Deutschland & Österreich. Kursprogramm

Größe: px
Ab Seite anzeigen:

Download "Deutschland & Österreich. Kursprogramm"

Transkript

1 Deutschland & Österreich Kursprogramm 2015

2 SEC consult academy portfolio Application security Management Application Security Management Kurzlehrgang CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern-)Revision, IT-Projektcontroller, IT-Strategen, Entwicklungsleiter, Software-Architekten 3 Tage Technologie Prozesse Inhouse Schulungen Windows Security Administratoren 1 Tag Hack it to Defend it Hacking and Secure Coding Training Generic JAVA PHP.NET (Software-)Entwickler, (Software-)Architekten 2 Tage/Training Sichere Webanwendungen in der öffentlichen Verwaltung Auftraggeber, potenzielle Auftragnehmer, Projekt-, Fach- und IT-Sicherheitsverantwortliche 1,5 Tage T.E.S.S. Sichere Systeme dank System Security Engineering Sicherheitsbeauftragte, Entwickler, Produkt- und Systemingenieure 4 Tage ISSECO Certified Professional for Secure Software Engineering (CPSSE) Alle Beteiligten im Softwareentwicklungsprozess: Engineers, (Software-)Architekten, (Software-) Entwickler, Projektmanager 3 Tage Maßgeschneiderte Trainings auf Anfrage Ethical Hacking Writing Secure Code for C/C++ Linux/Unix Security Reverse Engineering IT-Forensik Security Awareness Training Informationssicherheitsrisiken effektiv managen Threat Modeling Mitarbeiter aller Unternehmensbereiche auf Anfrage

3 SEC Consult als Trainingspartner SEC Consult ist der führende Berater im Bereich Informations- und Applikationssicherheit und unterstützt führende Unternehmen und Organisationen durch Beratung und spezifische High-End-Services wie Security Quality Gates, Secure Software as a Service (SSaaS) oder Managed Vulnerability Information Services (MVIS). Mit Niederlassungen in Europa, Asien und Nordamerika zählt SEC Consult zu den Big Playern der Branche. Durchführung von mehr als 350 Security Audits pro Jahr eigenes internes Security Labor zur Erforschung von Sicherheitsrisiken (SEC Consult Vulnerability Lab) laufende Identifizierung von Zero-Day-Schwachstellen zertifiziert nach ISO für höchste Sicherheit und Vertraulichkeit Mitarbeit bei der Entwicklung bekannter Standards wie OWASP, ÖNORM A 7700 und des BSI-Leitfadens Veröffentlichung von innovativen, prämierten Forschungspublikationen völlige Unabhängigkeit von Produktherstellern SEC Consult s Experten & Trainer sind aktive Security Spezialisten mit einschlägiger, praktischer Erfahrung sind akkreditierte Auditoren wirken bei der Erstellung nationaler und internationaler (Sicherheits-)Standards mit sind renommierte Speaker bei internationalen Konferenzen besitzen umfassende Tool-Erfahrung und ausgeprägte Softwareentwicklungsskills sind Preisträger internationaler Auszeichnungen Was hinter unserem Angebot steckt interaktives Arbeiten Break-Out-Sessions Live-Hacking-Sessions interaktive Demonstrationen von Security Tools ausgewogener Medienmix interaktives Arbeiten in Kleingruppen Möglichkeit zum Networking und Informationsaustausch über Branchengrenzen hinweg Kontakt Headquarter sec Consult SEC Technologies GmbH Unternehmensberatung GmbH Friedrichstraße 140 Mooslackengasse Berlin 1190 Wien Deutschland Österreich T +49 (69) T F +49 (69) F Anmeldungen Beratung & Verkauf Magdalena Jünger mag. (FH) Theresa Mosing Mooslackengasse 17, 1190 Wien Mooslackengasse 17, 1190 Wien T T F F

4 KURZLEHRGANG APPLICATION SECURITY MANAGEMENT Application Security Management (ASM) beschreibt die notwendigen Prozesse und Richtlinien um sicherzustellen, dass alle Anwendungen und die zugehörigen IT-Systeme innerhalb einer Organisation entsprechend ihrer Wichtigkeit und der Kritikalität der involvierten Geschäftsprozesse beschafft, entwickelt und betrieben werden. Im Lehrgang werden ein Managementsystem und dessen entsprechende Vorbedingungen erarbeitet, die sich nahtlos in ein bestehendes Information Security Management System (ISMS) nach ISO integrieren lassen. Dadurch wird sichergestellt, dass Sicherheitsinvestitionen zielgerichtet und angemessen erfolgen. Neben den Grundlagen zur sicheren Softwareentwicklung und zum sicheren Betrieb wird auch Hintergrundwissen zu Untersuchungsmethoden und möglichen zusätzlichen Sicherheitsmaßnahmen vermittelt. Nutzen Die erlernten Methoden und Werkzeuge zur Analyse Ihres Applikationsportfolios liefern eine genaue Standortbestimmung. Sie erhalten einen Überblick über die bereits durchgeführten Aktivitäten und Maßnahmen, die die Sicherheit noch erhöhen können. Inhalt Introduction SEC Consult Overview ASM Roadmap Why security matters Management Processes 99Strategy 99Application Portfolio Management 99Human Resources 99Process Management 99Quality Management 99Security Management / ISMS Project Processes 99Make Requirements Architecture and Design Secure Development Verification Deployment 99Buy/Procurement Operation Processes 99Security Operations 99Continuous Assessment 99Patch Management 99Incident Management Methods to implement ASM Erstellung und Analyse eines eigenen Applikationsportfolios inkl. Schutzbedarfslandkarte Beschaffung, Entwicklung und Betrieb von Applikationen entsprechend Ihres Schutzbedarfs Erreichung eines angemessenen Sicherheitsniveaus bei der Softwareentwicklung Kennenlernen der verfügbaren Sicherheitskontrollen und deren Anwendung Führungskräfte mit Applikationsverantwortung, CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern-)Revision, IT-Projektcontroller, Entwicklungsleiter, (Software-)Architekten Teilnehmer Teilnehmer 3 Tage Kosten 1.850,00 pro Person exkl. USt. (In Deutschland findet der Kurzlehrgang in Kooperation mit unserem Partner qskills statt.)

