Audits & Assessments. IT Security-Risiken erkennen, analysieren und bewerten.
|
|
- Christin Richter
- vor 8 Jahren
- Abrufe
Transkript
1 & IT Security-Risiken erkennen, analysieren und bewerten
2 AUDITS Infrastructure > > Externe Überprüfung der Perimeter-Umgebung Audit: External Infrastructure Penetration Test Seite 4 > > Interne Überprüfung ausgewählter Netzwerkkomponenten Audit: Internal Infrastructure Penetration Test Seite 5 > > Analyse von Firewalls und Servern Audit: Inspect Seite 6 > > Penetrationstest zur Simulation komplexer Angriffe Audit: Infiltrate Seite 7 > > Überprüfung von Funknetzwerken Audit: Wireless LAN Audit Seite 8 > > Überprüfung von Voice-over-IP -Umgebungen Audit: VoIP Security Seite 9 Application > > Prüfung von Windows oder Linux basierten nativen Anwendungen im Blackbox Ansatz Audit: Zero Day Application Exploiting Seite 10 > > Überprüfung von Webanwendungen und Webservices Audit: Web Audit Advanced Seite 11 > > Überprüfung von Apps für Smartphones und Tablets Audit: Mobile App Audit Seite 12 > > Analyse von Terminalservern Audit: Citrix Audit Seite 13 Endpoint > > Überprüfung von Smartphones und Tablets Audit: Mobile Device Audit Seite 14 > > Analyse von Notebook / Desktop Systemen Audit: Client Analysis Seite 15 Forensic, Awareness and PCI 2 > > Untersuchung von Sicherheitsvorfällen Audit: Forensics Seite 16 > > Prüfung des Sicherheitsbewusstseins innerhalb des Unternehmens Audit: Social Engineering Seite 17 > > Sensibilisierung von Führungskräften, Mitarbeitern und Kunden Audit: Security Awareness / Live-Hacking Seite 18 > > Quartalsweise externe Vulnerability Scans gemäß PCI DSS Audit: Quarterly PCI ASV Security Scans Seite 19 > > Vor-Ort-Prüfung bei der PCI DSS Compliance Assessment: Payment Card Industry (PCI) Qualified Security Assessor (QSA) Seite 20 > > Selektive Prüfungen von speziellen Umgebungen Audit: Rent A Pentester Seite 21
3 AUDITS & ASSESSMENTS ASSESSMENTS Infrastructure > > Next Generation Proxy Next Generation Proxy Assessment Seite 22 > > Ist Ihr Unternehmen infiziert? Assessment: Cyber-Defense Seite 23 > > Grundsicherung des IT-Betriebs Assessment: Backup and Disaster Recovery Seite 24 > > Perimeter-Sicherheit überprüfen Assessment: Firewall Seite 25 > > Sicheres mobiles Arbeiten Assessment: Remote Access & SSL-VPN Seite 26 Data & Application > > Lastverteilung und Ressourcennutzung optimieren Assessment: Application Delivery Controller (ADC) und Load Balancer Seite 27 > > Leistungsfähigkeit von Netzwerken und Anwendungen prüfen Assessment: Network & Application Performance Seite 28 > > Schwachstellen in SAP-Umgebungen ermitteln Assessment: SAP Security Seite 29 > > Datenabflüsse erkennen und vermeiden Assessment: Data Leakage Seite 30 > > Zugriffsrechte transparent darstellen Assessment: Managing permissions for unstructured data Seite 31 Identity > > PKI und Prozessbewertung Assessment: Public Key Infrastructure (PKI) Seite 32 > > Ein Identity Management System ist nie fertig Assessment: Identity Management Seite 34 > > Überblick über eingesetzte Zertifikate erlangen Assessment: Certificate Seite 36 PCI- > > Unterstützung bei der Selbstbeurteilung der PCI DSS Compliance Assessment: Payment Card Industry (PCI Self) Seite 37 > > Compliance-konformes Risikomanagement (BaFin, FINMA, FMA) Assessment: Finance and Insurance Compliance (BaFin, FINMA, FMA) Seite 38 3
4 Externe Überprüfung der Perimeter-Umgebung Audit: External Infrastructure Penetration Test Der External Infrastructure Penetration Test untersucht folgende Kategorien von Schwachstellen: > > Information Gathering > > Backdoors und Fehlkonfigurationen > > HTTP- und CGI-Missbrauch > > TCP Sequenznummernvorhersage > > Identifizierung von Trojanern > > Firewall-, Filter- und Proxy- Schwachstellen > > File Transfer Protocol-Missbrauch > > Stärke der Authentisierungsmechanismen > > Protocol Spoofing-Angriffe > > DNS- und Bind-Angriffe > > Portscanning-Angriffe > > Remote File Access-Angriffe > > Remote Procedure Call-Angriffe > > SMTP- und Mail-Transferschwachstellen > > SNMP / Netzwerkmanagement Schwachstellen > > Ermittlung von unnötigen und überflüssigen Diensten > > SMB / NetBIOS-Angriffe > > Windows Service Pack und Hotfix Überprüfungen Der Service External Infrastructure Penetration Test beinhaltet eine externe Überprüfung der öffentlichen Systeme über das Internet. Damit ist dieser Service der ideale Einstieg, um die Effektivität der durchgeführten Schutzmaßnahmen einer Firewall / VPN-Umgebung unabhängig zu verifizieren. Wir empfehlen, alle öffentlichen Systeme (Web-, Mail-, FTP-, DNS-Server, Firewall, Router, usw.) mit diesem Service zu überprüfen. Neben möglichen Fehlkonfigurationen von Systemen erkennen Sie bei dieser Prüfung auch Schwachstellen in Betriebssystemen und Anwendungen, durch die ein Angreifer u.u. nicht autorisierten Zugriff auf das interne Netzwerk und kritische Systeme erhält. Wir ermitteln den aktuellen Sicherheitszustand und erstellen einen detaillierten Bericht mit den gefundenen Schwachstellen und den notwendigen Maßnahmen zur Fehlerbehebung. Den External Infrastructure Penetration Test führen wir in Form eines manuellen Penetrationstests mit eigenen Scripts und Exploits durch. Unterstützend setzen wir im Rahmen dieser Prüfung marktführende kommerzielle und Open Source Security Assessment Tools ein. Die Überprüfung erfolgt über das Internet. Denial-of-Service (DoS) Angriffe, bei denen ein Dienst bzw. das gesamte System zum Absturz gebracht werden kann, führen wir nur nach expliziter Einwilligung durch. Die Anzahl der zu prüfenden IP-Adressen wird auf die jeweilige Umgebung nach Bedarf angepasst. Dieser Service umfasst im Basispaket eine Überprüfung von insgesamt bis zu 8 IP-Adressen. Nach Vereinbarung erhält die von Ihnen bestimmte Kontaktperson den Bericht persönlich in elektronischer oder gebundener Form. 4
5 AUDITS & ASSESSMENTS Interne Überprüfung ausgewählter Netzwerkkomponenten Audit: Internal Infrastructure Penetration Test Der Internal Infrastructure Penetration Test untersucht folgende Kategorien von Schwachstellen: > > Information Gathering > > Backdoors und Fehlkonfigurationen > > HTTP- und CGI-Missbrauch > > TCP Sequenznummernvorhersage > > Identifizierung von Trojanern > > Firewall-, Filter- und Proxy- Schwachstellen > > File Transfer Protocol-Missbrauch > > Stärke der Authentisierungsmechanismen > > Protocol Spoofing-Angriffe > > DNS- und Bind-Angriffe > > Portscanning-Angriffe > > Remote File Access-Angriffe > > Remote Procedure Call-Angriffe > > SMTP- und Mail-Transferschwachstellen > > SNMP / Netzwerkmanagement Schwachstellen > > Ermittlung von unnötigen und überflüssigen Diensten > > SMB / NetBIOS-Angriffe > > Windows Service Pack und Hotfix Überprüfungen Der Service Internal Infrastructure Penetration Test beinhaltet eine interne Überprüfung von ausgewählten Netzwerkkomponenten. Durch diesen Service kann die Effektivität der lokalen Schutzmaßnahmen unabhängig verifiziert werden. Im Gegensatz zu einem externen Penetrationstest untersuchen wir bei diesem Service ausgewählte Systeme innerhalb des lokalen Netzes oder in einer Schutzzone. Wir empfehlen, alle sensitiven internen Systeme wie Datenbank- Server, Intranet-Server, Mail-Server oder interne Applikationsserver im Rahmen dieser Untersuchung überprüfen zu lassen. Neben möglichen Fehlkonfigurationen von Systemen erkennen wir bei dieser Überprüfung auch Schwachstellen in Betriebssystemen und Anwendungen, durch die ein Angreifer unter Umständen nicht autorisierten Zugriff auf lokale Systeme oder das gesamte Netzwerk erhält. Wir ermitteln für Sie den aktuellen Sicherheitszustand und erstellen Ihnen einen detaillierten Bericht mit den gefundenen Schwach stellen und den notwendigen Maß nahmen zur Fehlerbehebung. Nach Vereinbarung erhält die von Ihnen bestimmte Kontaktperson den Bericht persönlich in elektronischer oder gebundener Form. Die Prüfverfahren sind analog zum Service External Infrastructure Penetration Test. Allerdings findet die Prüfung bei diesem Service in Form eines internen Penetrationstests innerhalb der DMZ bzw. im lokalen Netz statt. Denial-of-Service (DoS) Angriffe, bei denen ein Dienst bzw. das gesamte System zum Absturz gebracht werden kann, führen wir nur nach expliziter Einwilligung durch. Die Anzahl der zu prüfenden IP-Adressen wird auf die jeweilige Umgebung nach Bedarf angepasst. Der Service Internal Infrastructure Penetration Test umfasst im Basispaket eine Überprüfung von insgesamt bis zu 12 IP-Adressen. 5
