Deutschland & Österreich. Kursprogramm

Größe: px
Ab Seite anzeigen:

Download "Deutschland & Österreich. Kursprogramm"

Transkript

1 Deutschland & Österreich Kursprogramm 2015

2 SEC consult academy portfolio Application security Management Application Security Management Kurzlehrgang CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern-)Revision, IT-Projektcontroller, IT-Strategen, Entwicklungsleiter, Software-Architekten 3 Tage Technologie Prozesse Inhouse Schulungen Windows Security Administratoren 1 Tag Hack it to Defend it Hacking and Secure Coding Training Generic JAVA PHP.NET (Software-)Entwickler, (Software-)Architekten 2 Tage/Training Sichere Webanwendungen in der öffentlichen Verwaltung Auftraggeber, potenzielle Auftragnehmer, Projekt-, Fach- und IT-Sicherheitsverantwortliche 1,5 Tage T.E.S.S. Sichere Systeme dank System Security Engineering Sicherheitsbeauftragte, Entwickler, Produkt- und Systemingenieure 4 Tage ISSECO Certified Professional for Secure Software Engineering (CPSSE) Alle Beteiligten im Softwareentwicklungsprozess: Engineers, (Software-)Architekten, (Software-) Entwickler, Projektmanager 3 Tage Maßgeschneiderte Trainings auf Anfrage Ethical Hacking Writing Secure Code for C/C++ Linux/Unix Security Reverse Engineering IT-Forensik Security Awareness Training Informationssicherheitsrisiken effektiv managen Threat Modeling Mitarbeiter aller Unternehmensbereiche auf Anfrage

3 SEC Consult als Trainingspartner SEC Consult ist der führende Berater im Bereich Informations- und Applikationssicherheit und unterstützt führende Unternehmen und Organisationen durch Beratung und spezifische High-End-Services wie Security Quality Gates, Secure Software as a Service (SSaaS) oder Managed Vulnerability Information Services (MVIS). Mit Niederlassungen in Europa, Asien und Nordamerika zählt SEC Consult zu den Big Playern der Branche. Durchführung von mehr als 350 Security Audits pro Jahr eigenes internes Security Labor zur Erforschung von Sicherheitsrisiken (SEC Consult Vulnerability Lab) laufende Identifizierung von Zero-Day-Schwachstellen zertifiziert nach ISO für höchste Sicherheit und Vertraulichkeit Mitarbeit bei der Entwicklung bekannter Standards wie OWASP, ÖNORM A 7700 und des BSI-Leitfadens Veröffentlichung von innovativen, prämierten Forschungspublikationen völlige Unabhängigkeit von Produktherstellern SEC Consult s Experten & Trainer sind aktive Security Spezialisten mit einschlägiger, praktischer Erfahrung sind akkreditierte Auditoren wirken bei der Erstellung nationaler und internationaler (Sicherheits-)Standards mit sind renommierte Speaker bei internationalen Konferenzen besitzen umfassende Tool-Erfahrung und ausgeprägte Softwareentwicklungsskills sind Preisträger internationaler Auszeichnungen Was hinter unserem Angebot steckt interaktives Arbeiten Break-Out-Sessions Live-Hacking-Sessions interaktive Demonstrationen von Security Tools ausgewogener Medienmix interaktives Arbeiten in Kleingruppen Möglichkeit zum Networking und Informationsaustausch über Branchengrenzen hinweg Kontakt Headquarter sec Consult SEC Technologies GmbH Unternehmensberatung GmbH Friedrichstraße 140 Mooslackengasse Berlin 1190 Wien Deutschland Österreich T +49 (69) T F +49 (69) F Anmeldungen Beratung & Verkauf Magdalena Jünger mag. (FH) Theresa Mosing Mooslackengasse 17, 1190 Wien Mooslackengasse 17, 1190 Wien T T F F

4 KURZLEHRGANG APPLICATION SECURITY MANAGEMENT Application Security Management (ASM) beschreibt die notwendigen Prozesse und Richtlinien um sicherzustellen, dass alle Anwendungen und die zugehörigen IT-Systeme innerhalb einer Organisation entsprechend ihrer Wichtigkeit und der Kritikalität der involvierten Geschäftsprozesse beschafft, entwickelt und betrieben werden. Im Lehrgang werden ein Managementsystem und dessen entsprechende Vorbedingungen erarbeitet, die sich nahtlos in ein bestehendes Information Security Management System (ISMS) nach ISO integrieren lassen. Dadurch wird sichergestellt, dass Sicherheitsinvestitionen zielgerichtet und angemessen erfolgen. Neben den Grundlagen zur sicheren Softwareentwicklung und zum sicheren Betrieb wird auch Hintergrundwissen zu Untersuchungsmethoden und möglichen zusätzlichen Sicherheitsmaßnahmen vermittelt. Nutzen Die erlernten Methoden und Werkzeuge zur Analyse Ihres Applikationsportfolios liefern eine genaue Standortbestimmung. Sie erhalten einen Überblick über die bereits durchgeführten Aktivitäten und Maßnahmen, die die Sicherheit noch erhöhen können. Inhalt Introduction SEC Consult Overview ASM Roadmap Why security matters Management Processes 99Strategy 99Application Portfolio Management 99Human Resources 99Process Management 99Quality Management 99Security Management / ISMS Project Processes 99Make Requirements Architecture and Design Secure Development Verification Deployment 99Buy/Procurement Operation Processes 99Security Operations 99Continuous Assessment 99Patch Management 99Incident Management Methods to implement ASM Erstellung und Analyse eines eigenen Applikationsportfolios inkl. Schutzbedarfslandkarte Beschaffung, Entwicklung und Betrieb von Applikationen entsprechend Ihres Schutzbedarfs Erreichung eines angemessenen Sicherheitsniveaus bei der Softwareentwicklung Kennenlernen der verfügbaren Sicherheitskontrollen und deren Anwendung Führungskräfte mit Applikationsverantwortung, CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern-)Revision, IT-Projektcontroller, Entwicklungsleiter, (Software-)Architekten Teilnehmer Teilnehmer 3 Tage Kosten 1.850,00 pro Person exkl. USt. (In Deutschland findet der Kurzlehrgang in Kooperation mit unserem Partner qskills statt.)