5 Windows Security Malware zielt vor allem auf Windows-Systeme ab. Nahezu jedes Unternehmen speichert wertvolle und vertrauliche Daten auf einem oder mehreren Windows-File-Servern. Weniger offensichtlich ist, ob und in welchem Ausmaß diese Server angemessen gehärtet wurden, um die Daten vor unautorisiertem Zugriff zu sichern. Das Seminar geht besonders auf die Defense-in-Depth-Methode ein, die in der Praxis häufig angewendet wird, um sich vor zahlreichen Bedrohungen zu schützen. Diese schließt auch die sinnvolle Kombination unterschiedlicher Sicherheitsfunktionen ein. Bekannte Best Practices, wie eine strenge Passwort-Policy oder das Deaktivieren von nicht benötigten Diensten, bilden jedoch lediglich die Basis eines sicheren Serverbetriebs. Microsofts aktuelle Server-Betriebssysteme beinhalten bereits eine Vielzahl möglicher Einstellungen, um ein Betriebssystem abzusichern. Nutzen Das Training ermöglicht Ihnen im Austausch mit erfahrenen Sicherheitsspezialisten, Ihr Know-how im Bereich der sicheren Administration zu erweitern. Mit gezielten Maßnahmen der Härtung schützen Sie die Assets Ihres Unternehmens aktiv vor potenziellen Angreifern. Inhalt Major Security Threats for Windows World Best Practices Secure Administration General Hardening Principles Patch Management Access Control (GPOs (Group Policies), UAC (User Access Control)) Monitoring and Logging Service Hardening and Service Accounts Windows Security Features and Tools Network Authentication (NTLM, Kerberos) and Credential Caching (Pass the Hash) Kennenlernen der häufigsten Schwachstellen der aktuellen Windows Betriebssysteme und der Methoden, um diese Fehler im eigenen Unternehmen beheben zu können Erlernen der Methoden zur Systemhärtung und zum sicheren Betrieb von Windows-Servern, insbesondere der Windows-Server 2008 R2 und Windows-Server 2012 Administratoren Teilnehmer 8 12 Teilnehmer 1 Tag Kosten 690,00 pro Person exkl. USt.

6 HACK IT TO DEFEND IT HACKING UND SECURE CODING TRAINING Jede Technologie und Programmiersprache hat spezifische Eigenschaften und ist unterschiedlich gefährlichen Schwachstellen ausgesetzt. Je nach Training können Ihre Mitarbeiter entweder erste Einblicke in das Thema Angriffs- und Secure-Coding-Techniken gewinnen oder im Zuge unserer technologie- und sprachenspezifischen Awareness-Trainings ihr Wissen vertiefen. In konkreten Fallbeispielen werden Top-Angriffsvektoren und -klassen sowie entsprechende Exploits zu jeder Technologie und Programmiersprache demonstriert. Die Trainings fördern mit ihren spezifischen und realistischen Demos von eigens entwickelten Beispielanwendungen die Verknüpfung von theoretischem Wissen und praktischer Umsetzung. Die Teilnehmer erhalten dadurch das Rüstzeug, um die erlernten Methoden in das eigene Arbeitsumfeld und damit in Ihre Organisation zu transferieren. Nutzen Bewusstseinsschärfung Ihrer Mitarbeiter in Hinblick auf Präventivmaßnahmen & Security Awareness Ihre Mitarbeiter sind in der Lage, Schwachstellen in Applikationen selbstständig zu identifizieren und diese weitgehend zu vermeiden Secure Coding als Schlüsselkomponente in der Entwicklung hochqualitativer Software und Webapplikationen Aus dem Inhalt Allgemeine Awareness 99Vorgehensweise von Angreifern 99Aktuelle Bedrohungen 99War Stories Grundlagen des Secure Codings Top-Angriffstechniken und wie man diese vermeiden/beheben kann Input validation 99Streamlining output 99SQL queries 99Running external programs 99Authentication & Authorization 99Password management 99File upload 99Cross-site request forgery 99Cryptography 99Error handling 99Secure download and updates 99Integer overflow (Buffer overflow) Technologiespezifische Security Concerns (Beispiele für Java, PHP,.NET) Fallbeispiele Kennenlernen der bekanntesten Sicherheitsbedrohungen und Angriffsszenarien, deren Auswirkungen und Prävention sowie Angriffsvermeidung Kennenlernen technologiespezifischer Aspekte und Security Concerns Einstieg ins Thema Secure Coding für ausgewählte Technologien und Programmiersprachen, Vor- und Nachteile, Angriffsvermeidung Learning by Doing mit konkreten Fallbeispielen