6 Analyse von Firewalls und Servern Audit: Inspect Im Einzelnen führen wir für Sie bei diesem Service folgende Untersuchungen durch: Der Service Inspect beinhaltet eine detaillierte, manuelle Vor-Ort Überprüfung einer Firewall-Umgebung bzw. ausgewählter Server. Durch diesen Service können wir zusätzliche Schwachstellen aufdecken, die nicht unmittelbar aus dem Netzwerk sichtbar sind. Der Service Inspect ist eine ideale Ergänzung zu den Überprüfungen über das Netzwerk. Damit können auch verborgene sicherheitsrelevante Fehlkonfigurationen erkannt werden. Falls beispielsweise der externe Zugriff auf einen kritischen Server ohne ausreichende Authentisierung für einen einzelnen Client (IP- Adresse) zugelassen ist, kann dies im Rahmen eines Infrastruktur Penetrationstests nicht erkannt werden. Im Rahmen der Durchsicht des Firewall-Regelsatzes wird dieser potenzielle Zugriff dagegen erkannt. Die Betriebssystem-Härtungsüberprüfung wird auch einzeln für ausgewählte Server angeboten. Es wird ein detaillierter Bericht erstellt, der alle empfohlenen Konfigurationseinstellungen und eine Beschreibung der notwendigen Maßnahmen zur Fehlerbehebung enthält. Die Aushändigung des Berichtes erfolgt nach Vereinbarung persönlich an die vom Kunden bestimmte Kontaktperson in elektronischer oder gebundener Form. Im Basispaket umfasst dieser Service eine Überprüfung von fünf Systemen inklusive Firewall. > > Firewall-Konfigurationsanalyse und Firewall-Regelsatzanalyse, Patches, etc. (derzeit für Check Point FireWall-1; CISCO ASA, Juniper, weitere auf Anfrage) > > Firewall-Topologiebewertung > > Betriebssystem Härtungsüberprüfung (derzeit für Windows, Linux, Cisco IOS, weitere auf Anfrage) Weiterhin können wir durch eine detaillierte Konfigurationsprüfung von ausgewählten Servern Schwachstellen aufdecken, die nur für angemeldete Nutzer auf dem Server ausnutzbar sind, z.b. Privilege Escalation oder lokale Zugriffe auf sensitive Daten. 6
7 AUDITS & ASSESSMENTS Penetrationstest zur Simulation komplexer Angriffe Audit: Infiltrate Simulation interner Angreifer Dabei verbindet sich der NTT Com Security Mitarbeiter mit dem Firmennetz und versucht durch Analyse des Datenverkehrs und explizitem Ausnutzen von Schwachstellen Zugriff auf sensitive Daten zu erhalten oder Systeme komplett zu übernehmen. Social Engineering Der Service Infiltrate initiiert komplexe Angriffe möglichst realistisch. Neben der Überprüfung über das Internet betrachten wir dabei auch Hintertüren, wie Remote- Zugänge, Social Engineering sowie interne Angriffe. Bei der Absicherung des internen Netzwerkes konzentrieren sich viele Unternehmen meist auf den Internetzugang, der mittels einer mehrstufigen Firewall- Umgebung geschützt wird. Ein Einbruch in das Unternehmensnetzwerk über versteckte Modemzugänge oder illegale Zugriffe durch interne Angreifer steht oftmals nicht im direkten Fokus. Dies gilt auch für Szenarien, in denen unbefugte Dritte sich in das Unternehmen einschleichen, z.b. als Reinigungskraft oder Wartungspersonal und dort versuchen, Zugriff auf vertrauliche Daten zu bekommen. Oder in denen Mitarbeiter, persönlich oder via Telefon, zur Preisgabe von sensitiven Daten verleitet werden. Im Rahmen des Services Infiltrate, der in verschiedenen Stufen angeboten wird, betrachten wir genau diese Hintertüren. Die Angriffe werden innerhalb eines zuvor festgelegten Zeitraums unangekündigt ausgeführt und simulieren einen realen Hackerangriff. Alle gefundenen Schwachstellen versuchen wir auszunutzen, um Zugriff auf Systeme zu erlangen und Informationen zu bekommen. Dabei kann insbesondere auf Wunsch des Kunden ein vorher festgelegtes Ziel (Änderung einer Webseite, Erlangen einer Passwortdatei, Erweiterung von Rechten, Zutritt zu sensitiven Bereichen) anvisiert werden. Durch eine geschickte Vorgehensweise können vertrauliche Informationen direkt von Mitarbeitern erlangt werden, mit denen dann nachfolgend ein Zugang zum Netzwerk bzw. zu sensitiven Systemen möglich ist. Im Normalfall findet diese Informationsgewinnung über das Telefon statt. Physikalische Sicherheit Durch die Überprüfung der Zugänge zu Firmengebäuden und DV-Verteilern kann der physikalische Schutz ermittelt werden. Hierbei simuliert der NTT Com Security Mitarbeiter das Eindringen durch Unbefugte in sensitive Bereiche und bewertet den möglichen Schaden. Wardialling Zusätzlich versuchen wir über Modem und ISDN-Zugänge in das Firmennetzwerk einzudringen. Dabei werden ausgewählte Telefonnummernbereiche innerhalb der Firma auf angeschlossene Modem- / ISDN-Adapter untersucht und anschließend hinsichtlich der Stärke der Authentisierung überprüft. 7
8 Überprüfung von Funknetzwerken Audit: Wireless LAN Audit Innerhalb des NTT Com Security Service WLAN-Audit können folgende Tests durchgeführt werden: > > Insertion-Attacken > > Abfangen und unautorisiertes Monitoring des WLAN-Datenverkehrs > > Attacken auf die Verschlüsselung > > Brute Force-Angriffe auf Passwörter > > Störversuche > > Client-zu-Client-Attacken > > Reichweite des Funknetzwerkes prüfen Mit dem Service Wireless-LAN Audit können die Schwachstellen in einer produktiven a/b/g/n Wireless-LAN-Umgebung aufgespürt werden. Das Hauptproblem bei der Absicherung eines Wireless-LAN (WLAN) ist die Datenverbreitung über ein Medium, welches nicht unter der physikalischen Kontrolle des LAN-Betreibers liegt. Ein potenzieller Angreifer kann passiv und unbemerkt Daten aus einem WLAN mitlesen. Der Angreifer kann eine Funk netzwerkkarte in Verbindung mit einem Protokollanalysewerkzeug einsetzen und so die Nutzdaten aus den übertragenen Paketen herausfiltern. Diese Möglichkeit existiert zwar auch bei verkabelten Netzen, aber mit wesentlich höherem Aufwand. Die Sicherheitsüberprüfung einer WLAN- Umgebung umfasst einen Black-Box Penetrationstest der WLAN- Komponenten. Dies beinhaltet eine Prüfung der Access-Points (AP) sowie der Clients. Der Penetrationstest kann mit oder ohne Denial-of-Service-Angriffe durchgeführt werden. Um jedoch ein maximales Spektrum möglicher Verwundbarkeiten abzudecken, sollte die Durchführung des Tests mit DoS-Attacken erfolgen. Für einige dieser Tests ist u.u. ein Zugang zum internen (Funk-) Netzwerk erforderlich. Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. Im Basispaket umfasst dieser Service eine Überprüfung einer exemplarischen WLAN-Konfiguration (bestehend aus einem Access- Point / Client). Weitere zusätzliche WLAN-Konfigurationen können bei Bedarf hinzugenommen werden. 8