5 Windows Security Malware zielt vor allem auf Windows-Systeme ab. Nahezu jedes Unternehmen speichert wertvolle und vertrauliche Daten auf einem oder mehreren Windows-File-Servern. Weniger offensichtlich ist, ob und in welchem Ausmaß diese Server angemessen gehärtet wurden, um die Daten vor unautorisiertem Zugriff zu sichern. Das Seminar geht besonders auf die Defense-in-Depth-Methode ein, die in der Praxis häufig angewendet wird, um sich vor zahlreichen Bedrohungen zu schützen. Diese schließt auch die sinnvolle Kombination unterschiedlicher Sicherheitsfunktionen ein. Bekannte Best Practices, wie eine strenge Passwort-Policy oder das Deaktivieren von nicht benötigten Diensten, bilden jedoch lediglich die Basis eines sicheren Serverbetriebs. Microsofts aktuelle Server-Betriebssysteme beinhalten bereits eine Vielzahl möglicher Einstellungen, um ein Betriebssystem abzusichern. Nutzen Das Training ermöglicht Ihnen im Austausch mit erfahrenen Sicherheitsspezialisten, Ihr Know-how im Bereich der sicheren Administration zu erweitern. Mit gezielten Maßnahmen der Härtung schützen Sie die Assets Ihres Unternehmens aktiv vor potenziellen Angreifern. Inhalt Major Security Threats for Windows World Best Practices Secure Administration General Hardening Principles Patch Management Access Control (GPOs (Group Policies), UAC (User Access Control)) Monitoring and Logging Service Hardening and Service Accounts Windows Security Features and Tools Network Authentication (NTLM, Kerberos) and Credential Caching (Pass the Hash) Kennenlernen der häufigsten Schwachstellen der aktuellen Windows Betriebssysteme und der Methoden, um diese Fehler im eigenen Unternehmen beheben zu können Erlernen der Methoden zur Systemhärtung und zum sicheren Betrieb von Windows-Servern, insbesondere der Windows-Server 2008 R2 und Windows-Server 2012 Administratoren Teilnehmer 8 12 Teilnehmer 1 Tag Kosten 690,00 pro Person exkl. USt.

6 HACK IT TO DEFEND IT HACKING UND SECURE CODING TRAINING Jede Technologie und Programmiersprache hat spezifische Eigenschaften und ist unterschiedlich gefährlichen Schwachstellen ausgesetzt. Je nach Training können Ihre Mitarbeiter entweder erste Einblicke in das Thema Angriffs- und Secure-Coding-Techniken gewinnen oder im Zuge unserer technologie- und sprachenspezifischen Awareness-Trainings ihr Wissen vertiefen. In konkreten Fallbeispielen werden Top-Angriffsvektoren und -klassen sowie entsprechende Exploits zu jeder Technologie und Programmiersprache demonstriert. Die Trainings fördern mit ihren spezifischen und realistischen Demos von eigens entwickelten Beispielanwendungen die Verknüpfung von theoretischem Wissen und praktischer Umsetzung. Die Teilnehmer erhalten dadurch das Rüstzeug, um die erlernten Methoden in das eigene Arbeitsumfeld und damit in Ihre Organisation zu transferieren. Nutzen Bewusstseinsschärfung Ihrer Mitarbeiter in Hinblick auf Präventivmaßnahmen & Security Awareness Ihre Mitarbeiter sind in der Lage, Schwachstellen in Applikationen selbstständig zu identifizieren und diese weitgehend zu vermeiden Secure Coding als Schlüsselkomponente in der Entwicklung hochqualitativer Software und Webapplikationen Aus dem Inhalt Allgemeine Awareness 99Vorgehensweise von Angreifern 99Aktuelle Bedrohungen 99War Stories Grundlagen des Secure Codings Top-Angriffstechniken und wie man diese vermeiden/beheben kann Input validation 99Streamlining output 99SQL queries 99Running external programs 99Authentication & Authorization 99Password management 99File upload 99Cross-site request forgery 99Cryptography 99Error handling 99Secure download and updates 99Integer overflow (Buffer overflow) Technologiespezifische Security Concerns (Beispiele für Java, PHP,.NET) Fallbeispiele Kennenlernen der bekanntesten Sicherheitsbedrohungen und Angriffsszenarien, deren Auswirkungen und Prävention sowie Angriffsvermeidung Kennenlernen technologiespezifischer Aspekte und Security Concerns Einstieg ins Thema Secure Coding für ausgewählte Technologien und Programmiersprachen, Vor- und Nachteile, Angriffsvermeidung Learning by Doing mit konkreten Fallbeispielen