7 Die Schulung Hack IT to Defend IT wird in unterschiedlichen Varianten angeboten: hack it to defend it generic Das Secure Coding Training Generic ist technologie- und sprachenunabhängig. Die Inhalte finden Sie auf Seite 6. hack it to defend it PHP In den Trainings werden neben generischen Schwachstellen spezifische Problemstellungen in der jeweiligen Programmiersprache behandelt und in Live-Hacking-Challenges vertieft. Equal and identity operator Object injection Random functions in PHP File inclusion hack it to defend it JAVA In den Trainings werden neben generischen Schwachstellen spezifische Problemstellungen in der jeweiligen Programmiersprache behandelt und in Live-Hacking-Challenges vertieft. Jar Signing Applets Classloader Java Security Manager Java Authentication and Authorization Services RMI (Remote Method Invocation) Takeaway Messages hack it to defend it.net In den Trainings werden neben generischen Schwachstellen spezifische Problemstellungen in der jeweiligen Programmiersprache behandelt und in Live-Hacking-Challenges vertieft. Code signing (strong names vs. signatures) AppDomains Silverlight.NET Membership API Software-Architekten, IT-Management bzw. QA-Mitarbeiter mit technischem Know-how, JAVA-, PHP- und.net-entwickler Teilnehmer 8 12 Teilnehmer 2 Tage pro Training Kosten 1.280,00 pro Person & Modul exkl. USt.

8 Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung und Abnahme Dieses Seminar zeigt mögliche Sicherheitslücken in Webanwendungen auf und gibt Empfehlungen zu entsprechenden IT-Sicherheitsanforderungen, die bei der Ausschreibung und Entwicklung berücksichtigt werden sollten. Außerdem wird beschrieben, wie ein entsprechender Softwareentwicklungsprozess aussehen sollte und wie die Einhaltung von IT-Sicherheitsanforderungen überprüft werden kann. Die Seminarinhalte orientieren sich dabei an den beiden Leitfäden zur Entwicklung sicherer Webanwendungen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben hat. Nutzen Anhand von Praxisbeispielen werden die Grundlagen für die Beauftragung, Projektierung, Entwicklung und Abnahme sicherer Webanwendungen vermittelt. Die erworbenen Kenntnisse helfen den Teilnehmern dabei: IT-Sicherheitsanforderungen nach dem Stand der Technik in Projektplanungen und Vergabeunterlagen für Webanwendungen zu integrieren, die Eignung potenzieller Auftragnehmer anhand von Leistungskriterien bereits vor dem Projektstart zu bewerten, die Leistungserbringung von Auftragnehmern während einer Vergabe und bei Projektumsetzung anhand von Quality Gates zu bewerten, IT-Sicherheitsanforderungen im Entwicklungsprozess zu implementieren und umzusetzen, den Reifegrad eines Entwicklungsprozesses zu bestimmen und zu erhöhen, den Abnahmeprozess für sichere Webanwendungen erfolgreich durchzuführen. Inhalt Einleitung 99Rückblick auf erfolgreiche Hacks 99Mit Mythen aufräumen 99Kategorisierung von Angreifern 99Demonstration von Vorgehensweisen von Angreifern 99Definition von Sicherheit Sichere Softwareentwicklung 99Bewertung eines sicheren Entwicklungsprozesses (Secure Development Lifecycle SDL) 99Umsetzung eines SDLs in einem Unternehmen 99Unterstützung durch Roadmaps bei der Umsetzung 99Definition angemessener Sicherheit 99Identifikation naheliegender Aktionsmöglichkeiten ( Low Hanging Fruits ) 99Erstellen von Sicherheitsrichtlinien Vergabephase 99Ausschreibungsverfahren von Webanwendungen 99Leistungskriterien und Quality Gates 99Bewertung von Auftragnehmern 99Bewertung anhand von Reifegraden 99Bestimmung des Schutzbedarfs einer Webanwendung

9 SDL-Aktivitäten und -Umsetzung sowie Abnahmekriterien 99Durchführen einer Anforderungsanalyse 99Erstellen eines Sicherheitsprojektplans 99Erstellen einer Datenbehandlungsstrategie 99Erstellen von Abuse Cases 99Erstellen einer Sicherheitsarchitektur 99Durchführen einer Bedrohungsmodellierung 99Software-Sicherheits-Metriken 99Sicherer Umgang mit Source Code 99Secure Coding Standards 99Überblick über Testverfahren (Design Review, Code Review, Penetrationstest etc.) 99Sichere Auslieferung von Software 99Plattformhärtung 99Änderungsmanagement 99Security Response Vorgaben zur Implementierung 99Design-Prinzipien 99Datenvalidierung 99Kryptografie 99Authentisierung und Sessions 99Datenhaltung und -transport Abschlussdiskussion und individuelle Fragestellungen Vermeidung bzw. frühzeitige Beseitigung von Sicherheitslücken Erkennen der umzusetzenden Aktivitäten in den einzelnen Phasen der sicheren Softwareentwicklung Lernen, den eigenen Softwareprozess zu bewerten und zu verbessern Aufbau von Fachwissen, um Sicherheitsvorgaben in Ausschreibungen aufzunehmen und die entsprechende Anforderungsumsetzung durch die Auftragnehmer überprüfen zu können Erhöhung des Sicherheitsniveaus, Verbesserung der Softwarequalität und nachhaltige Vermeidung von Sicherheitslücken Auftraggeber in der öffentlichen Verwaltung (technischer Einkauf, Projektmanager, QS), Projekt-, Fach- und IT-Sicherheitsverantwortliche in Behörden und Unternehmen, die selbst sichere Webanwendungen entwickeln bzw. die Sicherheit von Webanwendungen bewerten sollen. Auftragnehmer (Hersteller, Dienstleister etc.), die sich an Ausschreibungen beteiligen. Teilnehmer Teilnehmer 1,5 Tage Kosten 890,00 pro Person exkl. USt. (Die Schulung findet in Kooperation mit der Cyber Akademie statt.)