9 AUDITS & ASSESSMENTS Überprüfung von Voice-over-IP -Umgebungen Audit: VoIP Security Mit dem Service VoIP Security Audit können vorhandene Schwachstellen in Voice-over-IP und Videoconferencing Umgebungen identifiziert werden. Durch den Einsatz von Voice-over-IP (VoIP) innerhalb eines Unternehmens ergeben sich Bedrohungsszenarien auf verschiedenen Ebenen. Zunächst sind die klassischen Angriffsmöglichkeiten auf die Netzwerkkomponenten und Anwendungen auch hier gegeben. Durch Software- und Konfigurationsfehler der beteiligten Komponenten kann es zu Kompromittierungen und Ausfällen kommen. Darüber hinaus sind weitere VoIPspezifische Angriffe zu betrachten, die direkten Einfluss auf die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität haben. Die Verfügbarkeit des Dienstes ist im Unternehmensumfeld von großer Bedeutung. Durch eine Vielzahl von Denial-of-Service Angriffen, die in verschiedenen Varianten und für alle VoIP-Komponenten möglich sind, kann die Verfügbarkeit erheblich gefährdet werden. Ähnlich sieht es auch in Bezug auf die Vertraulichkeit aus. Die Kommunikation zwischen den VoIP-Komponenten ist in der Standardkonfiguration meist nicht ausreichend gesichert. Dies gilt einerseits für die Kontrollverbindungen (z.b.: SIP, H323, SCCP), mit denen der angerufene Teilnehmer lokalisiert und die Session zwischen den beiden Teilnehmern ausgehandelt wird. Andererseits werden auch die Gesprächsdaten selbst oft unverschlüsselt übertragen. Abhängig von der vorliegenden Umgebung sind zahlreiche weitere Bedrohungsszenarien, wie die Umleitung von Gesprächen (Verlust der Vertraulichkeit und Integrität), die Fälschung der Identität des Anrufers (Verlust der Authentizität und Integrität) oder Gebührenbetrug möglich. Im Rahmen des VoIP Security werden die grundlegenden Angriffspunkte aufgegriffen und geprüft. Der Service wird im LAN bzw. in der VoIP- Umgebung des Kunden durchgeführt und beinhaltet eine Überprüfung der VoIP-Infrastruktur, bestehend aus Telefonen, PBX und Gateways, sowie deren Kommunikationsbeziehungen. Innerhalb des NTT Com Security Service VoIP Security Audit können folgende Tests durchgeführt werden: > > Penetrationstest der VoIP- Komponenten zur Identifizierung bekannter Schwachstellen > > Identifizierung von nicht benötigten Diensten > > Topologiebewertung der VoIP- Umgebung und Identifizierung von Optimierungspotenzial > > Sicherheitsanalyse VoIP-spezifischer Konfigurationsparameter > > Analyse des Call Routings und Durchführung von Testanrufen zur Prüfung von Möglichkeiten des Gebührenbetrugs und Privilege Escalation > > Prüfung der Abhörmöglichkeiten von Telefonaten durch eine Trafficanalyse > > Prüfung der Manipulationsmöglichkeit der Telefone durch eine physische Analyse der Geräte Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 9
10 Prüfung von Windows oder Linux basierten nativen Anwendungen im Blackbox Ansatz Audit: Zero Day Application Exploiting Der Service Zero Day Application Exploiting beinhaltet eine pragmatische Prüfung von Client-Server oder Standalone-Anwendungen aus dem Windows- und Linux-Umfeld hinsichtlich möglicher Schwachstellen in der Programmierung. Wenn Unternehmen spezielle Anforderungen haben, die sich mit nativen Standardanwendungen nicht realisieren lassen, kommen Fremd- oder Eigenentwicklungen zum Einsatz. Bei der Entwicklung dieser Applikationen stehen funktionale Aspekte im Vordergrund und Sicherheitserwägungen werden häufig nicht in den Entwicklungsprozess eingebunden. Eine Gefährdung für das Unternehmen kann jedoch nur ausgeschlossen werden, wenn wir auch solche Anwendungen in die allgemeine Sicherheitsbetrachtung einbeziehen. Während der Designphase erreichen wir dies durch Quellcodeanalysen und Secure Coding Prozesse. Im Nachhinein ist dies meist nicht möglich. Hier setzt der Service Zero Day Application Exploiting an. Das Ziel der Überprüfung besteht darin, bisher unbekannte Schwachstellen innerhalb einer Applikation zu ermitteln, die eine Kompromittierung der Applikation bzw. des Systems oder der Daten ermöglichen oder zumindest erleichtern. Hierbei greift das Audit Team der NTT Com Security auf zwei Verfahren aus dem Bereich der Schwachstellenanalyse zurück, um Sicherheitslücken auch nach Fertigstellung der Software zu entdecken, bevor diese ausgenutzt werden. Beim Fuzzing-Verfahren wird mit Hilfe von geeigneter Software eine Vielzahl von zufälligen Eingaben an das System übergeben. Falls die auditierte Applikation dabei abstürzt, ist dies ein Hinweis auf eine mögliche Schwachstelle. Die bei dem Absturz verwendeten Daten helfen dem Auditor, auf effiziente Weise erste Sicherheitslücken zu identifizieren. Die Übergabe der Daten kann über das Netzwerk (Client-Server-Struktur) oder lokal über das Dateisystem erfolgen. Beim Reverse Engineering wird die ausführbare Datei analysiert, in dem der Maschinencode mit Softwareunterstützung untersucht wird. Der Vorteil liegt darin, dass auch Sicherheitsprobleme in schwer erreichbaren Programmbestandteilen erkannt werden können. Folgende Kategorien von Schwachstellen innerhalb einer Applikation können mit dem Service Zero Day Application Exploiting identifiziert werden: > > Ausführung von Schadcode durch fehlende Prüfung der Eingabeparameter, wie z.b. Buffer Overflow oder Command Injection > > Probleme bei der Authentifizierung und Authentisierung, wie das Umgehen von Login-Mechanismen oder Berechtigungskonzepten > > Unsichere Konfigurationen, die einen weiteren Angriff erleichtern > > Denial-of-Service-Angriffe, bei dem die Nutzung des Systems unterbunden werden kann > > Falsch gesetzte Berechtigungen oder andere sicherheitsrelevante Konfigurationsfehler Je nach Ausnutzbarkeit können optional für die Schwachstellen Proof-of- Concept Exploits erstellt werden. Der resultierende Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 10
11 AUDITS & ASSESSMENTS Überprüfung von Webanwendungen und Webservices Audit: Web Audit Advanced Unter anderem werden folgende wichtige Kategorien der Applikationssicherheit geprüft: >Injection-Schwachstellen, > wie SQL-, OS- oder LDAP-Injection > > Fehler in der Authentifizierung und im Session Management > > Cross-Site Scripting (Stored, Reflected und DOM-based XSS) > > Cross-Site Request Forgery (CSRF) > > Mangelhafte Prüfung von Berechtigungen > > Zugriff auf sensible Daten > > Clickjacking und UI-Redressing > > Verwendung bekanntermaßen unsicherer Komponenten und fehlerhafter Konfigurationen. Der Service Webaudit Advanced beinhaltet eine umfassende Prüfung von Webanwendungen und Webservices. Das Web hat sich als Plattform für Anwendungen und Dienstleistungen durchgesetzt. Es bietet den Vorteil standardisierter Technologien und Protokolle und ein Browser ist als Client heutzutage auf jedem PC und Smartphone bereits installiert. Neue Technologien wie HTML5 bieten eine große und stetig wachsende Funktionsvielfalt, die neue Anwendungsgebiete für Webanwendungen erschließen und viele Cloud-Anwendungen erst möglich machen. Die vielen Möglichkeiten und die hohe Komplexität heutiger Webanwendungen erhöhen jedoch auch die Angriffsfläche auf die Logik und Daten der Anwendung. Das Ziel des Service Webaudit Advanced besteht darin, Schwachstellen in der untersuchten Webanwendung auf Applikationsebene zu identifizieren. Hierzu wird die Anwendung einer manuellen Analyse unterzogen, die durch automatisierte Tools unterstützt wird. Dabei orientieren wir uns in der Vorgehensweise an anerkannten Standards wie den OWASP Top 10 Application Security Risks und erweitern diese um Prüfungen auf aktuelle oder applikationsspezifische Bedrohungen. Im Rahmen eines Webaudit Advanced können auch Web Services betrachtet werden. Es wird ein detaillierter Bericht erstellt, der alle gefundenen Schwachstellen, sowie Maßnahmen zu deren Behebung enthält. Dieser Bericht kann von Entwicklern und dem IT-Betrieb als Leitfaden für die Behebung der Schwachstellen genutzt werden. 11