7 Die Schulung Hack IT to Defend IT wird in unterschiedlichen Varianten angeboten: hack it to defend it generic Das Secure Coding Training Generic ist technologie- und sprachenunabhängig. Die Inhalte finden Sie auf Seite 6. hack it to defend it PHP In den Trainings werden neben generischen Schwachstellen spezifische Problemstellungen in der jeweiligen Programmiersprache behandelt und in Live-Hacking-Challenges vertieft. Equal and identity operator Object injection Random functions in PHP File inclusion hack it to defend it JAVA In den Trainings werden neben generischen Schwachstellen spezifische Problemstellungen in der jeweiligen Programmiersprache behandelt und in Live-Hacking-Challenges vertieft. Jar Signing Applets Classloader Java Security Manager Java Authentication and Authorization Services RMI (Remote Method Invocation) Takeaway Messages hack it to defend it.net In den Trainings werden neben generischen Schwachstellen spezifische Problemstellungen in der jeweiligen Programmiersprache behandelt und in Live-Hacking-Challenges vertieft. Code signing (strong names vs. signatures) AppDomains Silverlight.NET Membership API Software-Architekten, IT-Management bzw. QA-Mitarbeiter mit technischem Know-how, JAVA-, PHP- und.net-entwickler Teilnehmer 8 12 Teilnehmer 2 Tage pro Training Kosten 1.280,00 pro Person & Modul exkl. USt.

8 Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung und Abnahme Dieses Seminar zeigt mögliche Sicherheitslücken in Webanwendungen auf und gibt Empfehlungen zu entsprechenden IT-Sicherheitsanforderungen, die bei der Ausschreibung und Entwicklung berücksichtigt werden sollten. Außerdem wird beschrieben, wie ein entsprechender Softwareentwicklungsprozess aussehen sollte und wie die Einhaltung von IT-Sicherheitsanforderungen überprüft werden kann. Die Seminarinhalte orientieren sich dabei an den beiden Leitfäden zur Entwicklung sicherer Webanwendungen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben hat. Nutzen Anhand von Praxisbeispielen werden die Grundlagen für die Beauftragung, Projektierung, Entwicklung und Abnahme sicherer Webanwendungen vermittelt. Die erworbenen Kenntnisse helfen den Teilnehmern dabei: IT-Sicherheitsanforderungen nach dem Stand der Technik in Projektplanungen und Vergabeunterlagen für Webanwendungen zu integrieren, die Eignung potenzieller Auftragnehmer anhand von Leistungskriterien bereits vor dem Projektstart zu bewerten, die Leistungserbringung von Auftragnehmern während einer Vergabe und bei Projektumsetzung anhand von Quality Gates zu bewerten, IT-Sicherheitsanforderungen im Entwicklungsprozess zu implementieren und umzusetzen, den Reifegrad eines Entwicklungsprozesses zu bestimmen und zu erhöhen, den Abnahmeprozess für sichere Webanwendungen erfolgreich durchzuführen. Inhalt Einleitung 99Rückblick auf erfolgreiche Hacks 99Mit Mythen aufräumen 99Kategorisierung von Angreifern 99Demonstration von Vorgehensweisen von Angreifern 99Definition von Sicherheit Sichere Softwareentwicklung 99Bewertung eines sicheren Entwicklungsprozesses (Secure Development Lifecycle SDL) 99Umsetzung eines SDLs in einem Unternehmen 99Unterstützung durch Roadmaps bei der Umsetzung 99Definition angemessener Sicherheit 99Identifikation naheliegender Aktionsmöglichkeiten ( Low Hanging Fruits ) 99Erstellen von Sicherheitsrichtlinien Vergabephase 99Ausschreibungsverfahren von Webanwendungen 99Leistungskriterien und Quality Gates 99Bewertung von Auftragnehmern 99Bewertung anhand von Reifegraden 99Bestimmung des Schutzbedarfs einer Webanwendung

9 SDL-Aktivitäten und -Umsetzung sowie Abnahmekriterien 99Durchführen einer Anforderungsanalyse 99Erstellen eines Sicherheitsprojektplans 99Erstellen einer Datenbehandlungsstrategie 99Erstellen von Abuse Cases 99Erstellen einer Sicherheitsarchitektur 99Durchführen einer Bedrohungsmodellierung 99Software-Sicherheits-Metriken 99Sicherer Umgang mit Source Code 99Secure Coding Standards 99Überblick über Testverfahren (Design Review, Code Review, Penetrationstest etc.) 99Sichere Auslieferung von Software 99Plattformhärtung 99Änderungsmanagement 99Security Response Vorgaben zur Implementierung 99Design-Prinzipien 99Datenvalidierung 99Kryptografie 99Authentisierung und Sessions 99Datenhaltung und -transport Abschlussdiskussion und individuelle Fragestellungen Vermeidung bzw. frühzeitige Beseitigung von Sicherheitslücken Erkennen der umzusetzenden Aktivitäten in den einzelnen Phasen der sicheren Softwareentwicklung Lernen, den eigenen Softwareprozess zu bewerten und zu verbessern Aufbau von Fachwissen, um Sicherheitsvorgaben in Ausschreibungen aufzunehmen und die entsprechende Anforderungsumsetzung durch die Auftragnehmer überprüfen zu können Erhöhung des Sicherheitsniveaus, Verbesserung der Softwarequalität und nachhaltige Vermeidung von Sicherheitslücken Auftraggeber in der öffentlichen Verwaltung (technischer Einkauf, Projektmanager, QS), Projekt-, Fach- und IT-Sicherheitsverantwortliche in Behörden und Unternehmen, die selbst sichere Webanwendungen entwickeln bzw. die Sicherheit von Webanwendungen bewerten sollen. Auftragnehmer (Hersteller, Dienstleister etc.), die sich an Ausschreibungen beteiligen. Teilnehmer Teilnehmer 1,5 Tage Kosten 890,00 pro Person exkl. USt. (Die Schulung findet in Kooperation mit der Cyber Akademie statt.)

