreichischen Kontrollbank Aktiengesellschaft (nachfolgend "OeKB") und dem Vertragspartner gelten die Allgemeinen

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick

IT-Schwachstellenampel: Produktsicherheit auf einen Blick Fotolia Andrew Ostrovsky IHK-INFORMATIONSVERANSTALTUNG: IT-SICHERHEIT: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick 1 Aktuelle Lage 2 Bedrohungen für

Mehr

MSXFORUM - Exchange Server 2007 > Exchange 2007 - Architektur

MSXFORUM - Exchange Server 2007 > Exchange 2007 - Architektur Page 1 of 5 Exchange 2007 - Architektur Kategorie : Exchange Server 2007 Veröffentlicht von webmaster am 18.03.2007 Warum wurde die Architektur in der Exchange 2007 Version so überarbeitet? Der Grund liegt

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

ÖSTERREICH RECHNET MIT UNS. Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015

ÖSTERREICH RECHNET MIT UNS. Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015 ÖSTERREICH RECHNET MIT UNS Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015 www.brz.gv.at BRZ GmbH 2015 AGENDA Ausgangsbasis Webservice bei E-RECHNUNG.GV.AT SERWS Ziele

Mehr

Sicherheits- & Management Aspekte im mobilen Umfeld

Sicherheits- & Management Aspekte im mobilen Umfeld Sicherheits- & Management Aspekte im mobilen Umfeld Einfach war gestern 1 2012 IBM Corporation Zielgerichtete Angriffe erschüttern Unternehmen und Behörden 2 Source: IBM X-Force 2011 Trend and Risk Report

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Wo kann GFI EventsManager im Netzwerk installiert werden?

Wo kann GFI EventsManager im Netzwerk installiert werden? Installation Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet ihres Standorts auf allen Computern im Netzwerk installiert werden, die die Systemvoraussetzungen

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

Version Bearbeitung Ersteller Datum. 1.0 Neues Dokument kr 02.02.2015

Version Bearbeitung Ersteller Datum. 1.0 Neues Dokument kr 02.02.2015 Verwaltungsdirektion Abteilung Informatikdienste Version Bearbeitung Ersteller Datum 1.0 Neues Dokument kr 02.02.2015 Verteiler Klassifikation Dokumentenstatus Verwaltungsdirektion, IT-Verantwortliche,

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Paynet Adapter Spezifikationen Voraussetzungen Datum : 21.07.08 Version : 1.0.0.2 21.07.2008 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung... 3 2 Architektur... 3 2.1 Grundsätze

Mehr

1. Einleitung... 1 2. Abfrage des COON-Benutzernamens... 2 3. Ändern des Initial-Passwortes... 6 4. Anmelden an der COON-Plattform...

1. Einleitung... 1 2. Abfrage des COON-Benutzernamens... 2 3. Ändern des Initial-Passwortes... 6 4. Anmelden an der COON-Plattform... Seite 1 von 9 Inhaltsverzeichnis 1. Einleitung... 1 2. Abfrage des COON-Benutzernamens... 2 3. Ändern des Initial-Passwortes... 6 4. Anmelden an der COON-Plattform... 7 1. Einleitung Dieses Dokument beschreibt

Mehr

LDAP Integration. Menüpunkt: System > Time To Do: Die Uhzeit/Zeitzone der SonicWALL mit dem AD-Server abgleichen

LDAP Integration. Menüpunkt: System > Time To Do: Die Uhzeit/Zeitzone der SonicWALL mit dem AD-Server abgleichen LDAP Integration Firewall Betriebessystem: alle Versionen Erstellungsdatum: 29.11.2010 Letzte Änderung: 29.11.2010 Benötigte Konfigurationszeit: ca. 10 Minuten Vorraussetzungen: per LDAP abfragbarer Server

Mehr

SolutionContract FlexFrame füroracle RE

SolutionContract FlexFrame füroracle RE SolutionContract FlexFrame füroracle RE Hardware und Software Maintenancefür DynamicData Center-Infrastrukturen Copyright 2010 FUJITSU TECHNOLOGY SOLUTIONS Agenda Situation Lösung Vorteile 1 Einleitung

Mehr