12 Überprüfung von Apps für Smartphones und Tablets Audit: Mobile App Audit Typische Schwachstellen, auf die bei diesem Service geprüft wird, sind: > > Unverschlüsselte oder unauthentifizierte Kommunikation mit dem Backend. > > Offenlegung von sicherheitskritischen Applikationskomponenten über APIs wie Intents oder URL-Handler. > > Information Leakage durch Drittkomponenten, die z.b. für Werbeeinblendungen verwendet werden. > > Speicherung sensibler Daten in unsicheren Bereichen, wie z.b. SD-Karten oder außerhalb des Key Chains. > > Unsichere Nutzung von Web- Views durch Offenlegung von internen App-APIs an nicht vertrauenswürdige Webseiten. > > Fehlende Berechtigungsprüfung im Backend. > > Klassische Schwachstellen wie SQL Injection und Buffer Overflows. Mit dem Service Mobile App Audit können vorhandene Schwachstellen und Risiken von Apps für Mobile Devices identifiziert werden. Die Einsatzgebiete von Apps für mobile Geräte wie Smartphones und Tablets sind vielfältig. Viele Unternehmen entwickeln und veröffentlichen Apps, um ihren Kunden Zugang zu Informationen und Diensten von mobilen Geräten aus anzubieten. Auf der anderen Seite werden Apps auch aus den gleichen Gründen in Unternehmen eingesetzt. Wie native Anwendungen auf dem PC oder Webanwendungen, können Apps ebenfalls Schwachstellen enthalten, die sich jedoch aufgrund der Besonderheiten der jeweiligen Plattformen deutlich von den klassischen Bedrohungen unterscheiden. Angreifer können solche Schwachstellen in mobilen Apps nutzen, um Zugang zu Daten auf mobilen Geräten zu erhalten oder diese als Sprungbrett für Angriffe auf die IT-Infrastruktur des Unternehmens zu verwenden. Dabei werden die Apps in unserem Labor sowohl manuell als auch durch Tools unterstützt auf Schwachstellen hin untersucht. Hierzu wird unter anderem die Kommunikation mit dem Backend, die Datenspeicherung auf dem mobilen Gerät sowie die Interaktionsmöglichkeit mit anderen Apps geprüft. Da Apps und Backend-Komponenten oft eine Einheit bilden, erfolgt auch eine Untersuchung der Backend-Services auf Applikationsebene. Es wird ein detaillierter Bericht erstellt, der alle gefundenen Schwachstellen sowie Maßnahmen zu deren Behebung enthält. Dieser Bericht kann von Entwicklern und dem IT-Betrieb als Leitfaden für die Behebung der Schwachstellen genutzt werden. Das Ziel des Mobile App Audit besteht darin, Schwachstellen der untersuchten Apps auf Applikationsebene zu identifizieren. 12
13 AUDITS & ASSESSMENTS Analyse von Terminalservern Audit: Citrix Audit Innerhalb des NTT Com Security Service Citrix-Audit können folgende Tests durchgeführt werden: > > Nutzung von nicht freigegebenen Applikationen oder Funktionen für einen typischen Nutzer > > Ausbruch aus der vorgegebenen Umgebung > > Zugriff auf vertrauliche Daten > > Privilege Escalation > > Kompromittierung des Systems > > Prüfung des möglichen Zugriffes auf benachbarte Systeme in der DMZ bzw. im internen Netz > > Prüfung, ob Proof-of-Concept Schadcode auf das System heruntergeladen werden kann Der Service Citrix Audit beinhaltet die Prüfung einer typischen Terminalserver-Umgebung. Durch diesen Service können Schwachstellen in der Absicherung dieser zentralen Komponenten aufgedeckt werden. Für die Bereitstellung von zentralen Applikationen wird oft eine Terminalserver-Umgebung eingesetzt, über die externe Mitarbeiter und mobile Nutzer Zugriff auf ausgewählte Anwendungen und Ressourcen erhalten. Die Applikationen werden dabei entweder dediziert für einen browserbasierten Zugriff freigeschaltet oder die Benutzer bekommen einen direkten Zugang auf den Desktop. Die Gefahren, die sich aus diesen Szenarien ergeben, werden dabei häufig unterschätzt. NTT Com Security prüft, inwieweit ein typischer Nutzer einer Terminalserver Umgebung nicht freigegebene Applikationen oder Funktionalitäten nutzen kann (z.b. Internet-Zugriff, Aufruf von Systembefehlen) oder die Möglichkeit hat, das System zu kompromittieren. Sofern ein Ausbruch aus der vorgegebenen Umgebung möglich ist, wird der Zugriff auf benachbarte Systeme in der DMZ oder im internen Netz geprüft. Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 13
14 Überprüfung von Smartphones und Tablets Audit: Mobile Device Audit Mit dem Service Mobile Device Audit können vorhandene Schwachstellen auf mobilen Geräten identifiziert werden. Es ist heutzutage für moderne Unternehmen undenkbar, ohne sie auszukommen. Die Zeiten, in denen Blackberry Smartphones das Maß aller Dinge waren und zudem den mobilen Alltag sicherheitstechnisch überschaubar und kontrollierbar machten, sind längst vorbei. Heute findet man iphones, ipads, Android, Windows Phone und andere Geräte überall in Unternehmen. Der Wechsel auf diese moderneren und offeneren Plattformen birgt jedoch auch Risiken. Nicht nur die Geräte haben sich geändert, sondern auch deren Benutzung im geschäftlichen und privaten Alltag. Wurden früher noch geschäftliche von privaten Daten strikt getrennt, findet heute eher eine Vermischung statt. Zudem werden immer mehr kritische und vor allem sensible Daten auf den Plattformen gespeichert und verarbeitet. Oft ist unklar, welche Daten tatsächlich auf den Geräten gespeichert werden und wie bzw. ob diese vor unbefugtem Zugriff geschützt sind. Dem Sicherheitsverantwortlichen des Unternehmens ist dies in vielen Fällen bewusst. Doch was tun, wenn der berühmte Prophet im eigenen Land nicht zählt und alle s des Managements und vertrauliche Dokumente ungeschützt Dritten zugänglich sind? NTT Com Security bietet für diese Fälle den Service Mobile Device Audit an. Wir prüfen Ihre mobilen Geräte auf Einhaltung der üblichen Sicherheitsstandards und legen dabei offen, welche Risiken für Ihr Unternehmen bestehen. Innerhalb des NTT Com Security Service Mobile Device Audit können folgende Geräte geprüft werden: > > Apple ios (iphone / ipad) > > Android > > Windows Mobile > > Windows Phone > > BlackBerry OS Es werden im Rahmen dieses Services folgende Sicherheitsaspekte betrachtet: > > Sicherheitsrelevante Einstellungen des Mobile-OS > > Anbindung der Endgeräte an das Unternehmensnetz > > Unautorisierter Zugriff auf das Gerät > > Extrahierung von gespeicherten Daten > > Bewertung der Absicherung der Datenspeicherung > > Prüfung Ihrer speziellen Anforderungen > > Einhaltung von unternehmensspezifischen Richtlinien Der resultierende Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 14