10 ZERTIFIKAT T.E.S.S. SICHERE SYSTEME DANK SYSTEM SECURITY ENGINEERING Mit dem unabhängigen Expertenzertifikat TeleTrust Engineer for System Security (T.E.S.S.) erweitern Sie Ihre Expertise auf dem Gebiet der Informationssicherheit um eine entscheidende Qualifikationskomponente. Die Absolvierung der T.E.S.S.-Zertifizierung ermöglicht es Ihnen, Informationssicherheit auch im Bereich Entwicklung und Entwicklungsprozesse kompetent zu vertreten. Der T.E.S.S. ist ein aktiver Beitrag zur Qualitätsverbesserung von Produkten, IT-Lösungen und Dienstleistungen Ihres Unternehmens. Als Inhaber des T.E.S.S. entsprechen Ihre Kenntnisse dem Wunsch von Unternehmen und Institutionen nach standardisierten, nachvollziehbaren Qualifikationsnachweisen. Nutzen Mit dem T.E.S.S. belegen Sie, dass Sie in der Lage sind, das Konzept Security by Design auf die Entwicklung unterschiedlichster Systeme anzuwenden und damit Sicherheit angemessen und erfolgreich implementieren zu können. Das Zertifikat betont die universelle Einsetzbarkeit dieser Qualifikation, unabhängig davon, ob es sich um Produkte, IT-Lösungen, IT-Services oder komplexe Großsysteme handelt. Inhalt Allgemeine Einführung Why security matters 99Betrachtung der aktuellen Bedrohungslandschaft 99Diskussion bekannter Sicherheitsvorfälle 99Identifikation potenzieller Angreifer und deren Vorgehensweisen 99Durchspielen fiktiver Angriffsszenarien Applikationssicherheit 99Bedeutung von Sicherheit in Bezug auf die Entwicklung und den Betrieb von Applikationen 99Vorstellung ausgewählter relevanter Angriffstechniken 99Live-Hacks 99Application Security Management Prozesse Management-Prozesse 99Strategie 99Application Portfolio Management 99Human Resources Rollen, Verantwortlichkeiten, Auswahlverfahren, Weiterbildung und Zertifizierungen 99Prozess- und Qualitätsmanagement 99Security Management/ISMS Begriffsdefinitionen Sichere Applikationen durch ISMS und Risikomanagement ROSI (Return on Security Investment): Kosten/Nutzen von Sicherheit Schutzbedarfsbestimmung Rechtliche Anforderungen und Vorgaben durch diverse Standards Make or Buy -Entscheidungen Software-Lifecycle 99Requirements Definition von Sicherheitsanforderungen Misuse- and Abuse-Cases 4 Tage 99Architecture and Design Design Principles Design Patterns Bedrohungsmodellierung Sicherheitsbeauftragte, Entwickler, Produktund Systemingenieure Teilnehmer 8 12 Teilnehmer Kosten 2.675,00 pro Person exkl. USt.

11 99Secure Development Secure Coding Integrated Testing Code Quality Metriken Live-Hacks: Vorstellung typischer sicherheitsrelevanter Programmierfehler 99Verification Statische Sicherheitstests (manuell und automatisiert) Dynamische Sicherheitstests (manuell und automatisiert) Abnahmekriterien Zertifizierungen und Standards für Tests und Abnahme 99Deployment Code-Signing-Prozess Sicherer Umgang mit Source Code 99Operation Processes Ausgewählte Themen zum sicheren Betrieb Patch, Incident und Vulnerability Management Zusammenfassung der einzelnen Kapitel Diskussion offener Fragen Informationen zur Prüfung Alle T.E.S.S.-Prüfungen finden unter der Leitung eines unabhängigen Prüfers von PersCert TÜV, einem Tochterunternehmen des TÜV Rheinland, statt. Dieser prüft die Zulassungsvoraussetzungen, führt die Prüfung durch, wertet sie aus und stellt nach bestandener Prüfung das T.E.S.S.-Zertifikat aus. Prüfungszulassung und Anmeldung Zulassungsvoraussetzung ist die Teilnahme an der viertägigen Schulung T.E.S.S. Sichere Systeme dank System Security Engineering. SEC Consult ist dabei ein anerkannter Schulungsanbieter in Deutschland und Österreich. Mit der Anmeldebestätigung für die Schulung erhalten Sie auch gleichzeitig das Anmeldeformular für die Prüfung von SEC Consult zugeschickt. Die Anmeldung zur Prüfung müssen Sie gesondert beim PersCert TÜV tätigen, da Ihnen die Prüfungskosten von PersCert TÜV gesondert in Rechnung gestellt werden. Prüfungsablauf und -inhalte Die Prüfung findet am Nachmittag des letzten Schulungstages statt. Das Ablegen der Prüfung zu einem späteren Termin ist ebenfalls möglich. Die Prüfung dauert 90 Minuten. In Form eines Multiple-Choice-Tests werden insgesamt 60 Fragen gestellt. Hilfsmittel sind nicht zugelassen. Es werden ausschließlich Themen der Schulung abgefragt.