10 ZERTIFIKAT T.E.S.S. SICHERE SYSTEME DANK SYSTEM SECURITY ENGINEERING Mit dem unabhängigen Expertenzertifikat TeleTrust Engineer for System Security (T.E.S.S.) erweitern Sie Ihre Expertise auf dem Gebiet der Informationssicherheit um eine entscheidende Qualifikationskomponente. Die Absolvierung der T.E.S.S.-Zertifizierung ermöglicht es Ihnen, Informationssicherheit auch im Bereich Entwicklung und Entwicklungsprozesse kompetent zu vertreten. Der T.E.S.S. ist ein aktiver Beitrag zur Qualitätsverbesserung von Produkten, IT-Lösungen und Dienstleistungen Ihres Unternehmens. Als Inhaber des T.E.S.S. entsprechen Ihre Kenntnisse dem Wunsch von Unternehmen und Institutionen nach standardisierten, nachvollziehbaren Qualifikationsnachweisen. Nutzen Mit dem T.E.S.S. belegen Sie, dass Sie in der Lage sind, das Konzept Security by Design auf die Entwicklung unterschiedlichster Systeme anzuwenden und damit Sicherheit angemessen und erfolgreich implementieren zu können. Das Zertifikat betont die universelle Einsetzbarkeit dieser Qualifikation, unabhängig davon, ob es sich um Produkte, IT-Lösungen, IT-Services oder komplexe Großsysteme handelt. Inhalt Allgemeine Einführung Why security matters 99Betrachtung der aktuellen Bedrohungslandschaft 99Diskussion bekannter Sicherheitsvorfälle 99Identifikation potenzieller Angreifer und deren Vorgehensweisen 99Durchspielen fiktiver Angriffsszenarien Applikationssicherheit 99Bedeutung von Sicherheit in Bezug auf die Entwicklung und den Betrieb von Applikationen 99Vorstellung ausgewählter relevanter Angriffstechniken 99Live-Hacks 99Application Security Management Prozesse Management-Prozesse 99Strategie 99Application Portfolio Management 99Human Resources Rollen, Verantwortlichkeiten, Auswahlverfahren, Weiterbildung und Zertifizierungen 99Prozess- und Qualitätsmanagement 99Security Management/ISMS Begriffsdefinitionen Sichere Applikationen durch ISMS und Risikomanagement ROSI (Return on Security Investment): Kosten/Nutzen von Sicherheit Schutzbedarfsbestimmung Rechtliche Anforderungen und Vorgaben durch diverse Standards Make or Buy -Entscheidungen Software-Lifecycle 99Requirements Definition von Sicherheitsanforderungen Misuse- and Abuse-Cases 4 Tage 99Architecture and Design Design Principles Design Patterns Bedrohungsmodellierung Sicherheitsbeauftragte, Entwickler, Produktund Systemingenieure Teilnehmer 8 12 Teilnehmer Kosten 2.675,00 pro Person exkl. USt.

11 99Secure Development Secure Coding Integrated Testing Code Quality Metriken Live-Hacks: Vorstellung typischer sicherheitsrelevanter Programmierfehler 99Verification Statische Sicherheitstests (manuell und automatisiert) Dynamische Sicherheitstests (manuell und automatisiert) Abnahmekriterien Zertifizierungen und Standards für Tests und Abnahme 99Deployment Code-Signing-Prozess Sicherer Umgang mit Source Code 99Operation Processes Ausgewählte Themen zum sicheren Betrieb Patch, Incident und Vulnerability Management Zusammenfassung der einzelnen Kapitel Diskussion offener Fragen Informationen zur Prüfung Alle T.E.S.S.-Prüfungen finden unter der Leitung eines unabhängigen Prüfers von PersCert TÜV, einem Tochterunternehmen des TÜV Rheinland, statt. Dieser prüft die Zulassungsvoraussetzungen, führt die Prüfung durch, wertet sie aus und stellt nach bestandener Prüfung das T.E.S.S.-Zertifikat aus. Prüfungszulassung und Anmeldung Zulassungsvoraussetzung ist die Teilnahme an der viertägigen Schulung T.E.S.S. Sichere Systeme dank System Security Engineering. SEC Consult ist dabei ein anerkannter Schulungsanbieter in Deutschland und Österreich. Mit der Anmeldebestätigung für die Schulung erhalten Sie auch gleichzeitig das Anmeldeformular für die Prüfung von SEC Consult zugeschickt. Die Anmeldung zur Prüfung müssen Sie gesondert beim PersCert TÜV tätigen, da Ihnen die Prüfungskosten von PersCert TÜV gesondert in Rechnung gestellt werden. Prüfungsablauf und -inhalte Die Prüfung findet am Nachmittag des letzten Schulungstages statt. Das Ablegen der Prüfung zu einem späteren Termin ist ebenfalls möglich. Die Prüfung dauert 90 Minuten. In Form eines Multiple-Choice-Tests werden insgesamt 60 Fragen gestellt. Hilfsmittel sind nicht zugelassen. Es werden ausschließlich Themen der Schulung abgefragt.

12 ISSECO - Certified Professional for Secure Software Engineering Eine Vielzahl an Schwachstellen und Angriffen ist auf Sicherheitslücken zurückzuführen, die bei der Softwareentwicklung entstanden sind. Durch die verstärkte Integration des Sicherheitsaspekts in den Software Development Lifecycle lassen sich viele Lücken und Schwachstellen vermeiden. Nutzen Nach der Schulung sind Sie in der Lage, typische Fehler bei der Softwareentwicklung, die im Betrieb der Software zu Angriffen führen können, rechtzeitig als solche zu erkennen und zu beseitigen. Dadurch wird das Sicherheitsniveau Ihrer entwickelten Produkte nachhaltig erhöht. Mit der Absolvierung einer unabhängigen Prüfung (isqi) zum ISSECO Certified Professional for Secure Software Engineering erhalten Sie als Qualifikationsnachweis ein international standardisiertes Zertifikat. Die Prüfung ist nicht Teil des Trainings. Inhalt Einführung in das Thema Softwaresicherheit Gängige Angriffsmöglichkeiten Software Development Lifecycle Messbarkeit des Sicherheitsniveaus Praxiserprobte Mechanismen zum Schutz vor internen und externen Angreifern Kennenlernen der Prozesse bei der sicheren Softwareentwicklung Erlernen der wichtigsten Tools zur Vermeidung von typischen Fehlern bei der Softwareentwicklung Nachhaltige Verbesserung der Entwicklungs- und Sicherheitsprozesse im eigenen Unternehmen Zertifikatsschulung Alle Beteiligten im Softwareentwicklungsprozess wie Requirements Engineers, (Software-) Architekten, (Software-)Entwickler, Projektmanager u. a. Teilnehmer 8 12 Teilnehmer 3 Tage Kosten 1.850,00 pro Person exkl. USt.

13 Inhouse Schulungen Ethical Hacking Das SEC Consult Ethical Hacking Training ist als 5-Tages - Training konzipiert. Ziel ist, den Teilnehmern einen umfassenden Einblick in die volle Bandbreite des Ethical Hackings zu geben. Diese reicht von Low-Level- Angriffstechniken wie Buffer Overflows über Mobile Security bis hin zu High-Level-Angriffstechniken auf Webseiten. Nach jedem Themenabschnitt werden die gelernten Inhalte anhand eines Praxisbeispiels vertieft. Im Training erlernen die Teilnehmer die Basistechniken des Ethical Hackings und verfügen damit über alle Grundlagen, die ein Penetrationtester aus technischer Sicht kennen muss. Inhalt Awareness Building & War Stories Introduction to Ethical Hacking Ethical Hacking Techniques for High Level Languages (Web Application/Server Hacking) Ethical Hacking Techniques for Low Level Languages (Application Hacking) Ethical Hacking Techniques for Mobile Platforms Network Hacking Advanced Persistent Threats Best Practices on How to Write Secure Code Entwickler IT-Interessierte mit Entwickler-Background Nach Kundenwunsch Writing Secure Code for C/C++ Im Rahmen der Writing Secure Code for C/C++ Schulung erhalten die Teilnehmer einen Überblick der Top- Schwachstellen und lernen die entsprechenden Angriffstechniken kennen. Nach Kursabschluss sind die Teilnehmer in der Lage, sicheren Code zu schreiben und Schwachstellen in existierenden Codes zu identifizieren sowie zu beheben. Inhalt Basics in Assembler Umgang mit Debuggern CWE Top 25 mit für C/C++ relevanten Beispielen Häufige, für C/C++ spezifische Schwachstellen Gängige Angriffstechniken (Buffer Overflow, Format String, Use After Free, ROP) Allgemeine Schutzmechanismen von Betriebssystemen (ASLR, DEP, Stack Cookies, EMET,...) Analyse von Real World C/C++ Schwachstellen Umgang mit den wichtigsten Debuggern Erkennen der relevantesten Angriffstechniken Identifizieren der häufigsten sicherheitskritischen Schwachstellen in C/C++ und der Methoden, um diese zu vermeiden C/C++ Entwickler Forensiker IT-Interessierte mit Entwickler-Background Nach Kundenwunsch

14 Inhouse Schulungen Reverse Engineering IT-Forensik In der Schulung werden die Grundlagen von Assembler besprochen, der Umgang mit Debuggern (GDB, ImmunityDbg und WinDbg) geübt sowie der Einsatz von IDA Pro als Disassembler gezeigt. Anhand zahlreicher Praxisbeispiele wird der Umgang mit den Tools gemeinsam vertieft. Inhalt Calling Conventions Allgemeine Schutzmechanismen von Betriebssystemen Ausnutzen von Schwachstellen in der Kategorie Memory Corruptions Erläuterung dynamischer Analysemethoden, um das Verhalten einer Software analysieren und bewerten zu können Umgang mit den wichtigsten Reversing-Programmen Identifikation von schadhafter Software Auffinden sicherheitskritischer Schwachstellen und deren Ausnutzung Forensiker Personen, die Schwachstellen in lokalen Applikationen suchen Nach Kundenwunsch Security Awareness Training DU bist die wichtigste Sicherheitsmaßnahme DU hast was angeklickt? Mein Unternehmen wurde gehackt! Ja, und? Unternehmen investieren viel Geld in Technik. Technik allein löst jedoch keine Probleme. Mindestens genauso wichtig ist die Investition in den Faktor Mensch. Ein sensibilisierter und geschulter Mitarbeiter weiß, wie er sich in bestimmten Situationen zu verhalten hat und ist somit die beste Sicherheitsmaßnahme. Dieses Seminar wird genau auf Ihre Unternehmensanforderungen zugeschnitten und generiert damit maximalen Nutzen für die gesamte Organisation. Die Lernziele können beliebig angepasst und erweitert werden. Mögliche Inhalte Überblick über erfolgreiche Hacker-Angriffe erhalten Auswirkungen von Hacker-Angriffen verstehen Erläutern der Vorgehensweise von Hackern der Informationssicherheit verstehen Die eigenen Unternehmensregelungen kennenlernen und verstehen Phishing Mails, Spam Mails Advanced Persistent Threats Grundlegende Sicherheitsmaßnahmen Umgang mit Externen Mobile Device Security Mitarbeiter aller Unternehmensbereiche Nach Kundenwunsch