15 AUDITS & ASSESSMENTS Analyse von Notebook / Desktop Systemen Audit: Client Analysis Folgende Aspekte werden bei der Option Konfigurationsprüfung betrachtet: > > Grundkonfiguration des Betriebssystems > > Sicherheit des Browsers > > Manipulation von Hardware > > Manipulation von Daten oder Software > > Diebstahl des Gerätes > > Ungeordneter Benutzerwechsel > > Mobile-Security Mit dem Service Client Analysis kann die Sicherheit von Clients im Unternehmen geprüft werden. Dieser Service kann auch dazu genutzt werden, ein neues Notebook bzw. Desktop-Image vor dem Rollout intensiv auf Schwachstellen zu untersuchen. Die Prüfung eines Windows-Arbeitsplatzes dient dem Zweck, einen sicherheitstechnisch störungsfreien Betrieb zu gewährleisten und den Arbeitsplatz vor heutzutage üblichen Gefahren abzusichern. Folgende grundsätzliche Gefährdungen bzw. deren gegenüberstehende Schutzmaßnahmen werden betrachtet: > > Angriffe aus dem Netzwerk > > Manipulation durch den Benutzer > > Eindringen von Malware innerhalb von erlaubten Verbindungen (Surfen, ) Dieser Service ist zweistufig und umfasst zunächst die Konfigurationsprüfung der sicherheitsrelevanten Systemeinstellungen und Schutzmaßnahmen. Darüber hinaus kann mit der Option Einschleusen von Schadcode geprüft werden, inwieweit es aktuell möglich ist über das Unternehmensnetz Schadcode auf ein Gerät herunterzuladen und auszuführen. Die Vorgehensweise bei der Option Einschleusen von Schadcode ist wie folgt: > > Analyse des Notebooks im NTT Com Security Labor > > Einschleusen von Schadcode (Proof-of-Concept) über das Unternehmensnetz auf das Notebook, sofern möglich > > Auswertung und Dokumentation Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. Im Basispaket umfasst dieser Service die Überprüfung eines exemplarischen Notebookoder Desktop-Images. Dieser Service wird auch in Form eines Stolen-Notebook Checks ohne Login Information angeboten. 15
16 Untersuchung von Sicherheitsvorfällen Audit: Forensics In der heutigen Zeit gibt es viele rechtswidrige, unbefugte oder unzulässige Handlungen, die mit Hilfe von Computersystemen ermöglicht oder erleichtert werden. Durch den Service Forensics erhalten Sie eine umfassende Analyse von Systemen, die in einen Sicherheitsvorfall involviert waren, um die Ursache zu klären und ggf. Beweise, Indizien und Spuren zu sichern. Bei einer forensischen Analyse werden die Fragen des Wer, Was, Wo, Wann, Womit und Wie behandelt. Ziel ist es, herauszufinden, welche Schwachstellen bzw. welche Methoden ausgenutzt wurden, um die unbefugten Aktivitäten durchzuführen, welcher Schaden entstanden ist und falls möglich, wer der Angreifer ist. NTT Com Security betrachtet dabei verschiedene Ausprägungen. Bei der Netzwerk-Forensik versuchen wir in der Regel den Ursprung einer Kompromittierung durch die Analyse von Log-Dateien zu ermitteln. Bei der Computer-Forensik ist es besonders wichtig, soviel Informationen wie möglich auf den involvierten Systemen zu identifizieren, zu extrahieren und zu erfassen, ohne die Originaldaten, die sich auf dem System befinden, zu verändern oder zu manipulieren. Daher erfolgt hier zunächst eine forensisch einwandfreie Beweissicherung der Daten. Im Einzelnen werden bei der Netzwerk-Forensik die Zielsysteme und ggf. vorgelagerte Komponenten untersucht, um zu ermitteln: > > Welche Schwachstellen ausgenutzt wurden > > Ob Trojaner installiert wurden > > Wo der Ursprung der Kompromittierung ist > > Ob Daten bzw. andere Systeme kompromittiert wurden > > Welche Techniken der Angreifer verwendet hat Bei der Computer-Forensik erfolgt eine manuelle Untersuchung der beteiligten Systeme, um > > Daten forensisch einwandfrei zu sichern. > > Diese nach Beweisen und Spuren zu untersuchen > > Daten wiederherzustellen, um nach Indizien zu suchen > > Ihr eigenes Vorgehen einwandfrei und lückenlos zu dokumentieren > > Schwachstellen bzw. den Ursprung einer Kompromittierung zu identifizieren > > Sicherheitsvorfälle so weit als möglich zu rekonstruieren > > Die Erkenntnisse in verwertbaren und verständlichen Berichten zusammenzufassen 16
17 AUDITS & ASSESSMENTS Prüfung des Sicherheitsbewusstseins innerhalb des Unternehmens Audit: Social Engineering Mit dem Service Social Engineering werden Einfallstore ins Unternehmen betrachtet die über die klassischen Angriffspunkte auf die IT-Infrastruktur hinausgehen Oft führt der einfachste Weg eines Angreifers ins Unternehmen über Mitarbeiter, die unbewusst Informationen preisgeben. Durch geschickt präparierte Phishing Mails kann ein Angreifer Mitarbeiter zur Preisgabe von Login-Daten und anderen sensitiven Informationen verleiten. Außerdem kann über diesen Weg Malware eingeschleust werden. Neben solchen klassischen Phishing Szenarien kann oft auch eine gezielte Ansprache von Mitarbeitern über das Telefon für einen Angreifer zum Erfolg führen. Die erforderlichen Informationen für einen solchen gezielten Angriff holt sich der Angreifer über soziale Netzwerke und andere öffentliche Quellen. falscher Identitäten, über unzureichend geschützte Hintereingänge oder auch durch ungesicherte öffentliche bzw. halböffentliche Zonen geschehen. Unabhängig davon welche dieser Social Engineering Varianten ein Angreifer wählt, können die Konsequenzen für das Unternehmen gravierend sein. Im Rahmen dieses Services wird pragmatisch aufgezeigt, inwieweit in diesen Bereichen Optimierungspotential besteht. Alle durchgeführten Tätigkeiten und Resultate werden statistisch ausgewertet und detailliert dokumentiert. Dabei wird darauf geachtet, dass keine Rückschlüsse auf einzelne Mitarbeiter gezogen werden können. Es wird ein Bericht erstellt, der ggf. organisatorische, technische und konzeptionelle Vorschläge zur Verbesserung des Sicherheitsniveaus enthält. Der Bericht enthält darüber hinaus eine Zusammenfassung der Ergebnisse in Form einer Management-Summary. Folgende Szenarien stehen zur Auswahl: > > Verdächtige s / Phishing > > Weitergabe von sensiblen Daten über Telefon > > Stillschweigen über Betriebsgeheimnisse > > Transportable Medien / Software Urheberrechte > > Zugriff auf Mitarbeiter-PC s und Mitnahme sensibler Daten > > Zugriff für unbefugte Dritte auf vertrauliche Daten von Mitarbeitern > > Preisgabe von sensiblen Daten über soziale Netzwerke > > Zutrittsschutz zum Gebäude > > Erstellung von sensitiven Fotos > > Schutz von Unternehmenseigentum Durch einen Security Audit mit Social Engineering Szenarien lässt sich das aktuelle Sicherheitsbewusstsein der Mitarbeiter Ihres Unternehmens ermitteln. Darüber hinaus ist es trotz vermeintlich ausreichender Schutzmaßnahmen in vielen Fällen möglich, dass sich externe Personen unbemerkt physischen Zutritt zu sensitiven Bereichen eines Unternehmens verschaffen. Beispielsweise kann dies durch das Vortäuschen 17
18 Sensibilisierung von Führungskräften, Mitarbeitern und Kunden Audit: Security Awareness / Live-Hacking Im Rahmen von 30- bis 90-minütigen Security Awareness Workshops bzw. Live Hacking Vorführungen wird gezeigt, wie leicht ein Angreifer auf vertrauliche Daten oder sensible Systeme zugreifen kann. Diese Proof-of-Concept Angriffe werden dabei in der Regel in einer von NTT Com Security gestellten Umgebung durchgeführt. Ein Zugriff auf Ihr LAN bzw. ein Internetzugang ist in diesem Fall nicht erforderlich. Dabei können bestehende Regelungen des Unternehmens, wie zum Beispiel der Umgang mit Passwörtern oder Wechselmedien, eingearbeitet werden. Nachfolgend werden die gemeinsam vereinbarten Inhalte der Zielgruppe im Rahmen des Workshops präsentiert. Selbstverständlich können die dargestellten Themengebiete auch in Form einer Live Hacking Präsentation im Rahmen von Kunden- oder Firmenveranstaltungen durchgeführt werden. Themenauswahl: Angriffe auf Webanwendungen > > Angriffsszenarien bei Webshops > > Cross Site Scripting > > SQL Injection > > Manipulation von Parametern > > Angriffe auf den Client > > Schutzmaßnahmen für Webanwendungen NFC-Security Die Inhalte der Security Awareness / Live Hacking Workshops können Sie nach Ihren Anforderungen auf Basis der vorhandenen Bausteine zusammenstellen. Weitere Themen sind ggf. auf Anfrage möglich. > > Auslesen von Zahlungskarten > > Umgehung von Zutrittskontrollsystemen > > Phishing Mobile Security Alternativ zu diesen Bausteinen bieten wir Workshops an, bei denen wir die Inhalte dediziert auf die individuellen Anforderungen des Kunden abstimmen. > > Aktuelle Angriffsszenarien bei Smartphones > > Zugriff auf Android und ios Geräte Zunächst erarbeiten wir dazu mit Ihnen ein Konzept für den Workshop, welches auf die Zielgruppe und deren IT-Kenntnisse abgestimmt wird. > > Auslesen von persönlichen Daten z.b. SMS, , Kontakte, Social Media Voice-over-IP Security > > Abhören von Gesprächen > > Angriffe auf VoIP-Komponenten > > Denial-of-Service Schwachstellen auf Endgeräten > > Pufferüberläufe > > Code Execution > > Privilege Escalation 18