12 ISSECO - Certified Professional for Secure Software Engineering Eine Vielzahl an Schwachstellen und Angriffen ist auf Sicherheitslücken zurückzuführen, die bei der Softwareentwicklung entstanden sind. Durch die verstärkte Integration des Sicherheitsaspekts in den Software Development Lifecycle lassen sich viele Lücken und Schwachstellen vermeiden. Nutzen Nach der Schulung sind Sie in der Lage, typische Fehler bei der Softwareentwicklung, die im Betrieb der Software zu Angriffen führen können, rechtzeitig als solche zu erkennen und zu beseitigen. Dadurch wird das Sicherheitsniveau Ihrer entwickelten Produkte nachhaltig erhöht. Mit der Absolvierung einer unabhängigen Prüfung (isqi) zum ISSECO Certified Professional for Secure Software Engineering erhalten Sie als Qualifikationsnachweis ein international standardisiertes Zertifikat. Die Prüfung ist nicht Teil des Trainings. Inhalt Einführung in das Thema Softwaresicherheit Gängige Angriffsmöglichkeiten Software Development Lifecycle Messbarkeit des Sicherheitsniveaus Praxiserprobte Mechanismen zum Schutz vor internen und externen Angreifern Kennenlernen der Prozesse bei der sicheren Softwareentwicklung Erlernen der wichtigsten Tools zur Vermeidung von typischen Fehlern bei der Softwareentwicklung Nachhaltige Verbesserung der Entwicklungs- und Sicherheitsprozesse im eigenen Unternehmen Zertifikatsschulung Alle Beteiligten im Softwareentwicklungsprozess wie Requirements Engineers, (Software-) Architekten, (Software-)Entwickler, Projektmanager u. a. Teilnehmer 8 12 Teilnehmer 3 Tage Kosten 1.850,00 pro Person exkl. USt.

13 Inhouse Schulungen Ethical Hacking Das SEC Consult Ethical Hacking Training ist als 5-Tages - Training konzipiert. Ziel ist, den Teilnehmern einen umfassenden Einblick in die volle Bandbreite des Ethical Hackings zu geben. Diese reicht von Low-Level- Angriffstechniken wie Buffer Overflows über Mobile Security bis hin zu High-Level-Angriffstechniken auf Webseiten. Nach jedem Themenabschnitt werden die gelernten Inhalte anhand eines Praxisbeispiels vertieft. Im Training erlernen die Teilnehmer die Basistechniken des Ethical Hackings und verfügen damit über alle Grundlagen, die ein Penetrationtester aus technischer Sicht kennen muss. Inhalt Awareness Building & War Stories Introduction to Ethical Hacking Ethical Hacking Techniques for High Level Languages (Web Application/Server Hacking) Ethical Hacking Techniques for Low Level Languages (Application Hacking) Ethical Hacking Techniques for Mobile Platforms Network Hacking Advanced Persistent Threats Best Practices on How to Write Secure Code Entwickler IT-Interessierte mit Entwickler-Background Nach Kundenwunsch Writing Secure Code for C/C++ Im Rahmen der Writing Secure Code for C/C++ Schulung erhalten die Teilnehmer einen Überblick der Top- Schwachstellen und lernen die entsprechenden Angriffstechniken kennen. Nach Kursabschluss sind die Teilnehmer in der Lage, sicheren Code zu schreiben und Schwachstellen in existierenden Codes zu identifizieren sowie zu beheben. Inhalt Basics in Assembler Umgang mit Debuggern CWE Top 25 mit für C/C++ relevanten Beispielen Häufige, für C/C++ spezifische Schwachstellen Gängige Angriffstechniken (Buffer Overflow, Format String, Use After Free, ROP) Allgemeine Schutzmechanismen von Betriebssystemen (ASLR, DEP, Stack Cookies, EMET,...) Analyse von Real World C/C++ Schwachstellen Umgang mit den wichtigsten Debuggern Erkennen der relevantesten Angriffstechniken Identifizieren der häufigsten sicherheitskritischen Schwachstellen in C/C++ und der Methoden, um diese zu vermeiden C/C++ Entwickler Forensiker IT-Interessierte mit Entwickler-Background Nach Kundenwunsch

