A4C WEB APPLICATION ASSESSMENT

Größe: px
Ab Seite anzeigen:

Download "A4C WEB APPLICATION ASSESSMENT"

Transkript

1 CSC DEUTSCHLAND SOLUTIONS GMBH A4C WEB APPLICATION ASSESSMENT München,

2 Angebot an CLIENT_FULL ANSCHRIFT Über A4C Web Application Assessment von CSC Deutschland Solutions GmbH Abraham-Lincoln-Park Wiesbaden DEUTSCHLAND Rückfragen richten Sie bitte an: Peter Rehäußer Telefon: +49.(0) Information Security Architect Mobil: +49.(0) Head of Cybersecurity Consulting Germany CSC 2014 Seite II

3 Inhaltsverzeichnis 1 Grundlage des Angebotes Angebotsdefinition Angebotsbestandteile Hintergrund des Angebots Business-Ziele von Kunde Zielsetzung des Projektes Leistungsbeschreibung & Vorgehensweise Projektinitialisierung Web Application Assessment Scope Vorgehen Zeitplan Personaleinsatz Annahmen und Randbedingungen Leistungen des Kunden Organisatorische Leistungen Technische Leistungen Kommerzielle Bedingungen Festpreis Preise für Arbeiten nach Aufwand Dienstreisen Zahlungsplan und Rechnungsstellung Bindefrist Anhang Anbieterdarstellung Das Unternehmen CSC StrikeForce Vereinbarung über die Durchführung von Vulnerability Assessments Angaben zur In-Scope Webapplikation Beispielreport für A4C Web Application Assessment (kostenfrei) Beispielreport für A4C Web Application Assessment (kostenpflichtig) CSC 2014 Seite III

4 1 GRUNDLAGE DES ANGEBOTES 1.1 Angebotsdefinition Die CSC Deutschland Solutions GmbH, bietet CLIENT_FULL - nachstehend kurz CSC genannt - - nachstehend kurz _CLIENT_SHORT_ genannt - die in diesem Angebot in den folgenden Kapiteln beschriebenen Leistungen als Dienstvertrag zum Festpreis an. 1.2 Angebotsbestandteile Die Bestandteile des Angebotes sind bei Widersprüchen in der nachstehenden Reihenfolge die folgenden: dieses Angebot über ein kostenfreies Web Application Assessment die Allgemeinen Geschäftsbedingungen für Dienst-, Kauf- und Werkverträge der CSC Deutschland Solutions GmbH, Stand Juni 2006 CSC 2014 Seite 1

5 2 HINTERGRUND DES ANGEBOTS Im Rahmen der CSC A4C Initiative ist es das Ziel von CSC Deutschland als Partner der Allianz für Cybersicherheit, das IT-Sicherheitsniveau von deutschen Unternehmen anzuheben und ein Bewusstsein für die Risiken unsicherer IT-Systeme und deren Auswirkungen auf den Geschäftsbetrieb aufzubauen. Dieses Angebot über ein kostenfreies Web Application Assessment richtet sich deshalb bewusst an Unternehmen, die Teilnehmer der Allianz für Cyber-Sicherheit sind und deren Kerngeschäft außerhalb der IKT-Branche liegt. Insbesondere diese Unternehmen sind erheblichen Risiken ausgesetzt, während Unternehmen der IKT-Branche in diesem Feld erfahrungsgemäß bereits gut aufgestellt sind. Das Web Application Assessment soll somit helfen, kostenneutral einen ersten Einblick in den eigenen Sicherheitszustand am Beispiel einer Webanwendung zu erhalten. 2.1 Business-Ziele von _CLIENT_SHORT_ Die Sicherheitsüberprüfung dient der proaktiven Risikominderung folgender Szenarien: Finanzielle Ausfälle (z.b. durch Nichtverfügbarkeit von Diensten) Imageschäden (z.b. durch Defacements oder Leaks von Kundendaten) Verlust von Geschäftsgeheimnissen und geistigem Eigentum Unterbrechung des Geschäftsbetriebs oder Einschränkung der Produktivität 2.2 Zielsetzung des Projektes Ziel des Projektes ist die Sicherheitsüberprüfung einer Webanwendung, um bestehende Sicherheitslücken und deren Risiken zu identifizieren. Folgende Ebenen werden im Rahmen des Web Application Assessments geprüft: Schwachstellen in der Anwendungsimplementierung (z.b. unzureichende Eingabevalidierung) Schwachstellen des Authentifizierungssystems, des Session-Managements, der Nutzerverwaltung oder des Rechtemanagements Designschwachstellen in der Anwendungslogik Konfigurationsschwachstellen der Anwendungsumgebung CSC 2014 Seite 2

6 3 LEISTUNGSBESCHREIBUNG & VORGEHENSWEISE CSC bietet _CLIENT_SHORT_ die Sicherheitsüberprüfung einer Webanwendung an. Die Durchführung des Projekts erfolgt anhand folgender Phasen: 3.1 Projektinitialisierung Im Rahmen der Projektinitialisierungsphase werden zunächst alle organisatorischen und technischen Bedingungen geschaffen, die für das Durchführen der Tests innerhalb der Module notwendig sind. Dazu gehört neben den üblichen Abstimmungsgesprächen folgendes: Die Art und Weise der Kommunikation (z.b. verschlüsselte ) wird vereinbart; ggf. werden Schlüssel ausgetauscht. _CLIENT_SHORT_ bestätigt schriftlich 1, dass CSC von _CLIENT_SHORT_ beauftragt wurde, die technische Sicherheitsüberprüfung durchzuführen. CSC ist damit berechtigt, Angriffswerkzeuge zu benutzen, die ansonsten in Deutschland nach 202c StGB nicht erlaubt sind. _CLIENT_SHORT_ unterzeichnet ebenfalls eine Bestätigung, dass CSC darauf hingewiesen hat, dass die technischen Sicherheitsüberprüfungen zu Störungen oder Ausfällen im Betrieb oder zu Datenverlust führen können. CSC empfiehlt daher dringend, die Tests gegen nicht-produktive Systeme oder außerhalb der üblichen Nutzungszeiten und nur nach einem vollständigen Backup durchzuführen. Werden Bestandteile der zu prüfenden Systeme von Drittanbietern betrieben (z.b. Webhosting), informiert _CLIENT_SHORT_ diese und holt deren Einverständnis für die durchzuführenden Tests ein. Zusätzlich wird ein technischer Ansprechpartner des Drittanbieters von _CLIENT_SHORT_ benannt, um den Drittanbieter bei Vorhandensein von Sicherheitslücken auf Infrastrukturebene (z.b. unsichere Webserverkonfiguration) kontaktieren zu können. 2 _CLIENT_SHORT_ richtet bei Bedarf alle notwendigen Test-Accounts ein und übermittelt die Zugangsdaten an CSC. _CLIENT_SHORT_ übermittelt alle notwendigen technischen Informationen über die Angriffsziele an CSC (z.b. die IP Adressen, URLs, etc.). Es werden Zeitfenster für das Durchführen der Tests vereinbart. In diesen Zeitfenstern sollten auch Administratoren in Rufbereitschaft sein. Es kann vorkommen, dass eine Maschine während der Tests neu gestartet werden muss. Dies würde ohne Rufbereitschaft zu langen Wartezeiten führen. Um eine möglichst intensive Abdeckung der Tests zu gewährleisten, deaktiviert _CLIENT_SHORT_ ggf. vorhandene Mitigation-Systeme wie Web-Application-Firewalls oder IDS/IPS-Systeme für den IP-Netzblock des simulierten Angreifers. 1 siehe Formblatt Vereinbarung über die Durchführung von Vulnerability Assessments im Anhang. 2 siehe Formblatt Angaben zur In-Scope Webapplikation im Anhang. CSC 2014 Seite 3