19 AUDITS & ASSESSMENTS Quartalsweise externe Vulnerability Scans gemäß PCI DSS Audit: Quarterly PCI ASV Security Scans Das PCI (Payment Card Industry) DSS-Programm wurde von den führenden Kreditkartenorganisationen, darunter MasterCard und VISA, ins Leben gerufen, um die Sicherheit von Kreditkartendaten zu gewährleisten. Alle Händler und Service Provider, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, unterliegen diesem Standard. MasterCard verlangt die Erfüllung des Standards zusätzlich auch für alle Karten, die ein Maestro-Logo tragen, z.b. EC-Karten oder Prepaid-Karten. Das Programm definiert die Sicherheitsmechanismen, die eingesetzt und aufrechterhalten werden müssen, um die Kreditkartendaten bei einem Händler oder Service Provider zu schützen. Händler und Service Provider werden von ihrem Acquirer in verschiedene Kategorien (Level) eingestuft, die von der jeweiligen Kreditkartenorgani sation, auf Basis der Anzahl der jährlichen Transaktionen und unter Berücksichtigung von Sicherheitsvorfällen, definiert werden. Händler der Level 1, 2 und 3 sowie alle Service Provider müssen quartalsweise einen externen Vulnerability Scan durchführen lassen, durch den alle über das Internet erreichbaren Systeme hinsichtlich möglicher Schwachstellen untersucht werden. Für Händler des Level 4 wird die Durchführung der Vulnerability Scans empfohlen. NTT Com Security wurde der formelle ASV-Status (Approved Scanning Vendor) durch das PCI Security Standards Council verliehen und ist damit berechtigt, entsprechende Vulnerability Scans für ihre Kunden durchzuführen. Neben den Sicherheitslücken, die auf veralteten und unsicheren Diensten beruhen, werden auch Schwachstellen identifiziert, die auf Fehlkonfigurationen von Betriebssystemen und Anwendungen basieren und zu unbefugtem Zugang zu Komponenten in Schutzzonen oder im internen Netzwerk führen können. Im Zuge des ASV-Sicherheitsscans von NTT Com Security gewinnen Sie einen Einblick in den PCI-Compliance-Status Ihrer Organisation. Nach Abschluss des Scans erhalten Sie einen detaillierten PCI-konformen Bericht mit Empfehlungen zur Beseitigung möglicher gefundener Schwachstellen. Der resultierende Bericht enthält: > > Identifizierung von PCIrelevanten Komponenten > > Detaillierte Analyse der im untersuchten Netzwerkbereich bestehenden Sicherheitsrisiken > > Schwachstellen in Betriebssystemen > > Empfehlungen zur Schwachstellenbeseitigung > > Priorisierung der Gegenmaßnahmen > > Referenzen zu den gefundenen Schwachstellen > > Compliance-Status der Infrastruktur Gemäß den Anforderungen für ASV Scans wird, neben dem detaillierten Bericht, auch ein High- Level Bericht mit einer Zusammenfassung des Compliance Status generiert. Die Berichte werden nachfolgend gesichert an die vom Kunden definierten Ansprechpartner übermittelt. 19
20 Vor-Ort-Prüfung bei der PCI DSS Compliance Audit: Payment Card Industry (PCI) Qualified Security Auditor (QSA) Das PCI (Payment Card Industry) DSS-Programm wurde von den führenden Kreditkartenorganisationen, darunter MasterCard und VISA, ins Leben gerufen, um die Sicherheit von Kreditkartendaten zu gewährleisten. Alle Händler und Service Provider, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, unterliegen diesem Standard. MasterCard verlangt die Erfüllung des Standards zusätzlich auch für alle Karten, die ein Maestro- Logo tragen, z.b. EC-Karten oder Prepaid-Karten. Das Programm definiert die Sicherheitsmechanismen, die eingesetzt und aufrechterhalten werden müssen, um die Kreditkartendaten bei einem Händler oder Service Provider zu schützen. Händler und Service Provider werden von ihrem Acquirer in verschiedene Kategorien (Level) eingestuft, die von der jeweiligen Kreditkartenorganisation, auf Basis der Anzahl der jährlichen Transaktionen und unter Berücksichtigung von Sicherheitsvorfällen, definiert werden. Abhängig von dieser Einstufung ist entweder eine Selbstbeurteilung oder ein Audit von einem PCI QSA (Qualified Security Auditor) erforderlich. In beiden Fällen müssen die resultierenden Dokumente von einem Mitglied der Geschäftsleitung unterzeichnet werden. Für größere Händler (Level 1) sowie für die meisten Service Provider ist ein QSA Audit verpflichtend. Bei Nichterfüllung der Compliance drohen dem entsprechenden Acquirer Vertragsstrafen, die dieser dann an seine Händler und Service Provider weitergeben kann. Die NTT Com Security bietet folgende QSA Audit Services an: NTT Com Security wurde der formelle QSA-Status (Qualified Security Auditor) durch das PCI Security Standards Council verliehen und darf entsprechende für ihre Kunden durchführen. Zahlreiche unserer Kunden in den USA und Europa wurden bereits bei der Erfüllung ihrer PCI-Anforderungen durch NTT Com Security Berater unterstützt. Die Dienstleistung umfasst die Identifikation der zu prüfenden Umgebung (Scoping), die Ermittlung der noch fehlenden Schutzmaßnahmen und Dokumente (Gap-Analyse) sowie die Durchführung einer abschließenden formalen Auditierung, die beim Kunden vor Ort stattfindet. Darüber hinaus ist eine Unterstützung bei der Entwicklung von Kompensationskontrollen für Anforderungen möglich, die nicht unmittelbar erfüllt werden können. Nach der Durchführung eines QSA- erhalten Sie einen ausführlichen Bericht, der den Compliance- Status der geprüften Umgebung anhand der PCI DSS-Vorgaben dokumentiert. Die Ergebnisse werden, gemäß den spezifischen Anforderungen der zuständigen Kreditkartenorganisation, an die vorgeschriebene Stelle übermittelt. Herausforderung Für größere Händler (Level 1) ebenso für die meisten Service Provider ist ein QSA Assessment verpflichtend. Bei Nichterfüllung der Compliance drohen dem entsprechenden Acquirer Vertragsstrafen. Audit NTT Com Security wurde der formelle QSA-Status (Qualified Security Assessor) durch das PCI Security Standards Council verliehen und darf entsprechende für Kunden durchführen. Schritte > > Aufbauen und Aufrechterhalten eines sicheren Netzwerks > > Schutz der Daten von Karteninhabern > > Aufbauen und Aufrechterhalten eines wirksamen Programms zum Schwachstellenmanagement > > Implementierung starker Zugriffskontrollmaßnahmen > > Regelmäßige Überwachung und regelmäßige Auditierung von Netzwerken > > Aufrechterhalten von Richtlinien, die sich mit den Anforderungen an die Informationssicherheit und Best Practices für die Geschäftstätigkeit befassen 20
SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.
SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrSoftware zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)
Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN) Definition Was ist Talk2M? Talk2M ist eine kostenlose Software welche eine Verbindung zu Ihren Anlagen
MehrSecurity Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung
Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!