14 Inhouse Schulungen Reverse Engineering IT-Forensik In der Schulung werden die Grundlagen von Assembler besprochen, der Umgang mit Debuggern (GDB, ImmunityDbg und WinDbg) geübt sowie der Einsatz von IDA Pro als Disassembler gezeigt. Anhand zahlreicher Praxisbeispiele wird der Umgang mit den Tools gemeinsam vertieft. Inhalt Calling Conventions Allgemeine Schutzmechanismen von Betriebssystemen Ausnutzen von Schwachstellen in der Kategorie Memory Corruptions Erläuterung dynamischer Analysemethoden, um das Verhalten einer Software analysieren und bewerten zu können Umgang mit den wichtigsten Reversing-Programmen Identifikation von schadhafter Software Auffinden sicherheitskritischer Schwachstellen und deren Ausnutzung Forensiker Personen, die Schwachstellen in lokalen Applikationen suchen Nach Kundenwunsch Security Awareness Training DU bist die wichtigste Sicherheitsmaßnahme DU hast was angeklickt? Mein Unternehmen wurde gehackt! Ja, und? Unternehmen investieren viel Geld in Technik. Technik allein löst jedoch keine Probleme. Mindestens genauso wichtig ist die Investition in den Faktor Mensch. Ein sensibilisierter und geschulter Mitarbeiter weiß, wie er sich in bestimmten Situationen zu verhalten hat und ist somit die beste Sicherheitsmaßnahme. Dieses Seminar wird genau auf Ihre Unternehmensanforderungen zugeschnitten und generiert damit maximalen Nutzen für die gesamte Organisation. Die Lernziele können beliebig angepasst und erweitert werden. Mögliche Inhalte Überblick über erfolgreiche Hacker-Angriffe erhalten Auswirkungen von Hacker-Angriffen verstehen Erläutern der Vorgehensweise von Hackern der Informationssicherheit verstehen Die eigenen Unternehmensregelungen kennenlernen und verstehen Phishing Mails, Spam Mails Advanced Persistent Threats Grundlegende Sicherheitsmaßnahmen Umgang mit Externen Mobile Device Security Mitarbeiter aller Unternehmensbereiche Nach Kundenwunsch

15 Inhouse Schulungen Informationssicherheitsrisiken effektiv managen Organisationen stehen vor der Herausforderung, dass über die Jahre gewachsene Unternehmensstrukturen immer komplexer werden. Um Informationssicherheitsrisiken in dieser Komplexität zu erkennen, bedarf es eines umfassenden IS-Risikomanagements. Dieses Seminar stellt eine einfache und vielfach in der Praxis erprobte Vorgehensweise vor und erläutert die notwendigen Hintergründe. Verstehen der Vorteile eines effektiven IS-Risikomanagements Kennenlernen methodischer Grundlagen Kennenlernen der Vorgehensweise, wie eine komplexe Unternehmensstruktur in ein einfaches Risikomodell gegossen werden kann Verstehen der Vorgehensweise zur Identifizierung und Behandlung von IS-Risiken Aufbereiten von IS-Risiken, um der Führungsebene ein effektives Managen von IS-Risiken zu ermöglichen CSO, CISO, ISO, Security Manager Risk Manager Mitarbeiter mit Schwerpunkt Security Risikomanagement-Interessierte Nach Kundenwunsch Threat Modeling Bedrohungsmodellierung ist ein Prozess, der das frühzeitige Erkennen und Bewerten von Sicherheitsproblemen ermöglicht. So wird Problemen vorgebeugt und die Kosten für eine Behebung werden stark reduziert. Dieses Seminar beinhaltet eine Einführung in die Entwicklung sicherer Software und soll den Teilnehmern anhand praktischer Beispiele unterschiedliche Methoden zur Bedrohungsmodellierung vorstellen. Das Schulungsmodul wird individuell erstellt. Die Inhalte werden mit realistischen Beispielen aus der eigenen Organisation trainiert, wodurch ein zusätzlicher Lerneffekt generiert wird. Die Lernziele können beliebig angepasst und erweitert werden. Mögliche Inhalte Überblick über Application Security Management und Vorteile einer Bedrohungsmodellierung Bedrohungsmodellierung als Prozess Kennenlernen unterschiedlicher Methoden und Ansätze zur Bedrohungsmodellierung Modellierung anhand konkreter Beispiele Requirements-Engineers Architekten Qualitätsmanager Pentester Personen mit Interesse an sicherer Softwareentwicklung Nach Kundenwunsch Weitere Schulungsthemen aus dem SEC Consult Repertoire: Writing Secure Code for Android, ios etc., Externe Sicherheitsüberprüfung und Training des Entwicklerteams, Incident Management, Linux/Unix Security, Secure Software Engineering

16 Vienna Berlin Frankfurt/Main Montreal Singapore Vilnius

Deutschland & Österreich. Kursprogramm

Deutschland & Österreich. Kursprogramm Deutschland & Österreich Kursprogramm 2014 SEC consult academy portfolio Application security Management Application Security Management Kurzlehrgang CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern)-Revision,

Mehr

SEC Consult als Trainingspartner, weil

SEC Consult als Trainingspartner, weil SEC Consult als Trainingspartner, weil SEC Consult ein unabhängiger Experte für das Thema Application Security ist. SEC Consult der immer größer werdenden Nachfrage mit hochspezialisierten Schulungen in

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Webanwendungssicherheit Webanwendungssicherheit und Penetrationstests Webanwendungssicherheit-Workshop Sichere Webanwendungen in der öffentlichen Verwaltung

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Was ist bei der Entwicklung sicherer Apps zu beachten?