15 Inhouse Schulungen Informationssicherheitsrisiken effektiv managen Organisationen stehen vor der Herausforderung, dass über die Jahre gewachsene Unternehmensstrukturen immer komplexer werden. Um Informationssicherheitsrisiken in dieser Komplexität zu erkennen, bedarf es eines umfassenden IS-Risikomanagements. Dieses Seminar stellt eine einfache und vielfach in der Praxis erprobte Vorgehensweise vor und erläutert die notwendigen Hintergründe. Verstehen der Vorteile eines effektiven IS-Risikomanagements Kennenlernen methodischer Grundlagen Kennenlernen der Vorgehensweise, wie eine komplexe Unternehmensstruktur in ein einfaches Risikomodell gegossen werden kann Verstehen der Vorgehensweise zur Identifizierung und Behandlung von IS-Risiken Aufbereiten von IS-Risiken, um der Führungsebene ein effektives Managen von IS-Risiken zu ermöglichen CSO, CISO, ISO, Security Manager Risk Manager Mitarbeiter mit Schwerpunkt Security Risikomanagement-Interessierte Nach Kundenwunsch Threat Modeling Bedrohungsmodellierung ist ein Prozess, der das frühzeitige Erkennen und Bewerten von Sicherheitsproblemen ermöglicht. So wird Problemen vorgebeugt und die Kosten für eine Behebung werden stark reduziert. Dieses Seminar beinhaltet eine Einführung in die Entwicklung sicherer Software und soll den Teilnehmern anhand praktischer Beispiele unterschiedliche Methoden zur Bedrohungsmodellierung vorstellen. Das Schulungsmodul wird individuell erstellt. Die Inhalte werden mit realistischen Beispielen aus der eigenen Organisation trainiert, wodurch ein zusätzlicher Lerneffekt generiert wird. Die Lernziele können beliebig angepasst und erweitert werden. Mögliche Inhalte Überblick über Application Security Management und Vorteile einer Bedrohungsmodellierung Bedrohungsmodellierung als Prozess Kennenlernen unterschiedlicher Methoden und Ansätze zur Bedrohungsmodellierung Modellierung anhand konkreter Beispiele Requirements-Engineers Architekten Qualitätsmanager Pentester Personen mit Interesse an sicherer Softwareentwicklung Nach Kundenwunsch Weitere Schulungsthemen aus dem SEC Consult Repertoire: Writing Secure Code for Android, ios etc., Externe Sicherheitsüberprüfung und Training des Entwicklerteams, Incident Management, Linux/Unix Security, Secure Software Engineering

16 Vienna Berlin Frankfurt/Main Montreal Singapore Vilnius

Deutschland & Österreich. Kursprogramm

Deutschland & Österreich. Kursprogramm Deutschland & Österreich Kursprogramm 2014 SEC consult academy portfolio Application security Management Application Security Management Kurzlehrgang CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern)-Revision,

Mehr

SEC Consult als Trainingspartner, weil

SEC Consult als Trainingspartner, weil SEC Consult als Trainingspartner, weil SEC Consult ein unabhängiger Experte für das Thema Application Security ist. SEC Consult der immer größer werdenden Nachfrage mit hochspezialisierten Schulungen in

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Webanwendungssicherheit Webanwendungssicherheit und Penetrationstests Webanwendungssicherheit-Workshop Sichere Webanwendungen in der öffentlichen Verwaltung

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

12. 13. Februar, München 2. 3. Juli, Berlin 3. 4. September, Bonn 17. 18. Dezember, Nürnberg

12. 13. Februar, München 2. 3. Juli, Berlin 3. 4. September, Bonn 17. 18. Dezember, Nürnberg Vergabe von Webanwendungen: IT-Sicherheitsanforderungen als Auftragnehmer erfüllen Seminar für Auftragnehmer der öffentlichen Verwaltung: Wie kann man IT-Sicherheitsanforderungen nach BSI-Leitfaden in

Mehr

Was ist bei der Entwicklung sicherer Apps zu beachten?

Was ist bei der Entwicklung sicherer Apps zu beachten? Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2016 Zentrum für Informationssicherheit Webanwendungssicherheit-Workshop 15. 17. November 2016, Frankfurt Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de Webanwendungssicherheit

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Webanwendungssicherheit und Penetrationstests in Behörden. 13. März 2014, München

Webanwendungssicherheit und Penetrationstests in Behörden. 13. März 2014, München Webanwendungssicherheit und Penetrationstests in Behörden 13. März 2014, München Webanwendungssicherheit und Penetrationstests in Behörden Die Notwendigkeit Server technisch vor Angriffen zu schützen ist

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

Rollenspezifische Verhaltenstrainings

Rollenspezifische Verhaltenstrainings Rollenspezifische Verhaltenstrainings ITIL V3 EXPERT ALL-IN-1 (SS, SD, ST, SO, CSI, MALC) In nur 10 Arbeitstagen zum ITIL V3 Expert Der ITIL V3 Expert All-in-1 ist ideal für Manager, die schnell eine umfassende

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

IT Lehrgang: MCITP. Microsoft Certified Enterprise Desktop Administrator 7. E r f o l g h a t e i n e n N a m e n : S P C! w w w. s p c.

IT Lehrgang: MCITP. Microsoft Certified Enterprise Desktop Administrator 7. E r f o l g h a t e i n e n N a m e n : S P C! w w w. s p c. 2011 IT Lehrgang: MCITP Microsoft Certified Enterprise Desktop Administrator 7 E r f o l g h a t e i n e n N a m e n : S P C! w w w. s p c. a t Wissens-Service ist bei uns schon immer Trend. Und Trends

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Best Practice Standardportal Bundesministerium für Inneres und Land-, forst- und wasserwirtschaftliches Rechenzentrum

Mehr

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved Agenda Web-Anwendungen als schwächstes Glied für Angriffe aus dem Internet Bewertung gängiger Standards und Normen von Web-Anwendungen BSI-Standards 100-1, 100-2 und IT-Grundschutz BSI-Studie ISi-Web:

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Phasen. Gliederung. Rational Unified Process

Phasen. Gliederung. Rational Unified Process Rational Unified Process Version 4.0 Version 4.1 Version 5.1 Version 5.5 Version 2000 Version 2001 1996 1997 1998 1999 2000 2001 Rational Approach Objectory Process OMT Booch SQA Test Process Requirements

Mehr

Gliederung. Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung

Gliederung. Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung Peter Forbrig RUP 1 Gliederung Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung Peter Forbrig RUP 2 Rational Unified

Mehr

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org Secure SDLC für die Masse dank OpenSAMM? Dr. Bruce Sams 17.11.2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Mehr

Der Application Security Verification Standard (ASVS) OWASP 10/2010. The OWASP Foundation http://www.owasp.org. AppSec Germany 2010

Der Application Security Verification Standard (ASVS) OWASP 10/2010. The OWASP Foundation http://www.owasp.org. AppSec Germany 2010 Der Application Security Verification Standard (ASVS) 10/2010 Matthias Rohr SEC Consult Deutschland Senior Security Consultant m.rohr@sec-consult.com Copyright The Foundation Permission is granted to copy,

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Neun Jahre ISO-27001-Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell

Neun Jahre ISO-27001-Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell Neun Jahre ISO-27001-Zertifizierung Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell UNTERNEHMENSSTRATEGIE IT-Dienstleistungszentrum im Bund Das IT-Dienstleistungszentrum der Bundesverwaltung für Vision

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

TRAINING. Transbase Training. Transbase Training - Die Kurse in der Übersicht

TRAINING. Transbase Training. Transbase Training - Die Kurse in der Übersicht Transbase Training Der Bereich Schulung und Training von Transaction Software umfasst ein breites Angebot rund um das Thema Datenbanken. Angeboten werden spezielle Transbase Trainings. Transbase Training

Mehr

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015 Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise Matthias Kaempfer April, 20 2015 Ganzheitlicher SAP Sicherheitsansatz Detect attacks Secure infrastructure Security processes and awareness

Mehr

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10.

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10. Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen Udo H. Kalinna Nürnberg, den 10.10.2013 AGENDA Kein Tag ohne Hack! Sind diese Schwachstellen

Mehr

Sicherheits- & Management Aspekte im mobilen Umfeld

Sicherheits- & Management Aspekte im mobilen Umfeld Sicherheits- & Management Aspekte im mobilen Umfeld Einfach war gestern 1 2012 IBM Corporation Zielgerichtete Angriffe erschüttern Unternehmen und Behörden 2 Source: IBM X-Force 2011 Trend and Risk Report

Mehr

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland ivan.buetler@csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60

Mehr

Quality is our Passion!

Quality is our Passion! Quality is our Passion! Quality is our Passion! Quality is our Passion! 2 Knowledge Department ist ein Dienstleistungsunternehmen im Software-Entwicklungs-Bereich. Das Serviceangebot umfasst Trainings,

Mehr

Überwachung der Sicherheit von IT-Services im Einsatz

Überwachung der Sicherheit von IT-Services im Einsatz Überwachung der Sicherheit von IT-Services im Einsatz Franz Lantenhammer Oberstleutnant Dipl.-Ing., CISSP Leiter CERTBw IT-Zentrum der Bundeswehr franzlantenhammer@bundeswehr.org franz.lantenhammer@certbw.de

Mehr

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland ivan.buetler@csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Security Operations Center

Security Operations Center Nadine Nagel / Dr. Stefan Blum Security Operations Center Von der Konzeption bis zur Umsetzung Agenda Bedrohungslage Security Operations Center Security Intelligence Herausforderungen Empfehlungen 2 Bedrohungslage

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! Oliver Steinhauer Sascha Köhler.mobile PROFI Mobile Business Agenda MACHEN SIE IHRE ANWENDUNGEN MOBIL?! HERAUSFORDERUNG Prozesse und Anwendungen A B

Mehr

2014 PRINCE 2 Foundation PRINCE 2 Practitioner

2014 PRINCE 2 Foundation PRINCE 2 Practitioner Personalprofil Thomas Scherzinger Senior Consultant E-Mail: thomas.scherzinger@arcondis.com AUSBILDUNG BERUFLICHE WEITERBILDUNG BESONDERE TÄTIGKEITEN 2010 Bachelor of Sciences in Wirtschaftsinformatik

Mehr

Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de

Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de Vorstellung Markus Wutzke Senior Consultant Secaron AG Certified Secure Software Lifecycle Professional (CSSLP

Mehr

SECURITY INFORMATION MANAGEMENT UND IDENTITY MANAGEMENT. Novell Security Konferenz, Wien 3. April 2008

SECURITY INFORMATION MANAGEMENT UND IDENTITY MANAGEMENT. Novell Security Konferenz, Wien 3. April 2008 SECURITY INFORMATION MANAGEMENT UND IDENTITY MANAGEMENT Marc Heuse Novell Security Konferenz, Wien 3. April 2008 AGENDA Security Information was ist das? wie bindet man es ein? Identity & Access Management

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Leistungsstark. Sicher. Nachhaltig. Kompetenter Dienstleister und Systemintegrator seit 1994

Leistungsstark. Sicher. Nachhaltig. Kompetenter Dienstleister und Systemintegrator seit 1994 Leistungsstark. Sicher. Nachhaltig. Kompetenter Dienstleister und Systemintegrator seit 1994 Thinking Objects GmbH Kompetenter Dienstleister und Systemintegrator seit 1994 Mit fundierten IT-Security und

Mehr

Seminarprogramm 2014 Aus- und Fortbildungsveranstaltungen zu Themen der Informationssicherheit und des Datenschutzes

Seminarprogramm 2014 Aus- und Fortbildungsveranstaltungen zu Themen der Informationssicherheit und des Datenschutzes Zentrum für Informationssicherheit Seminarprogramm 2014 Aus- und Fortbildungsveranstaltungen zu Themen der Informationssicherheit und des Datenschutzes Stand: 22.01.2014 Die Cyber Akademie Zentrum für

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer Markus Urban.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates

Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates Schwachstellen Gefahr erkennen Gefahr bewerten Gefahr beseitigen Thomas Ranke (Vertrieb Nord) baramundi

Mehr

Administering Microsoft Exchange Server 2016 MOC 20345-1

Administering Microsoft Exchange Server 2016 MOC 20345-1 Administering Microsoft Exchange Server 2016 MOC 20345-1 In diesem 5-tägigen Kurs lernen Sie, wie Sie Exchange Server 2012 administrieren und supporten. Sie erfahren, wie Sie den Exchange Server 2016 installieren

Mehr

Mobile Device Security Risiken und Schutzmaßnahmen

Mobile Device Security Risiken und Schutzmaßnahmen Mobile Device Security Risiken und Schutzmaßnahmen 17. 19. Februar 2014, Hamburg 26. 28. Mai 2014, Köln 27. 29. August 2014, Berlin 5. 7. November 2014, Stuttgart Mobile Device Security Risiken und Schutzmaßnahmen

Mehr

Warum braucht es neue Betriebssysteme? Security Event 2016. NetSpider GmbH / GoEast GmbH

Warum braucht es neue Betriebssysteme? Security Event 2016. NetSpider GmbH / GoEast GmbH Warum braucht es neue Betriebssysteme? Security Event 2016 NetSpider GmbH / GoEast GmbH Warum braucht es neue Betriebssysteme? Agenda Security Features in Windows Was braucht es im Backend (Server) Anti-Viren

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an die Auftragnehmer

Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an die Auftragnehmer Leitfaden zur Entwicklung sicherer Webanwendungen Empfehlungen und Anforderungen an die Auftragnehmer SEC Consult Deutschland Unternehmensberatung GmbH Bockenheimer Landstraße 17/19 60325 Frankfurt/Main

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Vulnerability Management

Vulnerability Management Quelle. fotolia Vulnerability Management The early bird catches the worm Dipl.-Ing. Lukas Memelauer, BSc lukas.memelauer@calpana.com calpana business consulting gmbh Blumauerstraße 43, 4020 Linz 1 Agenda

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Datenbanksicherheit Überwachung und Kontrolle. Dr. Ing. Oriana Weber 07/06/2011

Datenbanksicherheit Überwachung und Kontrolle. Dr. Ing. Oriana Weber 07/06/2011 Datenbanksicherheit Überwachung und Kontrolle Dr. Ing. Oriana Weber 07/06/2011 Agenda Leitfragen Warum sind Datenbanken attraktive Ziele? Klassifizierung von DB Sicherheitsrisiken Die Komplexität der Steuerung

Mehr

Seminar- & Zertifizierungsprogramm 2010

Seminar- & Zertifizierungsprogramm 2010 Seminar- & Zertifizierungsprogramm 2010 Testen von Software und Qualitätssicherung Unser Seminarprogramm richtet sich an alle am Testprozess beteiligten Personen. In den verschiedenen Veranstaltungen werden

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform 02 PROFI News

Mehr

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten. Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten. networker, projektberatung GmbH AN ALLGEIER COMPANY / Division Allgeier Experts IT-Security Portfolio 2015 IT-Beratung, IT-Personalservice und

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Digitale Risiken und Schadenszenarien. Die deutsche Perspektive

Digitale Risiken und Schadenszenarien. Die deutsche Perspektive Digitale Risiken und Schadenszenarien Die deutsche Perspektive Robin Kroha Director Corporate Security Management HiSolutions AG http://hisolutions.com/ Vertrauliche Informationen können in Minuten zu

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63 ... Geleitwort... 15... Vorwort... 17... Einführung... 23 1... Was ist Run SAP?... 25 1.1... Motivation der Run SAP-Methodik... 27 1.2... Roadmap... 29 1.3... Run SAP-Phasen... 32 1.3.1... Assessment &

Mehr

NG-NAC, Auf der Weg zu kontinuierlichem

NG-NAC, Auf der Weg zu kontinuierlichem NG-NAC, Auf der Weg zu kontinuierlichem Monitoring, Sichtbarkeit und Problembehebung 2013 ForeScout Technologies, Page 1 Matthias Ems, Markus Auer, 2014 ForeScout Technologies, Page 1 Director IT Security

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Lehrgang Information Security Management

Lehrgang Information Security Management Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse

Mehr

Applikationssicherheit im gesamten Entwicklungszyklus mit Hilfe von OpenSAMM und BSIMM

Applikationssicherheit im gesamten Entwicklungszyklus mit Hilfe von OpenSAMM und BSIMM Applikationssicherheit im gesamten Entwicklungszyklus mit Hilfe von OpenSAMM und BSIMM Lucas v. Stockhausen Software Security Consultant lvonstockhausen@hp.com www.fortifysoftware.com +49 1520 1898430

Mehr