MehrDaten Monitoring und VPN Fernwartung
Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrFormular»Fragenkatalog BIM-Server«
Formular»Fragenkatalog BIM-Server«Um Ihnen so schnell wie möglich zu helfen, benötigen wir Ihre Mithilfe. Nur Sie vor Ort kennen Ihr Problem, und Ihre Installationsumgebung. Bitte füllen Sie dieses Dokument
MehrIT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg
IT- Wir machen das! Leistungskatalog M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg Tel.: 02972 9725-0 Fax: 02972 9725-92 Email: info@m3b.de www.m3b.de www.systemhaus-sauerland.de Inhaltsverzeichnis
MehrVerwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten
Tivoli Endpoint Manager für mobile Geräte Die wichtigste Aufgabe für Administratoren ist es, IT-Ressourcen und -Dienstleistungen bereitzustellen, wann und wo sie benötigt werden. Die Frage ist, wie geht
MehrAvira Server Security Produktupdates. Best Practice
Avira Server Security Produktupdates Best Practice Inhaltsverzeichnis 1. Was ist Avira Server Security?... 3 2. Wo kann Avira Server Security sonst gefunden werden?... 3 3. Was ist der Unterschied zwischen
MehrKombinierte Attacke auf Mobile Geräte
Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware
MehrSicherheitstechnische Qualifizierung (SQ), Version 9.0
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrIAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014
IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. MANUELLER DOWNLOAD 1 2. ALLGEMEIN 1 3. EINSTELLUNGEN 1 4. BITDEFENDER VERSION 10 2 5. GDATA INTERNET SECURITY 2007 4 6. ZONE ALARM
MehrVerwendung des Terminalservers der MUG
Verwendung des Terminalservers der MUG Inhalt Allgemeines... 1 Installation des ICA-Client... 1 An- und Abmeldung... 4 Datentransfer vom/zum Terminalserver... 5 Allgemeines Die Medizinische Universität
MehrDatensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrVersion smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):
Supportanfrage ESN Bitte füllen Sie zu jeder Supportanfrage diese Vorlage aus. Sie helfen uns damit, Ihre Anfrage kompetent und schnell beantworten zu können. Verwenden Sie für jedes einzelne Thema jeweils
MehrCollax PPTP-VPN. Howto
Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.
MehrE-Mail Adressen der BA Leipzig
E-Mail Adressen der BA Jeder Student der BA bekommt mit Beginn des Studiums eine E-Mail Adresse zugeteilt. Diese wird zur internen Kommunikation im Kurs, von der Akademie und deren Dozenten zur Verteilung
MehrKonfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung
Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung Inhalt 1. Einleitung:... 2 2. Igel ThinClient Linux OS und Zugriff aus dem LAN... 3
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrMan liest sich: POP3/IMAP
Man liest sich: POP3/IMAP Gliederung 1. Einführung 1.1 Allgemeiner Nachrichtenfluss beim Versenden von E-Mails 1.2 Client und Server 1.2.1 Client 1.2.2 Server 2. POP3 2.1 Definition 2.2 Geschichte und
MehrVirtual Desktop Infrasstructure - VDI
Virtual Desktop Infrasstructure - VDI Jörg Kastning Universität Bielefeld Hochschulrechenzentrum 5. August 2015 1/ 17 Inhaltsverzeichnis Was versteht man unter VDI? Welchen Nutzen bringt VDI? Wie funktioniert
MehrÖffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:
Schritt 1: Verbinden Sie Ihr wireless-fähiges Gerät (Notebook, Smartphone, ipad u. ä.) mit dem Wireless-Netzwerk WiFree_1. Die meisten Geräte zeigen Wireless-Netzwerke, die in Reichweite sind, automatisch
MehrAnleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren
Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrAnforderungen und Umsetzung einer BYOD Strategie
Welcome to Anforderungen und Umsetzung einer BYOD Strategie Christoph Barreith, Senior Security Engineer, Infinigate Copyright Infinigate 1 Agenda Herausforderungen Umsetzungsszenarien Beispiel BYOD anhand
MehrSystemvoraussetzungen
Systemvoraussetzungen Gültig ab Stotax Update 2016.1 Stand 03 / 2015 1 Allgemeines... 2 2 Stotax Online Variante (ASP)... 2 3 Stotax Offline Variante (Inhouse)... 3 3.1 Einzelplatz... 3 3.1.1 Hardware...
MehrSicherheitsaspekte beim Mobile Computing
Sicherheitsaspekte beim Mobile Computing Horst Flätgen Bundesamt für Sicherheit in der Informationstechnik (BSI) Bonn, 9. Mai 2012 www.bsi.bund.de Aufbrechen der Sicherheitsstruktur durch mobile Endgeräte
MehrLizenzierung von System Center 2012
Lizenzierung von System Center 2012 Mit den Microsoft System Center-Produkten lassen sich Endgeräte wie Server, Clients und mobile Geräte mit unterschiedlichen Betriebssystemen verwalten. Verwalten im
MehrAnbindung des Apple Mobile-Gerätes an Ihr WLAN
Anleitung zur Anbindung eines Apple Smartphone oder Tablet an das bestehende WLAN Ihres D-Link WLAN-Routers Apple iphone, ipad und ipod Touch Diese Anleitung geht davon aus, dass Sie das WLAN des D-Link
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
MehrSoftwaretechnische Anforderungen zu Opale bluepearl Version 1.0 vom 23.05.2013
Sehr geehrte Kundin, Sehr geehrter Kunden. Sie werden demnächst die neue Version Opale bluepearl einsetzen. Damit Sie bestmöglich von der 3ten Generation der Opale-Lösungen profitieren können, ist es an
MehrSystemvoraussetzungen
Systemvoraussetzungen Gültig ab Stotax Update 2015.1 Stand 09 / 2014 1 Allgemeines... 2 2 Stotax Online Variante (ASP)... 2 3 Stotax Offline Variante (Inhouse)... 3 3.1 Einzelplatz... 3 3.1.1 Hardware...
MehrEinsatz mobiler Endgeräte
Einsatz mobiler Endgeräte Sicherheitsarchitektur bei Lecos GmbH Alle Rechte bei Lecos GmbH Einsatz mobiler Endgeräte, Roy Barthel, 23.03.2012 Scope Angriffe auf das mobile Endgerät Positionssensoren (Kompass,
MehrI N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte
I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen
MehrICS-Addin. Benutzerhandbuch. Version: 1.0
ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrDatensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.
MehrPenetrationstest Digitale Forensik Schulungen Live-Hacking
M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches
MehrVirtual Private Network
Virtual Private Network Allgemeines zu VPN-Verbindungen WLAN und VPN-TUNNEL Der VPN-Tunnel ist ein Programm, das eine sichere Verbindung zur Universität herstellt. Dabei übernimmt der eigene Rechner eine
MehrIT-Security Herausforderung für KMU s
unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...
MehrHandbuch. timecard Connector 1.0.0. Version: 1.0.0. REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen
Handbuch timecard Connector 1.0.0 Version: 1.0.0 REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen Furtwangen, den 18.11.2011 Inhaltsverzeichnis Seite 1 Einführung... 3 2 Systemvoraussetzungen...
MehrIT-Security Awareness. Schulungen. info@brainsecurity.de www.brainsecurity.de Stand: September 2014. Seite 1 von 11
IT-Security Awareness Schulungen Seite 1 von 11 Schulungen Langatmige PowerPoint-Vorträge gibt s woanders! Unsere Awareness-Schulungen und -Workshops werden frei nach Ihren Wünschen angepasst und beinhalten
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrSystemvoraussetzungen
Systemvoraussetzungen Gültig ab Stotax Update 2014.2 Stand 05 / 2014 1 Allgemeines... 2 2 Stotax Online Variante (ASP)... 2 3 Stotax Offline Variante (Inhouse)... 3 3.1 Einzelplatz... 3 3.1.1 Hardware...
MehrAufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS
Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS Oktober 2015 Tipp der Woche vom 28. Oktober 2015 Aufruf der Weboberfläche des HPM-Wärmepumpenmanagers aus dem Internet Der Panasonic
Mehrstatuscheck im Unternehmen
Studentische Beratungsgesellschaft für Sicherheitsangelegenheiten an der HWR Berlin statuscheck im Unternehmen Mit unserem statuscheck analysieren wir für Sie Schwachstellen, Risiken sowie Kosten und Nutzen
MehrHerzlich willkommen. Die Zukunft von Client und Mobile Device Management. Tobias Frank, baramundi software AG
Herzlich willkommen Tobias Frank, baramundi software AG Die Zukunft von Client und Mobile Device Management Die Evolution des Clients Betriebssystem-Historie Langjährige Partnerschaft und Erfahrung Alle
MehrDynamische Verschlüsselung in Wireless LANs
WLAN Security Dynamische Verschlüsselung in Wireless LANs Maximale Sicherheit, minimaler Aufwand. Situation Wireless LAN für alle Die Vorteile von drahtlosen PC-Verbindungen zum Unternehmensnetzwerk sind
Mehr2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:
2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway
MehrLOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung
Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung VERSION 8.0 FEBRUAR 2013 Logics Software GmbH Schwanthalerstr. 9 80336 München Tel.: +49 (89) 55 24 04-0 Fax +49 (89) 55
MehrSecure Mail der Sparkasse Holstein - Kundenleitfaden -
Secure Mail der Sparkasse - Kundenleitfaden - Nutzung des Webmail Interface Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste
MehrIT-Security Portfolio
IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training
MehrSpotlight 5 Gründe für die Sicherung auf NAS-Geräten
Spotlight 5 Gründe für die Sicherung auf NAS-Geräten NovaStor Inhaltsverzeichnis Skalierbar. Von klein bis komplex.... 3 Kein jonglieren mehr mit Wechselmedien... 3 Zentralisiertes Backup... 4 Datensicherheit,
MehrUpdate und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten
Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert
Mehr:: Anleitung Hosting Server 1cloud.ch ::
:: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung Hosting Server
MehrHTBVIEWER INBETRIEBNAHME
HTBVIEWER INBETRIEBNAHME Vorbereitungen und Systemvoraussetzungen... 1 Systemvoraussetzungen... 1 Betriebssystem... 1 Vorbereitungen... 1 Installation und Inbetriebnahme... 1 Installation... 1 Assistenten
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrAnleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH
Amt für Informatik Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH Anleitung vom 12. September 2009 Version: 1.0 Ersteller: Ressort Sicherheit Zielgruppe: Benutzer von SSLVPN.TG.CH Kurzbeschreib:
MehrEin mobiler Electronic Program Guide
Whitepaper Telekommunikation Ein mobiler Electronic Program Guide Ein iphone Prototyp auf Basis von Web-Technologien 2011 SYRACOM AG 1 Einleitung Apps Anwendungen für mobile Geräte sind derzeit in aller
MehrSecure Mail der Sparkasse Holstein - Kundenleitfaden -
Secure Mail der Sparkasse - Kundenleitfaden - Webmail Interface - Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie
MehrWindows 8 Lizenzierung in Szenarien
Windows 8 Lizenzierung in Szenarien Windows Desktop-Betriebssysteme kommen in unterschiedlichen Szenarien im Unternehmen zum Einsatz. Die Mitarbeiter arbeiten an Unternehmensgeräten oder bringen eigene
MehrISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:
ISA Server 2004 ISA Server 2004 Einrichtung eines 3-Abschnitt-Umkreisnetzwerk... Seite 1 von 14 ISA Server 2004 ISA Server 2004 Einrichtung eines 3-Abschnitt-Umkreisnetzwerk - Von Marc Grote --------------------------------------------------------------------------------
MehrDer schnelle Weg zu Ihrer eigenen App
Der schnelle Weg zu Ihrer eigenen App Meine 123App Mobile Erreichbarkeit liegt voll im Trend. Heute hat fast jeder Zweite in der Schweiz ein Smartphone und damit jeder Zweite Ihrer potentiellen Kunden.
Mehr(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch)
T-Sinus 154 DSL/DSL Basic (SE)/Komfort Portweiterleitung (Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch) Wenn Sie auf Ihrem PC
MehrRoot-Server für anspruchsvolle Lösungen
Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig
MehrSystemvoraussetzungen
Systemvoraussetzungen Gültig ab Stotax Update 2013.1 1 Allgemeines... 2 2 Stotax Online Variante (ASP)... 2 3 Stotax Offline Variante (Inhouse)... 3 3.1 Einzelplatz... 3 3.1.1 Hardware... 3 3.1.2 Software...
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
MehrBewusster Umgang mit Smartphones
Bewusster Umgang mit Smartphones Komponenten Hardware OS-Prozessor, Baseband-Prozessor Sensoren Kamera, Mikrofon, GPS, Gyroskop, Kompass,... Netzwerk: WLAN-Adapter, NFC, Bluetooth,... Software Betriebssystem
MehrPrüfung Netzwerk. Sicherheitslücken im IT-Verbund
Prüfung Netzwerk Sicherheitslücken im IT-Verbund Prüfung Netzwerk Netzwerke Router und Switche stellen das Rückgrat jeder Kommunikation in Unternehmen dar. Diese werden bei Prüfungen oft vernachlässigt
Mehr1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet
1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet Diese Anleitung zeigt wie mit einem Draytek Vigor 2600x Router eine Convision V600 über DSL oder ISDN über Internet zugreifbar wird.
MehrProtect 7 Anti-Malware Service. Dokumentation
Dokumentation Protect 7 Anti-Malware Service 1 Der Anti-Malware Service Der Protect 7 Anti-Malware Service ist eine teilautomatisierte Dienstleistung zum Schutz von Webseiten und Webapplikationen. Der
MehrPenetration Test Zielsetzung & Methodik
Zielsetzung & Methodik : Ausgangslage Hacker und Cracker haben vielfältige Möglichkeiten, über öffentliche Netze unbefugt auf die IT-Systeme eines Unternehmens zuzugreifen Sie können vertrauliche Informationen
MehrEnterprise Mobility, Live! Pascal Kaufmann, Swisscom IT Services AG 12. Juni 2013
Enterprise Mobility, Live! Pascal Kaufmann, Swisscom IT Services AG 12. Juni 2013 Agenda Mobile Apps aus Sicht der IT Grösste Herausforderungen mobiler Applikationen aus der Sicht der IT Best Practice
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrSharePoint Demonstration
SharePoint Demonstration Was zeigt die Demonstration? Diese Demonstration soll den modernen Zugriff auf Daten und Informationen veranschaulichen und zeigen welche Vorteile sich dadurch in der Zusammenarbeit
MehrWindows 10 Sicherheit im Überblick
Security im neuen Microsoft Betriebssystem Windows 10 Sicherheit im Überblick 04.08.15 Autor / Redakteur: Thomas Joos / Peter Schmitz Windows 10 hat viele neue Sicherheitsfunktionen, wie z.b. Optimierungen
Mehrpro4controlling - Whitepaper [DEU] Whitepaper zur CfMD-Lösung pro4controlling Seite 1 von 9
Whitepaper zur CfMD-Lösung pro4controlling Seite 1 von 9 1 Allgemeine Beschreibung "Was war geplant, wo stehen Sie jetzt und wie könnte es noch werden?" Das sind die typischen Fragen, mit denen viele Unternehmer
MehrWINDOWS 8 WINDOWS SERVER 2012
WINDOWS 8 WINDOWS SERVER 2012 IT Fachforum 2012 :: 24.09.-27.09.2012 Andreas Götzfried IT Fachforum::Agenda Windows 8 Windows Server 2012 Zertifizierung WINDOWS 8 Schöne neue Welt Andreas Götzfried Windows
MehrContent Management System mit INTREXX 2002.
Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,
MehrGEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT
Seite 1/7 GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT ZENTRAL LOKALE MANAGEMENT-PLATTFORM FÜR EINE W ELTWEIT SICHERE INDUSTRIELLE KOMMUNIKATION. Seite 2/7 Auf den folgenden Seiten
MehrBring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos
Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition
MehrPRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.
PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen
MehrNutzung der VDI Umgebung
Nutzung der VDI Umgebung Inhalt 1 Inhalt des Dokuments... 2 2 Verbinden mit der VDI Umgebung... 2 3 Windows 7... 2 3.1 Info für erfahrene Benutzer... 2 3.2 Erklärungen... 2 3.2.1 Browser... 2 3.2.2 Vertrauenswürdige
MehrDatensicherung EBV für Mehrplatz Installationen
Datensicherung EBV für Mehrplatz Installationen Bitte beachten Sie EBV 3.4 bietet Ihnen die Möglichkeit eine regelmäßige Sicherung der Daten vorzunehmen. Wir möchten Sie darauf hinweisen, dass Sie für
MehrHinweise zur Verwendung von myfactory unter Windows XP mit Service Pack 2
Hinweise zur Verwendung von myfactory unter Windows XP mit Service Pack 2 Durch Verbesserungen der Sicherheitsstandards seitens Microsoft sind mit der Installation des Service Pack 2 für XP zum fehlerfreien
MehrInfrastruktur: Vertrauen herstellen, Zertifikate finden
TeleTrusT Bundesverband IT-Sicherheit e.v. Infrastruktur: Vertrauen herstellen, Zertifikate finden Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter n zu -Verbund einfacher,
Mehr5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert
PW0029/ Stand: 11/2014 Windows-Systemeinstellungen für die ELSTER-Aktualisierung und Bewerber-Online PW0029_SSL_TLS_poodle_Sicherheitsluecke.pdf Ein Fehler im Protokoll-Design von SSLv3 kann dazu genutzt
MehrAnleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren
Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren Ziel der Anleitung Sie möchten die Windows-Firewall auf Ihrem Computer aktivieren, um gegen zukünftige Angriffe besser gewappnet zu sein.
MehrSystem Center Essentials 2010
System Center Essentials 2010 Microsoft System Center Essentials 2010 (Essentials 2010) ist eine neue Verwaltungslösung aus der System Center-Produktfamilie, die speziell für mittelständische Unternehmen
Mehr