Was ist bei der Entwicklung sicherer Apps zu beachten? Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved Agenda Web-Anwendungen als schwächstes Glied für Angriffe aus dem Internet Bewertung gängiger Standards und Normen von Web-Anwendungen BSI-Standards 100-1, 100-2 und IT-Grundschutz BSI-Studie ISi-Web:

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de

Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de Vorstellung Markus Wutzke Senior Consultant Secaron AG Certified Secure Software Lifecycle Professional (CSSLP

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

Security Operations Center

Security Operations Center Nadine Nagel / Dr. Stefan Blum Security Operations Center Von der Konzeption bis zur Umsetzung Agenda Bedrohungslage Security Operations Center Security Intelligence Herausforderungen Empfehlungen 2 Bedrohungslage

Mehr

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org Secure SDLC für die Masse dank OpenSAMM? Dr. Bruce Sams 17.11.2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Best Practice Standardportal Bundesministerium für Inneres und Land-, forst- und wasserwirtschaftliches Rechenzentrum

Mehr

Vulnerability Management

Vulnerability Management Quelle. fotolia Vulnerability Management The early bird catches the worm Dipl.-Ing. Lukas Memelauer, BSc lukas.memelauer@calpana.com calpana business consulting gmbh Blumauerstraße 43, 4020 Linz 1 Agenda

Mehr

SECURITY INFORMATION MANAGEMENT UND IDENTITY MANAGEMENT. Novell Security Konferenz, Wien 3. April 2008

SECURITY INFORMATION MANAGEMENT UND IDENTITY MANAGEMENT. Novell Security Konferenz, Wien 3. April 2008 SECURITY INFORMATION MANAGEMENT UND IDENTITY MANAGEMENT Marc Heuse Novell Security Konferenz, Wien 3. April 2008 AGENDA Security Information was ist das? wie bindet man es ein? Identity & Access Management

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland ivan.buetler@csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60

Mehr

Neun Jahre ISO-27001-Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell

Neun Jahre ISO-27001-Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell Neun Jahre ISO-27001-Zertifizierung Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell UNTERNEHMENSSTRATEGIE IT-Dienstleistungszentrum im Bund Das IT-Dienstleistungszentrum der Bundesverwaltung für Vision

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Mobile Device Security Risiken und Schutzmaßnahmen

Mobile Device Security Risiken und Schutzmaßnahmen Mobile Device Security Risiken und Schutzmaßnahmen 17. 19. Februar 2014, Hamburg 26. 28. Mai 2014, Köln 27. 29. August 2014, Berlin 5. 7. November 2014, Stuttgart Mobile Device Security Risiken und Schutzmaßnahmen

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland ivan.buetler@csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an die Auftragnehmer

Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an die Auftragnehmer Leitfaden zur Entwicklung sicherer Webanwendungen Empfehlungen und Anforderungen an die Auftragnehmer SEC Consult Deutschland Unternehmensberatung GmbH Bockenheimer Landstraße 17/19 60325 Frankfurt/Main

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Phasen. Gliederung. Rational Unified Process

Phasen. Gliederung. Rational Unified Process Rational Unified Process Version 4.0 Version 4.1 Version 5.1 Version 5.5 Version 2000 Version 2001 1996 1997 1998 1999 2000 2001 Rational Approach Objectory Process OMT Booch SQA Test Process Requirements

Mehr

Gliederung. Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung

Gliederung. Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung Peter Forbrig RUP 1 Gliederung Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung Peter Forbrig RUP 2 Rational Unified

Mehr

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011 No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen Hamburg, 27.09.2011 Ausgangssituation Webanwendungen sind aus unserem heutigen Leben nicht mehr

Mehr

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT 1 E-SEC ONLINE RISK ANALYSIS & MANAGEMENT Überprüfung der Personellen Informationssicherheit Ihres Unternehmens aussagekräftig, schnell und effektiv Änderungen vorbehalten, Stand: Jänner 2007 E-SEC INFORMATION

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES 2 59 markets and 36 languages 76 markets and 48 languages 200+ CLOUD SERVICES Informations-Sicherheit Risiken kennen Informations-Sicherheit ist eine Risiko-Management Disziplin des Geschäftsbereich und

Mehr

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015 Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise Matthias Kaempfer April, 20 2015 Ganzheitlicher SAP Sicherheitsansatz Detect attacks Secure infrastructure Security processes and awareness

Mehr

Überwachung der Sicherheit von IT-Services im Einsatz

Überwachung der Sicherheit von IT-Services im Einsatz Überwachung der Sicherheit von IT-Services im Einsatz Franz Lantenhammer Oberstleutnant Dipl.-Ing., CISSP Leiter CERTBw IT-Zentrum der Bundeswehr franzlantenhammer@bundeswehr.org franz.lantenhammer@certbw.de

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

PS Consulting. Zertifizierung. Zertifizierung zum Project Management Professional (PMP. Dann sind Sie bei uns richtig!

PS Consulting. Zertifizierung. Zertifizierung zum Project Management Professional (PMP. Dann sind Sie bei uns richtig! zum Project Management Professional (PMP ) Sie möchten eine professionell anerkannte Bestätigung Ihrer Qualifikation als Projektleiter? Sie wollen, dass die Projektleiter in Ihrem Unternehmen über ein

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Kompromittierte IT? Wieder in Compliance überführen! Configuration Control. Uwe Maurer Senior Practice Leader Secure Operations 20.03.