7 CSC teil den IP-Netzblock des simulierten Angreifers rechtzeitig vor Beginn der Tests mit. CSC installiert und konfiguriert die notwendigen Tools auf eigenen Maschinen. Unmittelbar vor den Tests soll _CLIENT_SHORT_ ein komplettes Backup der Zielsysteme durchführen, um Datenverlust durch die Tests ausschließen zu können. 3.2 Web Application Assessment Das Web Application Assessment soll zeigen, ob in den web-basierten Schnittstellen oder Anwendungen unautorisierte oder unsichere Funktionen verwendet werden, die das Kompromittieren der Anwendungslogik, Anwendungsdaten, Benutzerzugriffe oder der angeschlossenen Systeme erlauben. Die Überprüfung erfolgt unter Einbeziehung aktueller Gefahrenszenarien und Risiken im Einsatz von Webapplikationen, wie sie in anerkannten und standardisierten Frameworks und Projekten wie dem Open Web Application Assessment Project (OWASP) erfasst sind. Neben Sicherheitslücken auf Applikationsebene werden auch Konfigurationsschwachstellen der Anwendungsumgebung ermittelt Scope In-Scope Services Der vereinbarte Umfang des Web Application Assessments umfasst: Untersuchen der In-Scope Applikation Feststellen der Existenz von Verwundbarkeiten oder Schwachstellen die potenziell ausgenutzt werden können Folgende Bereiche werden innerhalb jedes In-Scope-Anwendung untersucht: Erfassen von Inhalten und Funktionen (Web Spidering, Versteckte Inhalte, Dynamische Applikationsseiten und Pfade, Eingesetzte Software, Frameworks und Schnittstellen) Analyse der Anwendung (Benutzereingabenpunkte, Banner Grabbing, HTTP Fingerprinting, Session Tokens) Feststellen der Angriffsfläche (Clientseitigen Validierungsmechanismen, Datenbankinteraktion, Dateiupload- und Download, Ausgabe von Benutzereingaben, Dynamische Umleitungen, Loginmechanismen, Logikfehler, Sitzungsstatus, Zugriffsbeschränkungen, Verschlüsselte/unverschlüsselte Kommunikation, Fehlerausgaben) Ausnutzen und Verifizieren von Sicherheitslücken o Authentifizierungsmechanismen (Unsicheres Übertragen von Zugangsdaten, Erlangen von unautorisiertem Zugriff) o Sitzungsmanagement (Vorhersagbarkeit von Tokens, Beenden von Sitzungen, Erzwingen von Sitzungsidentifikatoren, Cross-site Request Forgery) o Eingabevalidierung (SQL Injection, Xpath Injection, Code/Command Injection, Cross-site Scripting, Path Traversal, File-inclusions) o Designfehler (Forceful Browsing, Wirkungslose Schutzmaßnahmen, Verarbeitung von unvollständigen Benutzereingaben) CSC 2014 Seite 4

8 Out of Scope Folgende Applikation sind vom Projektumfang ausgeschlossen: Jede Applikation, der nicht im Projektumfang (in Scope) anhand ihrer Domain oder URL genannt ist Systeme von Drittanbietern, sofern nicht explizit vereinbart Folgende Leistungen sind vom Projektumfang ausgeschlossen: Clientseitige Angriffe (Browser Exploits, Session Hijacking von externen Benutzern) Denial of Service (DoS) Angriffe In Scope Applikationen Folgende Applikation ist eingeschlossen: http(s)://fqdn/path/* (uncredentialed/credentialed) Vorgehen Die Systeme werden einem Web Application Assessment unterzogen. Die einzelnen Tests werden durch automatisierte bzw. teilautomatisierte Tools durchgeführt und ggf. durch manuelle Tests ergänzt. Der Prüfungsablauf gestaltet sich anhand folgender Phasen: Footprinting/Reconnaissance Es erfolgt zunächst die Identifizierung von potenziellen Zielentitäten wie z.b. zugreifbare Pfadstrukturen, wodurch auf technischer Ebene eine Kartierung der Zielinfrastruktur erreicht wird Enumeration Während der Enumeration-Phase werden die identifizierten Zielsysteme auf Ebene der Anwendungslogik untersucht. Da in diesem Projekt eine Webanwendung im Mittelpunkt stehen, erfolgt zunächst das Erfassen des Verhaltens der Anwendungen und der zugrundeliegenden Funktionsmechanismen. Neben der Kommunikationslogik wird auch einsehbarer Quellcode (z.b. JavaScript, HTML) auf Hinweise zu potenziellen Schwachstellen und andere hilfreiche Informationen untersucht Web Application Assessment Basierend auf der Footprinting- und Enumeration-Phase erfolgt die gezielte technische Überprüfung. Die Tests werden mit automatisierten und manuellen Scanning-Tools durchgeführt, durch manuelle Schwachstellenvalidierung verifiziert und durch manuelles Testing ergänzt, um eine möglichst hohe Abdeckungsrate zu erzielen. Ziel ist es, die Schwachstellen zu identifizieren, welche die Web- Anwendung, ihre Benutzer oder die zugrundeliegenden Systeme kompromittieren könnten. Beispiele hierfür sind Fehler im Anwendungsdesign, Code und SQL Injections, oder auch Cross-Site Scripting (XSS) und Session-Hijacking. CSC 2014 Seite 5

9 Zusätzlich werden ggf. weitere Tests im Benutzerzugriffskontext durchgeführt (Credentialed Tests), um die Benutzerseparierung, Rechtemanagement und weitere zugreifbare Anwendungskomponenten auf Schwachstellen zu prüfen Analyse und Report Die im Rahmen der Testing Phase ermittelten Schwachstellen werden hinsichtlich ihrer Gesamtrisiken klassifiziert und analysiert. Die Ergebnisse gehen anschließend in den Report ein. Der kostenfreie Report ist im Umfang reduziert und enthält lediglich einen Management Summary sowie die kritischsten vorgefundenen Schwachstellen und dadurch betroffene Systeme. Der optional erwerbbare kostenpflichtige Report enthält neben detaillierten Informationen über jede Schwachstelle auch, soweit möglich, Empfehlungen, wie diese Schwachstellen effektiv beseitigt werden können. Beispielreports sind im Anhang dieses Angebots enthalten. CSC 2014 Seite 6

10 4 ZEITPLAN Die konkreten Leistungszeitpunkte werden zwischen _CLIENT_SHORT_ und CSC individuell abgestimmt. Es besteht für dieses kostenfreie Angebot ansonsten kein Anspruch auf eine zeitnahe Durchführung. CSC 2014 Seite 7

11 5 PERSONALEINSATZ Die Leistungen werden von deutschen Mitarbeitern aus der CSC StrikeForce erbracht, die sowohl entsprechende Zertifizierungen als auch notwendige Erfahrungen im Bereich Penetrationstests und Security Assessments besitzen. CSC 2014 Seite 8

12 6 ANNAHMEN UND RANDBEDINGUNGEN Es gelten folgende Annahmen und Randbedingungen: Es wird exakt eine Webapplikation getestet, die präzise anhand ihres FQDN oder ihres URL identifiziert werden kann. Weitere Applikationen, die z.b. unterhalb des URL-Pfades verortet sind oder extern eingebundene Komponenten wie Webservices oder angebundene APIs, werden nicht betrachtet. Auch Applikationsbestandteile auf anderen Domains werden nicht einbezogen. Im kostenfreien Testumfang ist lediglich ein reduzierterer Ergebnisbericht in Form eines Management Summary enthalten. Dieser beinhaltet eine Auflistung der schwerwiegendsten Befunde in generalisierter Form sowie jeweils die Art der Sicherheitslücke, deren Risikoklassifizierung, den Root-Cause und die betroffenen Komponenten und der Ort des Auftretens anhand des URL. Die jeweilige exakte Position einer Sicherheitslücke und entsprechende Behebungsmaßnahmenvorschläge sind nur im optional erhältlichen kostenpflichtigen Report enthalten (z.b. ein konkret betroffener GET Parameter). Auf Anfrage des Kunden kann ein vollwertiger Report inkl. Details der vorgefundenen Sicherheitslücken, empfohlenen technischen und organisatorischen Behebungsmaßnahmen und technischen Anhängen für die unter Kapitel 8 beschriebenen Konditionen innerhalb von 60 Tagen nach Abschluss des Projekts erworben werden. Der reduzierte und vollwertige Report und ggf. erstellte Testartefakte werden nach Abschluss des Projekts 60 Tage von CSC vorgehalten und anschließend gelöscht. Alle technischen Tests aller Schnittstellen sollen gemeinsam in einem ausreichend großen Zeitfenster durchgeführt werden. Mehrfaches Starten von einzelnen Tests aufgrund von Timeouts oder anderen Ursachen auf Kundenseite ist nicht vorgesehen. Jeder technische Test wird nur genau einmal durchgeführt. Sollten Wiederholungen auf Grund von kundenseitig zu verantwortenden Problemen notwendig werden, werden diese Wiederholungen nur auf ausdrücklichen Kundenwunsch durchgeführt. Diese zusätzlichen Leistungen sind gesondert zu vergüten. Sämtliche technischen Tests können über das Internet erfolgen. Der Kunde trägt dafür Sorge, dass sämtliche technischen Vorbereitungen auf seiner Seite dafür rechtzeitig und unentgeltlich getroffen werden. (z.b. VPN-Tunnel, Test-Accounts, etc.). Da es sich im Rahmen der Prüfung um sowohl zeitlich als auch vom Umfang her begrenzte Tests handelt, wird nicht garantiert, dass tatsächlich alle vorhandenen Schwachstellen identifiziert werden können. Sämtliche zu erstellende Dokumentation in Form des kostenfreien oder Kostenpflichtigen Reports wird jeweils genau einmal in elektronischer Form an den Kunden übergeben. Evtl. angefallene Testartefakte wie z.b. Logfiles werden nicht geliefert. Die Ergebnisdokumentation wird in englischer Sprache übergeben. Anfragen von CSC an den Kunden werden von ihm kurzfristig und fachlich korrekt und ausführlich beantwortet. CSC 2014 Seite 9

13 Es wird vorab kein Termin für die Durchführung der Tests zugesichert. Die Terminierung der Prüfungen erfolgt kurzfristig anhand der verfügbaren freien technischen und personellen Ressourcen von CSC. Das Angebot richtet sich ausschließlich an Unternehmen, deren Kerngeschäft nicht in der IT verortet ist. CSC ist berechtigt, anonyme und rein statistische Daten über den Auftraggeber, das Projekt und dessen Ergebnisse zu erheben und ggf. zu publizieren. Aufgrund des stets hohen Aufwands zur Vor- und Nachbereitung behält sich CSC vor, die Prüfung von Internetauftritten/Webanwendungen von zu geringem Umfang abzulehnen, da hier regelmäßig Aufwand und erzielbare Resultate in keinem vernünftigen Verhältnis zu bringen sind. CSC 2014 Seite 10

14 7 LEISTUNGEN DES KUNDEN Alle in diesem Angebot beschriebenen Leistungen von _CLIENT_SHORT_ sind im vereinbarten Umfang unentgeltlich, rechtzeitig und ordnungsgemäß zu erbringen. Die Ausführungen gelten für die organisatorischen, technischen und fachlichen Leistungen. 7.1 Organisatorische Leistungen Organisatorische Leistungen sind in Kapitel 3 (Projektinitialisierung) und werden durch die Rahmenbedingungen in Kapitel 6 ergänzt. 7.2 Technische Leistungen Der Kunde trägt dafür Sorge, dass sämtliche notwendigen technischen Vorbereitungen auf seiner Seite rechtzeitig und unentgeltlich getroffen werden. (z.b. VPN-Tunnel, Test-Accounts, etc.) CSC 2014 Seite 11

15 8 KOMMERZIELLE BEDINGUNGEN 8.1 Festpreis Modul A4C Web Application Assessment Optional: vollständiger Report Preis zzgl. USt 0,-- EUR 3.000,-- EUR Das Basismodul A4C Web Application Assessment ist kostenfrei und beinhaltet einen im Umfang reduzierten Report. Der zusätzlich verfügbare vollständige Report wird ausdrücklich optional angeboten und kann auf Kundenwusch nach Abschluss der Umsetzung des Basismoduls kostenpflichtig erworben werden. 8.2 Preise für Arbeiten nach Aufwand Der kostenfreie Testumfang kann durch ausdrücklichen Kundenwunsch um weitere Leistungen in kostenpflichtiger Form erweitert werden. Sofern neben den kostenfreien Services weitere Leistungen wie Testwiederholungen oder weitere Prüfungen gewünscht werden, sind diese nach Aufwand zu erbringenden Leistungen von CSC von zu folgenden Tagessätzen von _CLIENT_SHORT_ zu vergüten: Rolle Projektleiter StrikeForce Engineer Tagessatz in / Tag 1.080,-- EUR 975,-- EUR Die angegebenen Tagessätze gelten auch als Basis für die Vergütung von Change Requests und Mehraufwendungen. Ein Tagessatz deckt dabei eine Arbeitsleistung von 8 Stunden pro Tag ab. Darüber hinausgehende oder geringere Arbeitsleistungen werden anteilig vergütet. Die Tagessätze beziehen sich auf Aktivitäten, die in der Zeit von Montag bis Freitag zwischen 6.00 und Uhr erbracht werden. Werden Mitarbeiter von CSC nach Genehmigung durch _CLIENT_SHORT_ außerhalb der vorgenannten Zeit tätig, erhöht sich der anteilige Tagessatz wie folgt: bei Nachtarbeit 30 % bei Samstagsarbeit 25 % bei Sonntagsarbeit 50 % bei Feiertagsarbeit 100 % Die Aufschläge werden nicht kumuliert erhoben. Es gilt der jeweils höhere Aufschlag. Alle Preise verstehen sich zuzüglich der zum Zeitpunkt der Leistungserbringung gültigen Umsatzsteuer. CSC 2014 Seite 12

16 8.3 Dienstreisen Dienstreisen oder Vor-Ort-Tätigkeiten erfolgen nur auf ausdrücklichen Wunsch des Kunden und sind dann gesondert zu vergüten. Im Rahmen des kostenfreien A4C Angebots fallen keine Dienstreisen an. Für Leistungen, die die Mitarbeiter von CSC nicht am Ort ihrer Geschäftsstelle erbringen, werden gesondert Fahrzeiten, -kosten, Spesen und ggf. Übernachtungskosten in Rechnung gestellt. Es gelten folgende Rahmenbedingungen: Flug Economy Class Bahn 2. Klasse Kilometerpauschale 0,60/km Hotel nach Aufwand, max. 4 Sterne Öffentliche Verkehrsmittel, nach Aufwand Taxi und Parkgebühren Tagesspesen nach den geltenden steuerlichen Richtlinien Für Reisezeiten werden je Stunde 1/12 des Tagessatzes berechnet. 8.4 Zahlungsplan und Rechnungsstellung Es erfolgt bei Bedarf die Rechnungsstellung monatlich im Nachhinein. Zahlungen sind zwei Wochen nach Rechnungsstellung ohne Abzüge fällig. 8.5 Bindefrist An dieses Angebot hält sich CSC bis zum [+ zwei Wochen] gebunden. Nach Ablauf verfällt das kostenfreie Angebot und andere Bewerber erhalten Gelegenheit zum Vertragsabschluss. Dies geschieht vor dem Hintergrund, dass die kostenfreien A4C Web Application Assessments nur in einem begrenzten Kontingent von CSC bereitgestellt werden. CSC 2014 Seite 13

17 Vielen Dank für Ihr Interesse an unseren Dienstleistungen Mit freundlichen Grüßen CSC Deutschland Solutions GmbH München, am ???????? i.v Peter Rehäußer???????????? Head of Cybersecurity Consulting Germany Zum Zeichen der Auftragserteilung: Wir beauftragen die CSC Deutschland Solutions GmbH mit den in diesem Angebot angeführten Leistungen:... Ort, Datum... rechtsgültige Unterschrift, Firmenstempel CSC 2014 Seite 14

18 9 ANHANG 9.1 Anbieterdarstellung Das Unternehmen CSC ist ein weltweit führendes Unternehmen für IT-gestützte Businesslösungen und Dienstleistungen. Das Unternehmen mit Hauptsitz in Falls Church, Virginia, hat rund Mitarbeiter und erwirtschaftete in den zwölf Monaten bis zum 30. März 2012 einen Umsatz von 15,9 Milliarden US- Dollar. Weitere Informationen über CSC in Deutschland finden Sie auf der deutschen Website von CSC unter oder unter In Zentraleuropa bieten unsere Mitarbeiterinnen und Mitarbeiter in Deutschland, Österreich, der Schweiz, der Tschechischen Republik, der Slowakei, Polen, Ungarn, Bulgarien und Türkei den Kunden von CSC umfassende Services vor Ort. Wir verfügen über eine für die IT-Industrie sehr lange Tradition: Seit über 50 Jahren ist CSC mit seinem IT-Dienstleistungsportfolio erfolgreich tätig und hat langjährige Kundenbeziehungen aufgebaut, die von gegenseitigem Vertrauen geprägt sind. Unsere vielfältige IT-Expertise, gekoppelt mit dem Wissen um die Geschäftsprozesse der wichtigen Branchen, setzen wir gemeinsam mit unseren Kunden in exzellente Resultate um. Innovative und praxisorientierte Lösungen sind heute gefragt nicht schnelle Innovationen um jeden Preis, sondern Lösungen, die dem Kunden helfen, die Komplexität seines Geschäftes zu managen, sich auf seine Kernkompetenzen zu konzentrieren und nachhaltige Geschäftserfolge zu erzielen. Unser Erfolg basiert auf Kompetenz, Professionalität sowie hoher Kunden- und Serviceorientierung. Dabei kennzeichnet eine partnerschaftliche und vertrauensvolle Zusammenarbeit in jeder Phase gemeinsamer Projekte unser Vorgehen CSC StrikeForce Die StrikeForce ist ein Team innerhalb der CSC bestehend aus hochspezialisierten Experten im Bereich der technischen IT-Security. Das Team führt seit über 15 Jahren weltweit Security Assessments unter anderem für Großkonzerne aller Wirtschaftssektoren, nationale Behörden und internationale Organisationen durch. Durch die Erfahrung und Kenntnisse der einzelnen Fachexperten wird eine umfassende Abdeckung aller relevanten Teilaspekte und Disziplinen im Umfeld von Vulnerability Assessments und Penetrationstests, Application Assessments, Physical Security und Social Engineering sowie Technology Compliance sichergestellt. CSC 2014 Seite 15

19 9.2 Vereinbarung über die Durchführung von Vulnerability Assessments zwischen im folgenden Kunde genannt und der CSC Deutschland Solutions GmbH Abraham-Lincoln-Park Wiesbaden - im folgenden CSC genannt - Der Kunde hat die CSC beauftragt ein Vulnerability Assessment, also einen kontrollierten Versuch durchzuführen, von außen ein bestimmtes Computersystem bzw. Netzwerk mit Angriffs- und Scan- Tools zu untersuchen, um Schwachstellen zu identifizieren. Das Vulnerability Assessment kann dabei insbesondere als Black-Box oder White-Box-Test, passiv scannend bis aggressiv, vollständig, begrenzt oder fokussiert, verdeckt oder offensichtlich, über Netzwerkzugang, sonstige Kommunikation, physischen Zugang, Social Engineering und von außen oder von innen vorgenommen werden. Der Kunde erklärt hiermit sein Einverständnis mit der von CSC gewählten Art des Vulnerability Assessments und den einzusetzenden Techniken. Er willigt ein, dass von CSC im Rahmen der Testdurchführung potentiell schadenverursachende Maßnahmen vorgenommen werden dürfen. Da bei einem Vulnerability Assessment auch Systeme von Dritten (z. B. Router eines Providers, Webserver eines Hosters) genutzt werden und eine Beeinträchtigung des ordnungsgemäßen Betriebs dieser Systeme nicht ausgeschlossen werden kann, verpflichtet sich der Kunde eventuell betroffene Dritte vorab über den geplanten Tests zu informieren. Da es nicht völlig ausgeschlossen werden kann, dass im Rahmen eines Vulnerability Assessments Systeme derart beeinträchtigt werden, dass ein Datenverlust auftritt, verpflichtet sich der Kunde dazu, vor und während des Zeitraums des Vulnerability Assessments mindestens einmal täglich Datensicherungen der gefährdeten und relevanten Systeme anzufertigen und diese in mehreren Generationen aufzubewahren. CSC leistet Schadenersatz oder Ersatz vergeblicher Aufwendungen gleich aus welchem Rechtsgrund (z.b. Pflichtverletzung oder unerlaubter Handlung) nur bei Vorsatz oder Personenschäden in voller Höhe oder CSC 2014 Seite 16

20 nach dem Produkthaftungsgesetz bis zu den darin angegeben Höchstbeträgen. Die Haftung für alle übrigen Schäden wird hiermit ausgeschlossen. Der Kunde erklärt sich zusätzlich damit einverstanden, dass die Ergebnisse der Tests in anonymisierter Form für statistische Zwecke analysiert und weiterverarbeitet werden. Die erfassten Daten beinhalten die Branche des Kunden, den Risikograd, die Anzahl und Typ von gefundenen Schwachstellen sowie die Anzahl an betroffenen Systemen. Änderungen und Ergänzungen dieses Vertrages, einschließlich dieser Bestimmung, bedürfen der Schriftform. Sollte eine Bestimmung dieses Vertrages ganz oder teilweise unwirksam sein, wird die Wirksamkeit aller übrigen Bestimmungen dieses Vertrages davon nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch diejenige wirksame Bestimmung zu ersetzen, die dem von den Vertragsparteien mit der unwirksamen Bestimmung verfolgten wirtschaftlichen Zweck am nächsten kommt. Das Gleiche gilt für den Fall, dass dieser Vertrag unvollständig sein sollte...., den......, den... _CLIENT_SHORT_ CSC Deutschland Solutions GmbH Gesetzlicher Vertreter CSC 2014 Seite 17

21 9.3 Angaben zur In-Scope Webapplikation URL der Webapplikation: Name der Webapplikation: Produktivsystem Testsystem Entwicklungssystem Eingesetzte Programmiersprachen, Frameworks und Datenbanksysteme: Technischer Ansprechpartner des Kunden: Name: Titel: Tel: Credentialed Scans gewünscht Benutzername: Passwort: Login-URL: CSC 2014 Seite 18

22 Web-Applikation wird auf Drittanbietersystemen betrieben Name des Drittanbieters: Art der Drittanbieterinfrastruktur: Dedicated Server Cloud Server Shared Hosting Name der genutzten Lösung: Technischer Ansprechpartner des Drittanbieters: Name: Titel: Tel: CSC 2014 Seite 19

23 9.4 Beispielreport für A4C Web Application Assessment (kostenfrei) Siehe beiliegendes Dokument Web Application Assessment A4C Free Report. 9.5 Beispielreport für A4C Web Application Assessment (kostenpflichtig) Siehe beiliegendes Dokument Web Application Assessment A4C Complete Report. CSC 2014 Seite 20

Angebot. Durchführung eines Web-Security-Checks für KUNDENNAME. (nachfolgend Auftraggeber genannt)

Angebot. Durchführung eines Web-Security-Checks für KUNDENNAME. (nachfolgend Auftraggeber genannt) Angebot Durchführung eines Web-Security-Checks für KUNDENNAME (nachfolgend Auftraggeber genannt) von secudor GmbH Moststraße 7 91799 Langenaltheim (nachfolgend Auftragnehmer genannt) Inhaltsverzeichnis

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Muster eines Beratungsvertrages. (Dienstvertrag)

Muster eines Beratungsvertrages. (Dienstvertrag) Muster eines Beratungsvertrages (Dienstvertrag) Stand: 1. Januar 2004 Vorwort Der Unternehmer schließt im Laufe seiner Geschäftstätigkeit eine Vielzahl von Verträgen ab. Um eine Orientierungshilfe zu bieten,

Mehr

ALLGEMEINE GESCHÄFTSBEDINGUNGEN DIE COMPUTERBERATER Johannes Kaiblinger IT Consulting. 1 Allgemeines. 2 Vertragsabschluss. 3 Gegenstand des Vertrages

ALLGEMEINE GESCHÄFTSBEDINGUNGEN DIE COMPUTERBERATER Johannes Kaiblinger IT Consulting. 1 Allgemeines. 2 Vertragsabschluss. 3 Gegenstand des Vertrages ALLGEMEINE GESCHÄFTSBEDINGUNGEN DIE COMPUTERBERATER Johannes Kaiblinger IT Consulting 1 Allgemeines Der Auftraggeber im Nachfolgenden AG genannt hat die AGBG s gelesen und zur Kenntnis genommen und anerkannt.

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

QUICK-CHECK IT-SICHERHEIT

QUICK-CHECK IT-SICHERHEIT QUICK-CHECK IT-SICHERHEIT Systeme fachkundig überprüfen lassen? Die Führung eines Unternehmens ist für dessen reibungslosen Ablauf verantwortlich. IT-Systeme spielen dabei eine wichtige Rolle. Im digitalen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Vertrag über die Registrierung von Domainnamen

Vertrag über die Registrierung von Domainnamen Vertrag über die Registrierung von Domainnamen zwischen Bradler & Krantz GmbH & Co. KG Kurt-Schumacher-Platz 10 44787 Bochum - nachfolgend Provider genannt - und (Firmen-) Name: Ansprechpartner: Strasse:

Mehr

Allgemeine Geschäftsbedingugen der Veranstaltung Marketing Innovationen des MTP Marketing zwischen Theorie und Praxis e.v.

Allgemeine Geschäftsbedingugen der Veranstaltung Marketing Innovationen des MTP Marketing zwischen Theorie und Praxis e.v. A. Allgemeines 1. Marketing zwischen Theorie und Praxis e.v. MTP Marketing zwischen Theorie und Praxis e.v. (nachfolgend MTP genannt) ist ein gemeinnütziger Verein mit dem Ziel, die Marketingausbildung

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Dienstvertrag für Entwicklungsleistungen

Dienstvertrag für Entwicklungsleistungen Dienstvertrag für Entwicklungsleistungen zwischen Ingenieurbüro Akazienweg 12 75038 Oberderdingen nachstehend AN genannt und dem Auftraggeber (Unternehmen) nachstehend AG genannt Vorbemerkung AN führt

Mehr

Vereinbarung über die Vorgehensweise zur Nutzung des Teleservice

Vereinbarung über die Vorgehensweise zur Nutzung des Teleservice Vereinbarung über die Vorgehensweise zur Nutzung des Teleservice Püttlingen Datum: 15.05.2006 1 Inhalt 1 Begriffsdefinitionen... 3 1.1 Unterstützung über Modem/Netzwerk für einfachen Teleservice... 3 1.2

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Allgemeine Geschäftsbedingungen (AGB) von Matthias Hintz, Gründer der Marke meroo.

Allgemeine Geschäftsbedingungen (AGB) von Matthias Hintz, Gründer der Marke meroo. Allgemeine Geschäftsbedingungen (AGB) von Matthias Hintz, Gründer der Marke meroo. Matthias Hintz meroo.de 1 6 Allgemeine Geschäftsbedingungen 1. Allgemeines Der Anmeldung zu meinen Veranstaltungen (Seminare,

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

MUSTERVERTRAG INTERIM MANAGER - UNTERNEHMEN. Dienstvertrag. zwischen. dem Unternehmen. Beispiel GmbH. ( im Folgenden Unternehmen ) u n d.

MUSTERVERTRAG INTERIM MANAGER - UNTERNEHMEN. Dienstvertrag. zwischen. dem Unternehmen. Beispiel GmbH. ( im Folgenden Unternehmen ) u n d. MUSTERVERTRAG INTERIM MANAGER - UNTERNEHMEN Dienstvertrag zwischen dem Unternehmen Beispiel GmbH ( im Folgenden Unternehmen ) u n d Herrn / Frau Beispiel Interim Manager ( im Folgenden INMAN ) 1. Präambel

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Provider-Vertrag. 1 Gegenstand des Vertrages. (1) Gegenstand dieses Vertrages ist die Bereitstellung von Einwahlleitungen für den Zugang zum

Provider-Vertrag. 1 Gegenstand des Vertrages. (1) Gegenstand dieses Vertrages ist die Bereitstellung von Einwahlleitungen für den Zugang zum Provider-Vertrag Zwischen im Folgenden Anbieter genannt und im Folgenden Kunde genannt wird folgender Vertrag geschlossen: 1 Gegenstand des Vertrages (1) Gegenstand dieses Vertrages ist die Bereitstellung

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Software Wartungsvertrag. zwischen. im Folgenden Auftraggeber. und. SoulTek GbR Frankfurter Strasse 93 35315 Homberg (Ohm) im Folgenden Auftragnehmer

Software Wartungsvertrag. zwischen. im Folgenden Auftraggeber. und. SoulTek GbR Frankfurter Strasse 93 35315 Homberg (Ohm) im Folgenden Auftragnehmer ENTWURF Software Wartungsvertrag zwischen im Folgenden Auftraggeber und SoulTek GbR Frankfurter Strasse 93 35315 Homberg (Ohm) im Folgenden Auftragnehmer SoulTek Software-Wartungsvertrag Seite 1/6 1 Vertragsgegenstand

Mehr

Allgemeine Geschäftsbedingungen (AGB)

Allgemeine Geschäftsbedingungen (AGB) Allgemeine Geschäftsbedingungen (AGB) Unsere Leistung wird nur aufgrund der nachfolgenden Bedingungen erbracht. Dies gilt auch, wenn im Einzelfall nicht gesondert auf die AGB Bezug genommen wird. Sie gelten

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Bedingungen für die Nutzung der bruno banani Cloud

Bedingungen für die Nutzung der bruno banani Cloud Bedingungen für die Nutzung der bruno banani Cloud 1 Anwendungsbereich Die nachstehenden Bedingungen gelten ausschließlich für die Nutzung der bruno banani Cloud durch registrierte Nutzer. Für die Nutzung

Mehr

Webspace-Einrichtungs-Service-Vertrag

Webspace-Einrichtungs-Service-Vertrag Zwischen MoHost Inh. ClaasAlexander Moderey WeimarerStraße 108 Bei Waterböhr D -21107 Hamburg im Folgenden Anbieter genannt Telefon: Fax: E-Mail: Internet: Ust.-IDNr.: +49 (0) 4018198254 +49 (0) 4018198254

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen 1. Allgemeines 2. Vertragsabschluss 3. Preise und Bezahlung 4. Lieferung/Leistung und Abnahme 5. Eigentumsvorbehalt 6. Urheberrecht 7. Gewährleistung und Schadenersatz 8.

Mehr

Nutzungsbedingungen für Internetseite und Internet-Downloads

Nutzungsbedingungen für Internetseite und Internet-Downloads Nutzungsbedingungen für Internetseite und Internet-Downloads Stand: Jänner 2015 Stand: Jänner 2015 Seite 1 von 5 Inhalt 1. Nutzungsbedingungen und -rechte 3 2. Rechte an Software, Dokumentation und sonstigen

Mehr

CMS Update-Service-Vertrag

CMS Update-Service-Vertrag Zwischen MoHost Inh. ClaasAlexander Moderey WeimarerStraße 108 Bei Waterböhr D -21107 Hamburg im Folgenden Anbieter genannt Telefon: Fax: E-Mail: Internet: Ust.-IDNr.: +49 (0) 4018198254 +49 (0) 4018198254

Mehr

Risikofragebogen Cyber-Versicherung

Risikofragebogen Cyber-Versicherung - 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen für den technischen Betrieb einer kostenlosen Tracking Software für Webseiten I. Gegenstand dieses Vertrages 1. André Oehler, An der Hölle 38 / 2 / 4, 1100 Wien, Österreich

Mehr

Providerwechsel Service-Auftrag

Providerwechsel Service-Auftrag Zwischen MoHost Inh. ClaasAlexander Moderey WeimarerStraße 108 Bei Waterböhr D -21107 Hamburg im Folgenden Anbieter genannt Telefon: Fax: E-Mail: Internet: Ust.-IDNr.: +49 (0) 4018198254 +49 (0) 4018198254

Mehr

Unverbindliches Muster für Allgemeine Auftragsbedingungen für Übersetzer Stand: Oktober 2008

Unverbindliches Muster für Allgemeine Auftragsbedingungen für Übersetzer Stand: Oktober 2008 Unverbindliches Muster für Allgemeine Auftragsbedingungen für Übersetzer Stand: Oktober 2008 Hinweise: Die nachfolgenden Allgemeinen Auftragsbedingungen für Übersetzer sind ein unverbindliches Muster.

Mehr

Checkliste: Notwendige Regelungspunkte für Software-Entwicklungsverträge

Checkliste: Notwendige Regelungspunkte für Software-Entwicklungsverträge Checkliste: Notwendige Regelungspunkte für Software-Entwicklungsverträge Die Entwicklung kundenindividueller Software ist meist ein komplexer Prozess, der in spezifisch ausgestalteten Verträgen abgebildet

Mehr

Allgemeine Geschäftsbedingungen der Witteborn Videoproduktion

Allgemeine Geschäftsbedingungen der Witteborn Videoproduktion Allgemeine Geschäftsbedingungen der Witteborn Videoproduktion 1 Geltungsbereich 1. Nachfolgende Allgemeine Geschäftsbedingungen sind Bestandteil aller elektronischen und schriftlichen Verträge mit Witteborn

Mehr

Allgemeine Nutzungsbedingungen für Nutzer des Online-Abrechnungs-Service ( ProAcc )

Allgemeine Nutzungsbedingungen für Nutzer des Online-Abrechnungs-Service ( ProAcc ) Allgemeine Nutzungsbedingungen für Nutzer des Online-Abrechnungs-Service ( ProAcc ) I. Leistungsgegenstand Die an das Abrechnungsverfahren angeschlossenen Agenturen bieten im Zusammenwirken mit der Omnicom-Beteiligungs

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

ALLGEMEINE GESCHÄFTSBEDINGUNGEN

ALLGEMEINE GESCHÄFTSBEDINGUNGEN Sohatex GmbH Alszeile 105/7 1170 Wien Austria info@sohatex.com www.sohatex.com ALLGEMEINE GESCHÄFTSBEDINGUNGEN gültig für Verträge B2B ab 01.06.2014 A.) ALLGEMEINE BESTIMMUNGEN 1.) GELTUNG DER ALLGEMEINEN

Mehr

Allgemeine Geschäftsbedingungen für Dienstleistungen

Allgemeine Geschäftsbedingungen für Dienstleistungen MAD Mobile Application Development GmbH Leutragraben 1-07743 Jena Tel: +49 3641 310 75 80 Fax: +49 3641 5733301 email: info@mad-mobile.de http://www.mad-mobile.de Allgemeine Geschäftsbedingungen für Dienstleistungen

Mehr

Freier Mitarbeiter Vertrag

Freier Mitarbeiter Vertrag Freier Mitarbeiter Vertrag zwischen Institution: GF/PDL: Straße: PLZ/Ort: -nachstehend Auftraggeber genannt- und Freiberufler Name: Straße: PLZ/Ort: -nachstehend Auftragnehmer genannt- wird folgendes vereinbart:

Mehr

(IT - Dienstleistungsvertrag)

(IT - Dienstleistungsvertrag) (IT - Dienstleistungsvertrag) Seite 1 von 5 Auftraggeber (nachfolgend Kunde genannt) Auftragnehmer (nachfolgend Provider genannt) Transoffice GmbH Industriestrasse 27 61381 Friedrichsdorf 1. Präambel Das

Mehr

Supportbereitschafts-Vertrag

Supportbereitschafts-Vertrag Supportbereitschafts-Vertrag zwischen (nachstehend Auftraggeber genannt) und gid Gesellschaft für innovative Datenverarbeitungssysteme mbh Kösliner Weg 15, 22850 Norderstedt (nachstehend gid genannt) Supportbereitschafts-Vertrag

Mehr

WEB - PFLEGE - VERTRAG

WEB - PFLEGE - VERTRAG WEB - PFLEGE - VERTRAG zwischen Erk@nn Webseiten und Mediendesign im Folgenden Anbieter genannt und Name... Firma... Adresse... im Folgenden Kunde genannt wird folgender Website-Pflege-Vertrag geschlossen:

Mehr

Rahmenmietvertrag. zwischen perpedalo Velomarketing & Event... Inhaber: Johannes Wittig... Leuchterstr. 160... 51069 Köln... im Folgenden Vermieterin

Rahmenmietvertrag. zwischen perpedalo Velomarketing & Event... Inhaber: Johannes Wittig... Leuchterstr. 160... 51069 Köln... im Folgenden Vermieterin Rahmenmietvertrag zwischen perpedalo Velomarketing & Event Inhaber: Johannes Wittig Leuchterstr. 160 51069 Köln im Folgenden Vermieterin Name, Vorname: und Straße, Hausnummer: PLZ, Ort: Telefon: Email-Adresse:

Mehr

Service- Level- Agreement (SLA)

Service- Level- Agreement (SLA) Service- Level- Agreement (SLA) Einführung Bestimmung Dieses Dokument beschreibt die Service-Level der für ihre Hosting-Dienstleistungen und gilt während der Vertragslaufzeit der entsprechenden Produkte.

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Art und Umfang der Leistungen werden jeweils durch gesonderte Verträge vereinbart.

Art und Umfang der Leistungen werden jeweils durch gesonderte Verträge vereinbart. Allgemeine Geschäftsbedingungen für Firmenkunden der BKA 1 Geltungsbereich Diese Geschäftsbedingungen gelten für alle Vertragsbeziehungen und vorvertraglichen Verhandlungen der BKA - nachfolgend BKA genannt

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Anmeldemodalitäten und Voraussetzungen zur Prüfung zum ISTQB Certified Tester, Advanced Level nach Syllabus 2007

Anmeldemodalitäten und Voraussetzungen zur Prüfung zum ISTQB Certified Tester, Advanced Level nach Syllabus 2007 Anmeldemodalitäten und Voraussetzungen zur Prüfung zum ISTQB Certified Tester, Advanced Level nach Syllabus 2007 Voraussetzungen Um die Prüfung zum ISTQB Certified Tester, Advanced Level, ablegen zu dürfen,

Mehr

Allgemeine Nutzungs- und Geschäftsbedingungen für den Match & Meet Online-Shop Inhalt

Allgemeine Nutzungs- und Geschäftsbedingungen für den Match & Meet Online-Shop Inhalt Allgemeine Nutzungs- und Geschäftsbedingungen für den Match & Meet Online-Shop Inhalt 1 Allgemeines -------------------------------------------------------------------------2 2 Nutzung des Online-Shops---------------------------------------------------------2

Mehr

Service Level Agreement

Service Level Agreement Service Level Agreement Managed Security Services 1 Geltungsbereich Dieses Dokument beschreibt die folgenden grundlegenden Kundenservices für das Produkt Managed Security Services der CMFnet GmbH nachfolgend

Mehr

Allgemeine Geschäftsbedingungen A. GESCHÄFTSBEDINGUNGEN FÜR ALLE BESTELLUNGEN

Allgemeine Geschäftsbedingungen A. GESCHÄFTSBEDINGUNGEN FÜR ALLE BESTELLUNGEN Allgemeine Geschäftsbedingungen A. GESCHÄFTSBEDINGUNGEN FÜR ALLE BESTELLUNGEN 1. Anbieter, Anwendungsbereich 1.1. Anbieter des auf der Website www.event-manager.berlin präsentierten Dienstes ist Sven Golfier

Mehr

CMS Installations-Service-Vertrag

CMS Installations-Service-Vertrag Zwischen MoHost Inh. ClaasAlexander Moderey WeimarerStraße 108 Bei Waterböhr D -21107 Hamburg im Folgenden Anbieter genannt Telefon: Fax: E-Mail: Internet: Ust.-IDNr.: +49 (0) 4018198254 +49 (0) 4018198254

Mehr

Allgemeine Geschäftsbedingungen. der

Allgemeine Geschäftsbedingungen. der Seite: Seite 1 von 5 Allgemeine Geschäftsbedingungen der Seite: Seite 2 von 5 Inhaltsverzeichnis 1. Allgemeines... 3 2. Abschluss eines Vertrages... 3 3. Art und Umfang der Leistungen... 3 3.1 Industrielle

Mehr

ALLGEMEINE GESCHÄFTSBEDINGUNGEN. André Müller IT Dienstleister

ALLGEMEINE GESCHÄFTSBEDINGUNGEN. André Müller IT Dienstleister ALLGEMEINE GESCHÄFTSBEDINGUNGEN André Müller IT Dienstleister 1. Allgemeines: Die nachstehenden Geschäftsbedingungen gelten für alle Lieferungen, Leistungen und Angebote der André Müller IT Dienstleistungen,

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Joomla Einsteiger-Schulungs-Vertrag

Joomla Einsteiger-Schulungs-Vertrag Zwischen MoHost Inh. ClaasAlexander Moderey WeimarerStraße 108 Bei Waterböhr D -21107 Hamburg im Folgenden Anbieter genannt Telefon: Fax: E-Mail: Internet: Ust.-IDNr.: +49 (0) 4018198254 +49 (0) 4018198254

Mehr

Projekt /Veranstaltungssponsoringvertrag

Projekt /Veranstaltungssponsoringvertrag Projekt /Veranstaltungssponsoringvertrag zwischen vertreten durch nachfolgend Sponsor genannt und Wirtschaftsjunioren Kassel e.v., vertreten durch den Vorstand, Kurfürstenstraße 9, 34117 Kassel nachfolgend

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

AGB Allgemeine Geschäftsbedingungen

AGB Allgemeine Geschäftsbedingungen AGB Allgemeine Geschäftsbedingungen 1 Geltungsbereich Alle Lieferungen, Leistungen und Angebote von "" (nachfolgend "MedienWeb" genannt) erfolgen ausschließlich aufgrund den folgenden Geschäftsbedingungen.

Mehr

DIENSTLEISTUNGS VERTRAG

DIENSTLEISTUNGS VERTRAG Allgemeines DIENSTLEISTUNGS VERTRAG zwischen Kunde (Auftraggeber) und BAT Bischoff Analysentechnik GmbH Taunusstr. 27 61267 Neu Anspach Seite 1 Leistungsübersicht Seite ALLGEMEINES 1 Leistungsübersicht

Mehr

Dienstleistungsvertrag

Dienstleistungsvertrag Dienstleistungsvertrag zwischen im folgenden Kunde genannt und net-lab internetworkers Andreas John Luisenstr. 30b 63067 Offenbach im folgenden net-lab genannt wird folgender Vertrag geschlossen: 1 Vertragsgegenstand

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Datenschutzrichtlinie für die Plattform FINPOINT

Datenschutzrichtlinie für die Plattform FINPOINT Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen

Mehr

VdS Quick-Audit für Cyber-Security

VdS Quick-Audit für Cyber-Security VdS-Richtlinien für die Informationssicherheit VdS 3475 VdS Quick-Audit für Cyber-Security Verfahren VdS 3475 : 2015-03 (01) 1/9 Herausgeber und Verlag: VdS Schadenverhütung GmbH Amsterdamer Str. 172-174

Mehr

Lizenzvertrag. Der Lizenzgeber hat dem Lizenznehmer vertraglich das ausschließliche Recht eingeräumt, die Sportveranstaltung.. zu verwerten.

Lizenzvertrag. Der Lizenzgeber hat dem Lizenznehmer vertraglich das ausschließliche Recht eingeräumt, die Sportveranstaltung.. zu verwerten. Lizenzvertrag zwischen Herrn/Frau - nachstehend Lizenzgeber genannt - und.. - nachstehend Lizenznehmer genannt - kommt folgende Vereinbarung zustande: Präambel Der Lizenzgeber hat dem Lizenznehmer vertraglich

Mehr

Coachingvertrag - Empfehlung zur Vertragsgestaltung im Programm Gründercoaching Deutschland

Coachingvertrag - Empfehlung zur Vertragsgestaltung im Programm Gründercoaching Deutschland Coachingvertrag - Empfehlung zur Vertragsgestaltung im Programm Gründercoaching Deutschland Das Programm Gründercoaching Deutschland basiert auf den Bedingungen des ESF und der Richtlinie des Bundesministeriums

Mehr

Vertraulichkeitserklärung / Non Disclosure Agreement - zwischen:

Vertraulichkeitserklärung / Non Disclosure Agreement - zwischen: success seo-nerd digital success seo-nerd digital success seo-nerd digital success seo-nerd digital success seo-nerd digital success seo- Präambel Die jeweiligen Vertragspartner haben die Absicht, auf

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Allgemeine Geschäftsbedingungen. Ingenieurbüro Dipl.-Ing. Helmut Mätzig - EXPLOSIONSSCHUTZ -

Allgemeine Geschäftsbedingungen. Ingenieurbüro Dipl.-Ing. Helmut Mätzig - EXPLOSIONSSCHUTZ - Seite 1 von 5 Stand: 06.2007 Allgemeine Geschäftsbedingungen Ingenieurbüro Dipl.-Ing. Helmut Mätzig - EXPLOSIONSSCHUTZ - I. Geltungsbereich 1. Die folgenden Allgemeinen Geschäftsbedingungen (AGB) gelten

Mehr

Zwischen. dem Auftraggeber/Lieferant. Ansprechpartner. Straße. PLZ/Ort. im Folgenden Auftraggeber genannt. und dem Auftragnehmer

Zwischen. dem Auftraggeber/Lieferant. Ansprechpartner. Straße. PLZ/Ort. im Folgenden Auftraggeber genannt. und dem Auftragnehmer Institut des Deutschen Textileinzelhandels GmbH An Lyskirchen 14, 50676 Köln Tel.: 0221/ 921509-0, Fax: -10 E-Mail: clearingcenter@bte.de Vertrag über die Erbringung von Leistungen im Rahmen der Versendung

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Penetration Test Zielsetzung & Methodik

Penetration Test Zielsetzung & Methodik Zielsetzung & Methodik : Ausgangslage Hacker und Cracker haben vielfältige Möglichkeiten, über öffentliche Netze unbefugt auf die IT-Systeme eines Unternehmens zuzugreifen Sie können vertrauliche Informationen

Mehr

Vereinbarung zur Einrichtung eines gemeinsamen Kalenders und Emaildienstes auf Basis einer Exchange-Infrastruktur

Vereinbarung zur Einrichtung eines gemeinsamen Kalenders und Emaildienstes auf Basis einer Exchange-Infrastruktur RECHENZENTRUM RUHR Vereinbarung zur Einrichtung eines gemeinsamen Kalenders und Emaildienstes auf Basis einer Exchange-Infrastruktur zwischen (Auftraggeber) und dem der Ruhr-Universität Bochum (RZ). 1.

Mehr

Allgemeine Geschäftsbedingungen für die Nutzung der Generali Online Akademie

Allgemeine Geschäftsbedingungen für die Nutzung der Generali Online Akademie Allgemeine Geschäftsbedingungen für die Nutzung der Generali Online Akademie 1 VORBEMERKUNG Die Generali Online Akademie wird von der Generali Versicherung AG, Adenauerring 7, 81737 München, betrieben

Mehr

Datenschutzerklärung der School of Governance, Risk & Compliance

Datenschutzerklärung der School of Governance, Risk & Compliance Datenschutzerklärung der School of Governance, Risk & Compliance Die School of Governance, Risk & Compliance (im Folgenden School GRC ) ist ein Institut der Steinbeis-Hochschule-Berlin GmbH, Chausseestraße

Mehr

Bewerbung um den Talente-Award 2016 Innovatives Personal- und Ausbildungsmarketing im öffentlichen und im Dritten Sektor

Bewerbung um den Talente-Award 2016 Innovatives Personal- und Ausbildungsmarketing im öffentlichen und im Dritten Sektor Bewerbung um den Talente-Award 2016 Innovatives Personal- und Ausbildungsmarketing im öffentlichen und im Dritten Sektor Der Talente-Award wird von der Talente-Kongress GbR vergeben. Für den Talente-Award

Mehr

.it:25 1 GELTUNGSBEREICH

.it:25 1 GELTUNGSBEREICH 1 GELTUNGSBEREICH (1) Die Firma "it25 GmbH" - im Folgenden it25 Support - bietet verschiedene Support- Leistungen für Kunden und Unternehmen im Bereich der Wartung und Fehlerbeseitigung bei Linux- und

Mehr

Dienstleistungsvertrag

Dienstleistungsvertrag Dienstleistungsvertrag zwischen.. Compnet GmbH Compnet Webhosting Niederhaslistrasse 8 8157 Dielsdorf (nachfolgend Gesellschaft) und der unter Vertragspartner/Antragsteller aufgeführten Person/Firma/Organisation

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de

Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de Wir freuen uns über Ihr Interesse an unserer Website. Der Schutz Ihrer Privatsphäre ist für uns sehr wichtig. Nachstehend informieren

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen für das Mieten und Vermieten von Verlinkungen anderer Webseiten I. Gegenstand dieses Vertrages 1. André Oehler, An der Hölle 38 / 2 / 4, 1100 Wien, Österreich (Steuernummer:

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen REALIZE GmbH - Agentur für Live Marketing 1 Geltungsbereich 1.1. Den vertraglichen Leistungen der REALIZE GmbH liegen die nachfolgenden Geschäftsbedingungen zugrunde. 1.2.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

DISCLAIMER KSA CHECK-IN. Nutzungsbestimmungen KSA Check-in. Geltungsbereich

DISCLAIMER KSA CHECK-IN. Nutzungsbestimmungen KSA Check-in. Geltungsbereich DISCLAIMER KSA CHECK-IN Nutzungsbestimmungen KSA Check-in Geltungsbereich Das KSA Check-in ist eine Dienstleistung des KSA (Kantonsspital Aarau AG). Sie ermöglicht Schweizer Fachärzten und Praxen, die

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Reseller Vertrag für Dedizierte Server Kunden. zwischen. der. STRATO AG Pascalstraße 10 10587 Berlin. im folgenden STRATO. und

Reseller Vertrag für Dedizierte Server Kunden. zwischen. der. STRATO AG Pascalstraße 10 10587 Berlin. im folgenden STRATO. und - MUSTERVERTRAG - Bitte senden Sie dieses Formular per FAX an 030-88615 245, oder auf dem Postweg an: STRATO AG - Kundenservice Dedicated Server - Pascalstraße 10 10587 Berlin Nur zur Einsichtnahme! Zum

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Security Reviews & Penetration Testing

Security Reviews & Penetration Testing Security Reviews & Penetration Testing Marco Krebs [marco.krebs@csnc.ch] Einleitung Security Reviews und -Testings sind wichtige Bestandteile des Risiko-Management-Prozesses. Dabei werden potentielle Sicherheitslücken

Mehr

Beratervertrag. «Amt» «StrasseAmt» «PLZAmt» «OrtAmt» - nachstehend Auftraggeber genannt - «Anrede» «Bezeichnung» «Firma» «Strasse» «Plz» «Ort»

Beratervertrag. «Amt» «StrasseAmt» «PLZAmt» «OrtAmt» - nachstehend Auftraggeber genannt - «Anrede» «Bezeichnung» «Firma» «Strasse» «Plz» «Ort» Beratervertrag RifT-Muster L221 Land Fassung: August 2009 «Massnahme» «AktenzBez» «Aktenz» Vertrags-Nr.: «VertragNr» «SAPBez1» «SAP1» «SAPBez2» «SAP2» «SAPBez3» «SAP3» «SAPBez4» «SAP4» «SAPBez5» «SAP5»

Mehr