Kompromittierte IT? Wieder in Compliance überführen! Configuration Control. Uwe Maurer Senior Practice Leader Secure Operations 20.03. Configuration Control Uwe Maurer Senior Practice Leader Secure Operations 20.03.2013 Kompromittierte IT? Wieder in Compliance überführen! www.integralis.com Agenda Vorstellung Ablauf eines komplexen Angriffs

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Externer Datenschutzbeauftragter (DSB)

Externer Datenschutzbeauftragter (DSB) Externer Datenschutzbeauftragter (DSB) Darum braucht Ihr Unternehmen einen Datenschutzbeauftragten So finden Sie die richtige Lösung für Ihren Betrieb Bewährtes Know-how und Flexibilität gezielt einbinden

Mehr

Sicherheits- & Management Aspekte im mobilen Umfeld

Sicherheits- & Management Aspekte im mobilen Umfeld Sicherheits- & Management Aspekte im mobilen Umfeld Einfach war gestern 1 2012 IBM Corporation Zielgerichtete Angriffe erschüttern Unternehmen und Behörden 2 Source: IBM X-Force 2011 Trend and Risk Report

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Lehrgang Information Security Management

Lehrgang Information Security Management Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Brainloop Secure Boardroom

Brainloop Secure Boardroom Brainloop Secure Boardroom Efficient and Secure Collaboration for Executives Jörg Ganz, Enterprise Sales Manager, Brainloop Switzerland AG www.brainloop.com 1 Is your company at risk of information leakage?

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie

Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie Gerald Heller Agenda Standortbestimmung ALM Typischer industrieller Setup und Probleme Vorstellung von QualityCenter als ALM tool

Mehr

CERT NRW Jahresbericht 2012

CERT NRW Jahresbericht 2012 Seite: 1 von 19 CERT NRW Jahresbericht 2012 Seite: 2 von 19 Inhalt CERT NRW... 1 Jahresbericht 2012... 1 Einleitung... 3 Aufgaben des CERT NRW... 3 Tätigkeitsbericht... 4 Schwachstellen in Webangeboten

Mehr

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004 Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

Seminar: ITIL Service Capability Stream Modul Release, Control & Validation Prince II Foundation

Seminar: ITIL Service Capability Stream Modul Release, Control & Validation Prince II Foundation Seminar: ITIL Service Capability Stream Modul Release, Control & Validation Prince II Foundation Block I - ITIL Service Capability Stream Modul Release, Control & Validation Ziele des Seminars: Sie lernen

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Quality is our Passion!

Quality is our Passion! Quality is our Passion! Quality is our Passion! Quality is our Passion! 2 Knowledge Department ist ein Dienstleistungsunternehmen im Software-Entwicklungs-Bereich. Das Serviceangebot umfasst Trainings,

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

SCAP im Security Process

SCAP im Security Process SCAP im Security Process Security Transparent Lukas Grunwald 2015-05-06 Version 2014062101 Die Greenbone Networks GmbH Fokus: Vulnerability Management Erkennen von und schützen vor Schwachstellen Fortlaufende

Mehr

Sven Kuschke. Personalprofil. Consultant AUSBILDUNG

Sven Kuschke. Personalprofil. Consultant AUSBILDUNG Personalprofil Sven Kuschke Consultant E-Mail: sven.kuschke@arcondis.com AUSBILDUNG BERUFLICHE WEITERBILDUNG SPRACHEN 2011 Bachelor of Science in Wirtschaftsinformatik (Duale Hochschule Baden-Württemberg

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

AdWords Professional Kurs. by netpulse AG

AdWords Professional Kurs. by netpulse AG AdWords Professional Kurs by netpulse AG Inhaltsverzeichnis Einleitung... 3 Kursaufbau... 3 Google zertifizierter AdWords-Spezialist... 3 Modul 1 Wie AdWords wirklich funktioniert... 4 Modul 2 Die bessere

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

>EasyMain Die Nutzung von Methoden, Prozessen und Standards im Rahmen eines Application Lifecycle Managements

>EasyMain Die Nutzung von Methoden, Prozessen und Standards im Rahmen eines Application Lifecycle Managements >EasyMain Die Nutzung von Methoden, Prozessen und Standards im Rahmen eines Application Lifecycle Managements 6. Januar 2014 >Agenda Motivation EasyMain Methoden, Standards und Prozesse bei EasyMain Folie

Mehr

Architecture Blueprints

Architecture Blueprints Architecture Blueprints Daniel Liebhart, Peter Welkenbach, Perry Pakull, Mischa Kölliker, Michael Könings, Markus Heinisch, Guido Schmutz Ein Leitfaden zur Konstruktion von Softwaresystemen mit Java Spring,.NET,

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Cybersecurity Aktuelle Bedrohungslage und wie sich ein weltweit agierender Konzern effektiv schützt.

Cybersecurity Aktuelle Bedrohungslage und wie sich ein weltweit agierender Konzern effektiv schützt. Cybersecurity Aktuelle Bedrohungslage und wie sich ein weltweit agierender Konzern effektiv schützt. Thomas Tschersich Quelle Grafik: www.zdnet.de Viele große Unternehmen wurden in jüngster Vergangenheit

Mehr

"So schützen Sie sich" Sicherheit in der Informationstechnologie

So schützen Sie sich Sicherheit in der Informationstechnologie 1 "So schützen Sie sich" Sicherheit in der Informationstechnologie Stuttgart, 30. Januar 2002 Christian Emmerich Tel: +49 172 713 8886 EMail: christian.emmerich@de.ibm.com 2 Agenda Business Consulting

Mehr

Software Engineering mit Übungen. Franz-Josef Elmer, Universität Basel, HS 2015

Software Engineering mit Übungen. Franz-Josef Elmer, Universität Basel, HS 2015 Software Engineering mit Übungen Franz-Josef Elmer, Universität Basel, HS 2015 Software Engineering 2 Organisation Ort: Seminarraum 05.002, Spiegelgasse 5 Ablauf: 15:15 Vorlesung Prüfung: Schriftlich,

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr