Audits & Assessments. IT Security-Risiken erkennen, analysieren und bewerten.

Größe: px
Ab Seite anzeigen:

Download "Audits & Assessments. IT Security-Risiken erkennen, analysieren und bewerten. www.nttcomsecurity.com"

Transkript

1 & IT Security-Risiken erkennen, analysieren und bewerten

2 AUDITS Infrastructure > > Externe Überprüfung der Perimeter-Umgebung Audit: External Infrastructure Penetration Test Seite 4 > > Interne Überprüfung ausgewählter Netzwerkkomponenten Audit: Internal Infrastructure Penetration Test Seite 5 > > Analyse von Firewalls und Servern Audit: Inspect Seite 6 > > Penetrationstest zur Simulation komplexer Angriffe Audit: Infiltrate Seite 7 > > Überprüfung von Funknetzwerken Audit: Wireless LAN Audit Seite 8 > > Überprüfung von Voice-over-IP -Umgebungen Audit: VoIP Security Seite 9 Application > > Prüfung von Windows oder Linux basierten nativen Anwendungen im Blackbox Ansatz Audit: Zero Day Application Exploiting Seite 10 > > Überprüfung von Webanwendungen und Webservices Audit: Web Audit Advanced Seite 11 > > Überprüfung von Apps für Smartphones und Tablets Audit: Mobile App Audit Seite 12 > > Analyse von Terminalservern Audit: Citrix Audit Seite 13 Endpoint > > Überprüfung von Smartphones und Tablets Audit: Mobile Device Audit Seite 14 > > Analyse von Notebook / Desktop Systemen Audit: Client Analysis Seite 15 Forensic, Awareness and PCI 2 > > Untersuchung von Sicherheitsvorfällen Audit: Forensics Seite 16 > > Prüfung des Sicherheitsbewusstseins innerhalb des Unternehmens Audit: Social Engineering Seite 17 > > Sensibilisierung von Führungskräften, Mitarbeitern und Kunden Audit: Security Awareness / Live-Hacking Seite 18 > > Quartalsweise externe Vulnerability Scans gemäß PCI DSS Audit: Quarterly PCI ASV Security Scans Seite 19 > > Vor-Ort-Prüfung bei der PCI DSS Compliance Assessment: Payment Card Industry (PCI) Qualified Security Assessor (QSA) Seite 20 > > Selektive Prüfungen von speziellen Umgebungen Audit: Rent A Pentester Seite 21

3 AUDITS & ASSESSMENTS ASSESSMENTS Infrastructure > > Next Generation Proxy Next Generation Proxy Assessment Seite 22 > > Ist Ihr Unternehmen infiziert? Assessment: Cyber-Defense Seite 23 > > Grundsicherung des IT-Betriebs Assessment: Backup and Disaster Recovery Seite 24 > > Perimeter-Sicherheit überprüfen Assessment: Firewall Seite 25 > > Sicheres mobiles Arbeiten Assessment: Remote Access & SSL-VPN Seite 26 Data & Application > > Lastverteilung und Ressourcennutzung optimieren Assessment: Application Delivery Controller (ADC) und Load Balancer Seite 27 > > Leistungsfähigkeit von Netzwerken und Anwendungen prüfen Assessment: Network & Application Performance Seite 28 > > Schwachstellen in SAP-Umgebungen ermitteln Assessment: SAP Security Seite 29 > > Datenabflüsse erkennen und vermeiden Assessment: Data Leakage Seite 30 > > Zugriffsrechte transparent darstellen Assessment: Managing permissions for unstructured data Seite 31 Identity > > PKI und Prozessbewertung Assessment: Public Key Infrastructure (PKI) Seite 32 > > Ein Identity Management System ist nie fertig Assessment: Identity Management Seite 34 > > Überblick über eingesetzte Zertifikate erlangen Assessment: Certificate Seite 36 PCI- > > Unterstützung bei der Selbstbeurteilung der PCI DSS Compliance Assessment: Payment Card Industry (PCI Self) Seite 37 > > Compliance-konformes Risikomanagement (BaFin, FINMA, FMA) Assessment: Finance and Insurance Compliance (BaFin, FINMA, FMA) Seite 38 3

4 Externe Überprüfung der Perimeter-Umgebung Audit: External Infrastructure Penetration Test Der External Infrastructure Penetration Test untersucht folgende Kategorien von Schwachstellen: > > Information Gathering > > Backdoors und Fehlkonfigurationen > > HTTP- und CGI-Missbrauch > > TCP Sequenznummernvorhersage > > Identifizierung von Trojanern > > Firewall-, Filter- und Proxy- Schwachstellen > > File Transfer Protocol-Missbrauch > > Stärke der Authentisierungsmechanismen > > Protocol Spoofing-Angriffe > > DNS- und Bind-Angriffe > > Portscanning-Angriffe > > Remote File Access-Angriffe > > Remote Procedure Call-Angriffe > > SMTP- und Mail-Transferschwachstellen > > SNMP / Netzwerkmanagement Schwachstellen > > Ermittlung von unnötigen und überflüssigen Diensten > > SMB / NetBIOS-Angriffe > > Windows Service Pack und Hotfix Überprüfungen Der Service External Infrastructure Penetration Test beinhaltet eine externe Überprüfung der öffentlichen Systeme über das Internet. Damit ist dieser Service der ideale Einstieg, um die Effektivität der durchgeführten Schutzmaßnahmen einer Firewall / VPN-Umgebung unabhängig zu verifizieren. Wir empfehlen, alle öffentlichen Systeme (Web-, Mail-, FTP-, DNS-Server, Firewall, Router, usw.) mit diesem Service zu überprüfen. Neben möglichen Fehlkonfigurationen von Systemen erkennen Sie bei dieser Prüfung auch Schwachstellen in Betriebssystemen und Anwendungen, durch die ein Angreifer u.u. nicht autorisierten Zugriff auf das interne Netzwerk und kritische Systeme erhält. Wir ermitteln den aktuellen Sicherheitszustand und erstellen einen detaillierten Bericht mit den gefundenen Schwachstellen und den notwendigen Maßnahmen zur Fehlerbehebung. Den External Infrastructure Penetration Test führen wir in Form eines manuellen Penetrationstests mit eigenen Scripts und Exploits durch. Unterstützend setzen wir im Rahmen dieser Prüfung marktführende kommerzielle und Open Source Security Assessment Tools ein. Die Überprüfung erfolgt über das Internet. Denial-of-Service (DoS) Angriffe, bei denen ein Dienst bzw. das gesamte System zum Absturz gebracht werden kann, führen wir nur nach expliziter Einwilligung durch. Die Anzahl der zu prüfenden IP-Adressen wird auf die jeweilige Umgebung nach Bedarf angepasst. Dieser Service umfasst im Basispaket eine Überprüfung von insgesamt bis zu 8 IP-Adressen. Nach Vereinbarung erhält die von Ihnen bestimmte Kontaktperson den Bericht persönlich in elektronischer oder gebundener Form. 4

5 AUDITS & ASSESSMENTS Interne Überprüfung ausgewählter Netzwerkkomponenten Audit: Internal Infrastructure Penetration Test Der Internal Infrastructure Penetration Test untersucht folgende Kategorien von Schwachstellen: > > Information Gathering > > Backdoors und Fehlkonfigurationen > > HTTP- und CGI-Missbrauch > > TCP Sequenznummernvorhersage > > Identifizierung von Trojanern > > Firewall-, Filter- und Proxy- Schwachstellen > > File Transfer Protocol-Missbrauch > > Stärke der Authentisierungsmechanismen > > Protocol Spoofing-Angriffe > > DNS- und Bind-Angriffe > > Portscanning-Angriffe > > Remote File Access-Angriffe > > Remote Procedure Call-Angriffe > > SMTP- und Mail-Transferschwachstellen > > SNMP / Netzwerkmanagement Schwachstellen > > Ermittlung von unnötigen und überflüssigen Diensten > > SMB / NetBIOS-Angriffe > > Windows Service Pack und Hotfix Überprüfungen Der Service Internal Infrastructure Penetration Test beinhaltet eine interne Überprüfung von ausgewählten Netzwerkkomponenten. Durch diesen Service kann die Effektivität der lokalen Schutzmaßnahmen unabhängig verifiziert werden. Im Gegensatz zu einem externen Penetrationstest untersuchen wir bei diesem Service ausgewählte Systeme innerhalb des lokalen Netzes oder in einer Schutzzone. Wir empfehlen, alle sensitiven internen Systeme wie Datenbank- Server, Intranet-Server, Mail-Server oder interne Applikationsserver im Rahmen dieser Untersuchung überprüfen zu lassen. Neben möglichen Fehlkonfigurationen von Systemen erkennen wir bei dieser Überprüfung auch Schwachstellen in Betriebssystemen und Anwendungen, durch die ein Angreifer unter Umständen nicht autorisierten Zugriff auf lokale Systeme oder das gesamte Netzwerk erhält. Wir ermitteln für Sie den aktuellen Sicherheitszustand und erstellen Ihnen einen detaillierten Bericht mit den gefundenen Schwach stellen und den notwendigen Maß nahmen zur Fehlerbehebung. Nach Vereinbarung erhält die von Ihnen bestimmte Kontaktperson den Bericht persönlich in elektronischer oder gebundener Form. Die Prüfverfahren sind analog zum Service External Infrastructure Penetration Test. Allerdings findet die Prüfung bei diesem Service in Form eines internen Penetrationstests innerhalb der DMZ bzw. im lokalen Netz statt. Denial-of-Service (DoS) Angriffe, bei denen ein Dienst bzw. das gesamte System zum Absturz gebracht werden kann, führen wir nur nach expliziter Einwilligung durch. Die Anzahl der zu prüfenden IP-Adressen wird auf die jeweilige Umgebung nach Bedarf angepasst. Der Service Internal Infrastructure Penetration Test umfasst im Basispaket eine Überprüfung von insgesamt bis zu 12 IP-Adressen. 5

6 Analyse von Firewalls und Servern Audit: Inspect Im Einzelnen führen wir für Sie bei diesem Service folgende Untersuchungen durch: Der Service Inspect beinhaltet eine detaillierte, manuelle Vor-Ort Überprüfung einer Firewall-Umgebung bzw. ausgewählter Server. Durch diesen Service können wir zusätzliche Schwachstellen aufdecken, die nicht unmittelbar aus dem Netzwerk sichtbar sind. Der Service Inspect ist eine ideale Ergänzung zu den Überprüfungen über das Netzwerk. Damit können auch verborgene sicherheitsrelevante Fehlkonfigurationen erkannt werden. Falls beispielsweise der externe Zugriff auf einen kritischen Server ohne ausreichende Authentisierung für einen einzelnen Client (IP- Adresse) zugelassen ist, kann dies im Rahmen eines Infrastruktur Penetrationstests nicht erkannt werden. Im Rahmen der Durchsicht des Firewall-Regelsatzes wird dieser potenzielle Zugriff dagegen erkannt. Die Betriebssystem-Härtungsüberprüfung wird auch einzeln für ausgewählte Server angeboten. Es wird ein detaillierter Bericht erstellt, der alle empfohlenen Konfigurationseinstellungen und eine Beschreibung der notwendigen Maßnahmen zur Fehlerbehebung enthält. Die Aushändigung des Berichtes erfolgt nach Vereinbarung persönlich an die vom Kunden bestimmte Kontaktperson in elektronischer oder gebundener Form. Im Basispaket umfasst dieser Service eine Überprüfung von fünf Systemen inklusive Firewall. > > Firewall-Konfigurationsanalyse und Firewall-Regelsatzanalyse, Patches, etc. (derzeit für Check Point FireWall-1; CISCO ASA, Juniper, weitere auf Anfrage) > > Firewall-Topologiebewertung > > Betriebssystem Härtungsüberprüfung (derzeit für Windows, Linux, Cisco IOS, weitere auf Anfrage) Weiterhin können wir durch eine detaillierte Konfigurationsprüfung von ausgewählten Servern Schwachstellen aufdecken, die nur für angemeldete Nutzer auf dem Server ausnutzbar sind, z.b. Privilege Escalation oder lokale Zugriffe auf sensitive Daten. 6

7 AUDITS & ASSESSMENTS Penetrationstest zur Simulation komplexer Angriffe Audit: Infiltrate Simulation interner Angreifer Dabei verbindet sich der NTT Com Security Mitarbeiter mit dem Firmennetz und versucht durch Analyse des Datenverkehrs und explizitem Ausnutzen von Schwachstellen Zugriff auf sensitive Daten zu erhalten oder Systeme komplett zu übernehmen. Social Engineering Der Service Infiltrate initiiert komplexe Angriffe möglichst realistisch. Neben der Überprüfung über das Internet betrachten wir dabei auch Hintertüren, wie Remote- Zugänge, Social Engineering sowie interne Angriffe. Bei der Absicherung des internen Netzwerkes konzentrieren sich viele Unternehmen meist auf den Internetzugang, der mittels einer mehrstufigen Firewall- Umgebung geschützt wird. Ein Einbruch in das Unternehmensnetzwerk über versteckte Modemzugänge oder illegale Zugriffe durch interne Angreifer steht oftmals nicht im direkten Fokus. Dies gilt auch für Szenarien, in denen unbefugte Dritte sich in das Unternehmen einschleichen, z.b. als Reinigungskraft oder Wartungspersonal und dort versuchen, Zugriff auf vertrauliche Daten zu bekommen. Oder in denen Mitarbeiter, persönlich oder via Telefon, zur Preisgabe von sensitiven Daten verleitet werden. Im Rahmen des Services Infiltrate, der in verschiedenen Stufen angeboten wird, betrachten wir genau diese Hintertüren. Die Angriffe werden innerhalb eines zuvor festgelegten Zeitraums unangekündigt ausgeführt und simulieren einen realen Hackerangriff. Alle gefundenen Schwachstellen versuchen wir auszunutzen, um Zugriff auf Systeme zu erlangen und Informationen zu bekommen. Dabei kann insbesondere auf Wunsch des Kunden ein vorher festgelegtes Ziel (Änderung einer Webseite, Erlangen einer Passwortdatei, Erweiterung von Rechten, Zutritt zu sensitiven Bereichen) anvisiert werden. Durch eine geschickte Vorgehensweise können vertrauliche Informationen direkt von Mitarbeitern erlangt werden, mit denen dann nachfolgend ein Zugang zum Netzwerk bzw. zu sensitiven Systemen möglich ist. Im Normalfall findet diese Informationsgewinnung über das Telefon statt. Physikalische Sicherheit Durch die Überprüfung der Zugänge zu Firmengebäuden und DV-Verteilern kann der physikalische Schutz ermittelt werden. Hierbei simuliert der NTT Com Security Mitarbeiter das Eindringen durch Unbefugte in sensitive Bereiche und bewertet den möglichen Schaden. Wardialling Zusätzlich versuchen wir über Modem und ISDN-Zugänge in das Firmennetzwerk einzudringen. Dabei werden ausgewählte Telefonnummernbereiche innerhalb der Firma auf angeschlossene Modem- / ISDN-Adapter untersucht und anschließend hinsichtlich der Stärke der Authentisierung überprüft. 7

8 Überprüfung von Funknetzwerken Audit: Wireless LAN Audit Innerhalb des NTT Com Security Service WLAN-Audit können folgende Tests durchgeführt werden: > > Insertion-Attacken > > Abfangen und unautorisiertes Monitoring des WLAN-Datenverkehrs > > Attacken auf die Verschlüsselung > > Brute Force-Angriffe auf Passwörter > > Störversuche > > Client-zu-Client-Attacken > > Reichweite des Funknetzwerkes prüfen Mit dem Service Wireless-LAN Audit können die Schwachstellen in einer produktiven a/b/g/n Wireless-LAN-Umgebung aufgespürt werden. Das Hauptproblem bei der Absicherung eines Wireless-LAN (WLAN) ist die Datenverbreitung über ein Medium, welches nicht unter der physikalischen Kontrolle des LAN-Betreibers liegt. Ein potenzieller Angreifer kann passiv und unbemerkt Daten aus einem WLAN mitlesen. Der Angreifer kann eine Funk netzwerkkarte in Verbindung mit einem Protokollanalysewerkzeug einsetzen und so die Nutzdaten aus den übertragenen Paketen herausfiltern. Diese Möglichkeit existiert zwar auch bei verkabelten Netzen, aber mit wesentlich höherem Aufwand. Die Sicherheitsüberprüfung einer WLAN- Umgebung umfasst einen Black-Box Penetrationstest der WLAN- Komponenten. Dies beinhaltet eine Prüfung der Access-Points (AP) sowie der Clients. Der Penetrationstest kann mit oder ohne Denial-of-Service-Angriffe durchgeführt werden. Um jedoch ein maximales Spektrum möglicher Verwundbarkeiten abzudecken, sollte die Durchführung des Tests mit DoS-Attacken erfolgen. Für einige dieser Tests ist u.u. ein Zugang zum internen (Funk-) Netzwerk erforderlich. Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. Im Basispaket umfasst dieser Service eine Überprüfung einer exemplarischen WLAN-Konfiguration (bestehend aus einem Access- Point / Client). Weitere zusätzliche WLAN-Konfigurationen können bei Bedarf hinzugenommen werden. 8

9 AUDITS & ASSESSMENTS Überprüfung von Voice-over-IP -Umgebungen Audit: VoIP Security Mit dem Service VoIP Security Audit können vorhandene Schwachstellen in Voice-over-IP und Videoconferencing Umgebungen identifiziert werden. Durch den Einsatz von Voice-over-IP (VoIP) innerhalb eines Unternehmens ergeben sich Bedrohungsszenarien auf verschiedenen Ebenen. Zunächst sind die klassischen Angriffsmöglichkeiten auf die Netzwerkkomponenten und Anwendungen auch hier gegeben. Durch Software- und Konfigurationsfehler der beteiligten Komponenten kann es zu Kompromittierungen und Ausfällen kommen. Darüber hinaus sind weitere VoIPspezifische Angriffe zu betrachten, die direkten Einfluss auf die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität haben. Die Verfügbarkeit des Dienstes ist im Unternehmensumfeld von großer Bedeutung. Durch eine Vielzahl von Denial-of-Service Angriffen, die in verschiedenen Varianten und für alle VoIP-Komponenten möglich sind, kann die Verfügbarkeit erheblich gefährdet werden. Ähnlich sieht es auch in Bezug auf die Vertraulichkeit aus. Die Kommunikation zwischen den VoIP-Komponenten ist in der Standardkonfiguration meist nicht ausreichend gesichert. Dies gilt einerseits für die Kontrollverbindungen (z.b.: SIP, H323, SCCP), mit denen der angerufene Teilnehmer lokalisiert und die Session zwischen den beiden Teilnehmern ausgehandelt wird. Andererseits werden auch die Gesprächsdaten selbst oft unverschlüsselt übertragen. Abhängig von der vorliegenden Umgebung sind zahlreiche weitere Bedrohungsszenarien, wie die Umleitung von Gesprächen (Verlust der Vertraulichkeit und Integrität), die Fälschung der Identität des Anrufers (Verlust der Authentizität und Integrität) oder Gebührenbetrug möglich. Im Rahmen des VoIP Security werden die grundlegenden Angriffspunkte aufgegriffen und geprüft. Der Service wird im LAN bzw. in der VoIP- Umgebung des Kunden durchgeführt und beinhaltet eine Überprüfung der VoIP-Infrastruktur, bestehend aus Telefonen, PBX und Gateways, sowie deren Kommunikationsbeziehungen. Innerhalb des NTT Com Security Service VoIP Security Audit können folgende Tests durchgeführt werden: > > Penetrationstest der VoIP- Komponenten zur Identifizierung bekannter Schwachstellen > > Identifizierung von nicht benötigten Diensten > > Topologiebewertung der VoIP- Umgebung und Identifizierung von Optimierungspotenzial > > Sicherheitsanalyse VoIP-spezifischer Konfigurationsparameter > > Analyse des Call Routings und Durchführung von Testanrufen zur Prüfung von Möglichkeiten des Gebührenbetrugs und Privilege Escalation > > Prüfung der Abhörmöglichkeiten von Telefonaten durch eine Trafficanalyse > > Prüfung der Manipulationsmöglichkeit der Telefone durch eine physische Analyse der Geräte Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 9

10 Prüfung von Windows oder Linux basierten nativen Anwendungen im Blackbox Ansatz Audit: Zero Day Application Exploiting Der Service Zero Day Application Exploiting beinhaltet eine pragmatische Prüfung von Client-Server oder Standalone-Anwendungen aus dem Windows- und Linux-Umfeld hinsichtlich möglicher Schwachstellen in der Programmierung. Wenn Unternehmen spezielle Anforderungen haben, die sich mit nativen Standardanwendungen nicht realisieren lassen, kommen Fremd- oder Eigenentwicklungen zum Einsatz. Bei der Entwicklung dieser Applikationen stehen funktionale Aspekte im Vordergrund und Sicherheitserwägungen werden häufig nicht in den Entwicklungsprozess eingebunden. Eine Gefährdung für das Unternehmen kann jedoch nur ausgeschlossen werden, wenn wir auch solche Anwendungen in die allgemeine Sicherheitsbetrachtung einbeziehen. Während der Designphase erreichen wir dies durch Quellcodeanalysen und Secure Coding Prozesse. Im Nachhinein ist dies meist nicht möglich. Hier setzt der Service Zero Day Application Exploiting an. Das Ziel der Überprüfung besteht darin, bisher unbekannte Schwachstellen innerhalb einer Applikation zu ermitteln, die eine Kompromittierung der Applikation bzw. des Systems oder der Daten ermöglichen oder zumindest erleichtern. Hierbei greift das Audit Team der NTT Com Security auf zwei Verfahren aus dem Bereich der Schwachstellenanalyse zurück, um Sicherheitslücken auch nach Fertigstellung der Software zu entdecken, bevor diese ausgenutzt werden. Beim Fuzzing-Verfahren wird mit Hilfe von geeigneter Software eine Vielzahl von zufälligen Eingaben an das System übergeben. Falls die auditierte Applikation dabei abstürzt, ist dies ein Hinweis auf eine mögliche Schwachstelle. Die bei dem Absturz verwendeten Daten helfen dem Auditor, auf effiziente Weise erste Sicherheitslücken zu identifizieren. Die Übergabe der Daten kann über das Netzwerk (Client-Server-Struktur) oder lokal über das Dateisystem erfolgen. Beim Reverse Engineering wird die ausführbare Datei analysiert, in dem der Maschinencode mit Softwareunterstützung untersucht wird. Der Vorteil liegt darin, dass auch Sicherheitsprobleme in schwer erreichbaren Programmbestandteilen erkannt werden können. Folgende Kategorien von Schwachstellen innerhalb einer Applikation können mit dem Service Zero Day Application Exploiting identifiziert werden: > > Ausführung von Schadcode durch fehlende Prüfung der Eingabeparameter, wie z.b. Buffer Overflow oder Command Injection > > Probleme bei der Authentifizierung und Authentisierung, wie das Umgehen von Login-Mechanismen oder Berechtigungskonzepten > > Unsichere Konfigurationen, die einen weiteren Angriff erleichtern > > Denial-of-Service-Angriffe, bei dem die Nutzung des Systems unterbunden werden kann > > Falsch gesetzte Berechtigungen oder andere sicherheitsrelevante Konfigurationsfehler Je nach Ausnutzbarkeit können optional für die Schwachstellen Proof-of- Concept Exploits erstellt werden. Der resultierende Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 10

11 AUDITS & ASSESSMENTS Überprüfung von Webanwendungen und Webservices Audit: Web Audit Advanced Unter anderem werden folgende wichtige Kategorien der Applikationssicherheit geprüft: >Injection-Schwachstellen, > wie SQL-, OS- oder LDAP-Injection > > Fehler in der Authentifizierung und im Session Management > > Cross-Site Scripting (Stored, Reflected und DOM-based XSS) > > Cross-Site Request Forgery (CSRF) > > Mangelhafte Prüfung von Berechtigungen > > Zugriff auf sensible Daten > > Clickjacking und UI-Redressing > > Verwendung bekanntermaßen unsicherer Komponenten und fehlerhafter Konfigurationen. Der Service Webaudit Advanced beinhaltet eine umfassende Prüfung von Webanwendungen und Webservices. Das Web hat sich als Plattform für Anwendungen und Dienstleistungen durchgesetzt. Es bietet den Vorteil standardisierter Technologien und Protokolle und ein Browser ist als Client heutzutage auf jedem PC und Smartphone bereits installiert. Neue Technologien wie HTML5 bieten eine große und stetig wachsende Funktionsvielfalt, die neue Anwendungsgebiete für Webanwendungen erschließen und viele Cloud-Anwendungen erst möglich machen. Die vielen Möglichkeiten und die hohe Komplexität heutiger Webanwendungen erhöhen jedoch auch die Angriffsfläche auf die Logik und Daten der Anwendung. Das Ziel des Service Webaudit Advanced besteht darin, Schwachstellen in der untersuchten Webanwendung auf Applikationsebene zu identifizieren. Hierzu wird die Anwendung einer manuellen Analyse unterzogen, die durch automatisierte Tools unterstützt wird. Dabei orientieren wir uns in der Vorgehensweise an anerkannten Standards wie den OWASP Top 10 Application Security Risks und erweitern diese um Prüfungen auf aktuelle oder applikationsspezifische Bedrohungen. Im Rahmen eines Webaudit Advanced können auch Web Services betrachtet werden. Es wird ein detaillierter Bericht erstellt, der alle gefundenen Schwachstellen, sowie Maßnahmen zu deren Behebung enthält. Dieser Bericht kann von Entwicklern und dem IT-Betrieb als Leitfaden für die Behebung der Schwachstellen genutzt werden. 11

12 Überprüfung von Apps für Smartphones und Tablets Audit: Mobile App Audit Typische Schwachstellen, auf die bei diesem Service geprüft wird, sind: > > Unverschlüsselte oder unauthentifizierte Kommunikation mit dem Backend. > > Offenlegung von sicherheitskritischen Applikationskomponenten über APIs wie Intents oder URL-Handler. > > Information Leakage durch Drittkomponenten, die z.b. für Werbeeinblendungen verwendet werden. > > Speicherung sensibler Daten in unsicheren Bereichen, wie z.b. SD-Karten oder außerhalb des Key Chains. > > Unsichere Nutzung von Web- Views durch Offenlegung von internen App-APIs an nicht vertrauenswürdige Webseiten. > > Fehlende Berechtigungsprüfung im Backend. > > Klassische Schwachstellen wie SQL Injection und Buffer Overflows. Mit dem Service Mobile App Audit können vorhandene Schwachstellen und Risiken von Apps für Mobile Devices identifiziert werden. Die Einsatzgebiete von Apps für mobile Geräte wie Smartphones und Tablets sind vielfältig. Viele Unternehmen entwickeln und veröffentlichen Apps, um ihren Kunden Zugang zu Informationen und Diensten von mobilen Geräten aus anzubieten. Auf der anderen Seite werden Apps auch aus den gleichen Gründen in Unternehmen eingesetzt. Wie native Anwendungen auf dem PC oder Webanwendungen, können Apps ebenfalls Schwachstellen enthalten, die sich jedoch aufgrund der Besonderheiten der jeweiligen Plattformen deutlich von den klassischen Bedrohungen unterscheiden. Angreifer können solche Schwachstellen in mobilen Apps nutzen, um Zugang zu Daten auf mobilen Geräten zu erhalten oder diese als Sprungbrett für Angriffe auf die IT-Infrastruktur des Unternehmens zu verwenden. Dabei werden die Apps in unserem Labor sowohl manuell als auch durch Tools unterstützt auf Schwachstellen hin untersucht. Hierzu wird unter anderem die Kommunikation mit dem Backend, die Datenspeicherung auf dem mobilen Gerät sowie die Interaktionsmöglichkeit mit anderen Apps geprüft. Da Apps und Backend-Komponenten oft eine Einheit bilden, erfolgt auch eine Untersuchung der Backend-Services auf Applikationsebene. Es wird ein detaillierter Bericht erstellt, der alle gefundenen Schwachstellen sowie Maßnahmen zu deren Behebung enthält. Dieser Bericht kann von Entwicklern und dem IT-Betrieb als Leitfaden für die Behebung der Schwachstellen genutzt werden. Das Ziel des Mobile App Audit besteht darin, Schwachstellen der untersuchten Apps auf Applikationsebene zu identifizieren. 12

13 AUDITS & ASSESSMENTS Analyse von Terminalservern Audit: Citrix Audit Innerhalb des NTT Com Security Service Citrix-Audit können folgende Tests durchgeführt werden: > > Nutzung von nicht freigegebenen Applikationen oder Funktionen für einen typischen Nutzer > > Ausbruch aus der vorgegebenen Umgebung > > Zugriff auf vertrauliche Daten > > Privilege Escalation > > Kompromittierung des Systems > > Prüfung des möglichen Zugriffes auf benachbarte Systeme in der DMZ bzw. im internen Netz > > Prüfung, ob Proof-of-Concept Schadcode auf das System heruntergeladen werden kann Der Service Citrix Audit beinhaltet die Prüfung einer typischen Terminalserver-Umgebung. Durch diesen Service können Schwachstellen in der Absicherung dieser zentralen Komponenten aufgedeckt werden. Für die Bereitstellung von zentralen Applikationen wird oft eine Terminalserver-Umgebung eingesetzt, über die externe Mitarbeiter und mobile Nutzer Zugriff auf ausgewählte Anwendungen und Ressourcen erhalten. Die Applikationen werden dabei entweder dediziert für einen browserbasierten Zugriff freigeschaltet oder die Benutzer bekommen einen direkten Zugang auf den Desktop. Die Gefahren, die sich aus diesen Szenarien ergeben, werden dabei häufig unterschätzt. NTT Com Security prüft, inwieweit ein typischer Nutzer einer Terminalserver Umgebung nicht freigegebene Applikationen oder Funktionalitäten nutzen kann (z.b. Internet-Zugriff, Aufruf von Systembefehlen) oder die Möglichkeit hat, das System zu kompromittieren. Sofern ein Ausbruch aus der vorgegebenen Umgebung möglich ist, wird der Zugriff auf benachbarte Systeme in der DMZ oder im internen Netz geprüft. Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 13

14 Überprüfung von Smartphones und Tablets Audit: Mobile Device Audit Mit dem Service Mobile Device Audit können vorhandene Schwachstellen auf mobilen Geräten identifiziert werden. Es ist heutzutage für moderne Unternehmen undenkbar, ohne sie auszukommen. Die Zeiten, in denen Blackberry Smartphones das Maß aller Dinge waren und zudem den mobilen Alltag sicherheitstechnisch überschaubar und kontrollierbar machten, sind längst vorbei. Heute findet man iphones, ipads, Android, Windows Phone und andere Geräte überall in Unternehmen. Der Wechsel auf diese moderneren und offeneren Plattformen birgt jedoch auch Risiken. Nicht nur die Geräte haben sich geändert, sondern auch deren Benutzung im geschäftlichen und privaten Alltag. Wurden früher noch geschäftliche von privaten Daten strikt getrennt, findet heute eher eine Vermischung statt. Zudem werden immer mehr kritische und vor allem sensible Daten auf den Plattformen gespeichert und verarbeitet. Oft ist unklar, welche Daten tatsächlich auf den Geräten gespeichert werden und wie bzw. ob diese vor unbefugtem Zugriff geschützt sind. Dem Sicherheitsverantwortlichen des Unternehmens ist dies in vielen Fällen bewusst. Doch was tun, wenn der berühmte Prophet im eigenen Land nicht zählt und alle s des Managements und vertrauliche Dokumente ungeschützt Dritten zugänglich sind? NTT Com Security bietet für diese Fälle den Service Mobile Device Audit an. Wir prüfen Ihre mobilen Geräte auf Einhaltung der üblichen Sicherheitsstandards und legen dabei offen, welche Risiken für Ihr Unternehmen bestehen. Innerhalb des NTT Com Security Service Mobile Device Audit können folgende Geräte geprüft werden: > > Apple ios (iphone / ipad) > > Android > > Windows Mobile > > Windows Phone > > BlackBerry OS Es werden im Rahmen dieses Services folgende Sicherheitsaspekte betrachtet: > > Sicherheitsrelevante Einstellungen des Mobile-OS > > Anbindung der Endgeräte an das Unternehmensnetz > > Unautorisierter Zugriff auf das Gerät > > Extrahierung von gespeicherten Daten > > Bewertung der Absicherung der Datenspeicherung > > Prüfung Ihrer speziellen Anforderungen > > Einhaltung von unternehmensspezifischen Richtlinien Der resultierende Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 14

15 AUDITS & ASSESSMENTS Analyse von Notebook / Desktop Systemen Audit: Client Analysis Folgende Aspekte werden bei der Option Konfigurationsprüfung betrachtet: > > Grundkonfiguration des Betriebssystems > > Sicherheit des Browsers > > Manipulation von Hardware > > Manipulation von Daten oder Software > > Diebstahl des Gerätes > > Ungeordneter Benutzerwechsel > > Mobile-Security Mit dem Service Client Analysis kann die Sicherheit von Clients im Unternehmen geprüft werden. Dieser Service kann auch dazu genutzt werden, ein neues Notebook bzw. Desktop-Image vor dem Rollout intensiv auf Schwachstellen zu untersuchen. Die Prüfung eines Windows-Arbeitsplatzes dient dem Zweck, einen sicherheitstechnisch störungsfreien Betrieb zu gewährleisten und den Arbeitsplatz vor heutzutage üblichen Gefahren abzusichern. Folgende grundsätzliche Gefährdungen bzw. deren gegenüberstehende Schutzmaßnahmen werden betrachtet: > > Angriffe aus dem Netzwerk > > Manipulation durch den Benutzer > > Eindringen von Malware innerhalb von erlaubten Verbindungen (Surfen, ) Dieser Service ist zweistufig und umfasst zunächst die Konfigurationsprüfung der sicherheitsrelevanten Systemeinstellungen und Schutzmaßnahmen. Darüber hinaus kann mit der Option Einschleusen von Schadcode geprüft werden, inwieweit es aktuell möglich ist über das Unternehmensnetz Schadcode auf ein Gerät herunterzuladen und auszuführen. Die Vorgehensweise bei der Option Einschleusen von Schadcode ist wie folgt: > > Analyse des Notebooks im NTT Com Security Labor > > Einschleusen von Schadcode (Proof-of-Concept) über das Unternehmensnetz auf das Notebook, sofern möglich > > Auswertung und Dokumentation Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. Im Basispaket umfasst dieser Service die Überprüfung eines exemplarischen Notebookoder Desktop-Images. Dieser Service wird auch in Form eines Stolen-Notebook Checks ohne Login Information angeboten. 15

16 Untersuchung von Sicherheitsvorfällen Audit: Forensics In der heutigen Zeit gibt es viele rechtswidrige, unbefugte oder unzulässige Handlungen, die mit Hilfe von Computersystemen ermöglicht oder erleichtert werden. Durch den Service Forensics erhalten Sie eine umfassende Analyse von Systemen, die in einen Sicherheitsvorfall involviert waren, um die Ursache zu klären und ggf. Beweise, Indizien und Spuren zu sichern. Bei einer forensischen Analyse werden die Fragen des Wer, Was, Wo, Wann, Womit und Wie behandelt. Ziel ist es, herauszufinden, welche Schwachstellen bzw. welche Methoden ausgenutzt wurden, um die unbefugten Aktivitäten durchzuführen, welcher Schaden entstanden ist und falls möglich, wer der Angreifer ist. NTT Com Security betrachtet dabei verschiedene Ausprägungen. Bei der Netzwerk-Forensik versuchen wir in der Regel den Ursprung einer Kompromittierung durch die Analyse von Log-Dateien zu ermitteln. Bei der Computer-Forensik ist es besonders wichtig, soviel Informationen wie möglich auf den involvierten Systemen zu identifizieren, zu extrahieren und zu erfassen, ohne die Originaldaten, die sich auf dem System befinden, zu verändern oder zu manipulieren. Daher erfolgt hier zunächst eine forensisch einwandfreie Beweissicherung der Daten. Im Einzelnen werden bei der Netzwerk-Forensik die Zielsysteme und ggf. vorgelagerte Komponenten untersucht, um zu ermitteln: > > Welche Schwachstellen ausgenutzt wurden > > Ob Trojaner installiert wurden > > Wo der Ursprung der Kompromittierung ist > > Ob Daten bzw. andere Systeme kompromittiert wurden > > Welche Techniken der Angreifer verwendet hat Bei der Computer-Forensik erfolgt eine manuelle Untersuchung der beteiligten Systeme, um > > Daten forensisch einwandfrei zu sichern. > > Diese nach Beweisen und Spuren zu untersuchen > > Daten wiederherzustellen, um nach Indizien zu suchen > > Ihr eigenes Vorgehen einwandfrei und lückenlos zu dokumentieren > > Schwachstellen bzw. den Ursprung einer Kompromittierung zu identifizieren > > Sicherheitsvorfälle so weit als möglich zu rekonstruieren > > Die Erkenntnisse in verwertbaren und verständlichen Berichten zusammenzufassen 16

17 AUDITS & ASSESSMENTS Prüfung des Sicherheitsbewusstseins innerhalb des Unternehmens Audit: Social Engineering Mit dem Service Social Engineering werden Einfallstore ins Unternehmen betrachtet die über die klassischen Angriffspunkte auf die IT-Infrastruktur hinausgehen Oft führt der einfachste Weg eines Angreifers ins Unternehmen über Mitarbeiter, die unbewusst Informationen preisgeben. Durch geschickt präparierte Phishing Mails kann ein Angreifer Mitarbeiter zur Preisgabe von Login-Daten und anderen sensitiven Informationen verleiten. Außerdem kann über diesen Weg Malware eingeschleust werden. Neben solchen klassischen Phishing Szenarien kann oft auch eine gezielte Ansprache von Mitarbeitern über das Telefon für einen Angreifer zum Erfolg führen. Die erforderlichen Informationen für einen solchen gezielten Angriff holt sich der Angreifer über soziale Netzwerke und andere öffentliche Quellen. falscher Identitäten, über unzureichend geschützte Hintereingänge oder auch durch ungesicherte öffentliche bzw. halböffentliche Zonen geschehen. Unabhängig davon welche dieser Social Engineering Varianten ein Angreifer wählt, können die Konsequenzen für das Unternehmen gravierend sein. Im Rahmen dieses Services wird pragmatisch aufgezeigt, inwieweit in diesen Bereichen Optimierungspotential besteht. Alle durchgeführten Tätigkeiten und Resultate werden statistisch ausgewertet und detailliert dokumentiert. Dabei wird darauf geachtet, dass keine Rückschlüsse auf einzelne Mitarbeiter gezogen werden können. Es wird ein Bericht erstellt, der ggf. organisatorische, technische und konzeptionelle Vorschläge zur Verbesserung des Sicherheitsniveaus enthält. Der Bericht enthält darüber hinaus eine Zusammenfassung der Ergebnisse in Form einer Management-Summary. Folgende Szenarien stehen zur Auswahl: > > Verdächtige s / Phishing > > Weitergabe von sensiblen Daten über Telefon > > Stillschweigen über Betriebsgeheimnisse > > Transportable Medien / Software Urheberrechte > > Zugriff auf Mitarbeiter-PC s und Mitnahme sensibler Daten > > Zugriff für unbefugte Dritte auf vertrauliche Daten von Mitarbeitern > > Preisgabe von sensiblen Daten über soziale Netzwerke > > Zutrittsschutz zum Gebäude > > Erstellung von sensitiven Fotos > > Schutz von Unternehmenseigentum Durch einen Security Audit mit Social Engineering Szenarien lässt sich das aktuelle Sicherheitsbewusstsein der Mitarbeiter Ihres Unternehmens ermitteln. Darüber hinaus ist es trotz vermeintlich ausreichender Schutzmaßnahmen in vielen Fällen möglich, dass sich externe Personen unbemerkt physischen Zutritt zu sensitiven Bereichen eines Unternehmens verschaffen. Beispielsweise kann dies durch das Vortäuschen 17

18 Sensibilisierung von Führungskräften, Mitarbeitern und Kunden Audit: Security Awareness / Live-Hacking Im Rahmen von 30- bis 90-minütigen Security Awareness Workshops bzw. Live Hacking Vorführungen wird gezeigt, wie leicht ein Angreifer auf vertrauliche Daten oder sensible Systeme zugreifen kann. Diese Proof-of-Concept Angriffe werden dabei in der Regel in einer von NTT Com Security gestellten Umgebung durchgeführt. Ein Zugriff auf Ihr LAN bzw. ein Internetzugang ist in diesem Fall nicht erforderlich. Dabei können bestehende Regelungen des Unternehmens, wie zum Beispiel der Umgang mit Passwörtern oder Wechselmedien, eingearbeitet werden. Nachfolgend werden die gemeinsam vereinbarten Inhalte der Zielgruppe im Rahmen des Workshops präsentiert. Selbstverständlich können die dargestellten Themengebiete auch in Form einer Live Hacking Präsentation im Rahmen von Kunden- oder Firmenveranstaltungen durchgeführt werden. Themenauswahl: Angriffe auf Webanwendungen > > Angriffsszenarien bei Webshops > > Cross Site Scripting > > SQL Injection > > Manipulation von Parametern > > Angriffe auf den Client > > Schutzmaßnahmen für Webanwendungen NFC-Security Die Inhalte der Security Awareness / Live Hacking Workshops können Sie nach Ihren Anforderungen auf Basis der vorhandenen Bausteine zusammenstellen. Weitere Themen sind ggf. auf Anfrage möglich. > > Auslesen von Zahlungskarten > > Umgehung von Zutrittskontrollsystemen > > Phishing Mobile Security Alternativ zu diesen Bausteinen bieten wir Workshops an, bei denen wir die Inhalte dediziert auf die individuellen Anforderungen des Kunden abstimmen. > > Aktuelle Angriffsszenarien bei Smartphones > > Zugriff auf Android und ios Geräte Zunächst erarbeiten wir dazu mit Ihnen ein Konzept für den Workshop, welches auf die Zielgruppe und deren IT-Kenntnisse abgestimmt wird. > > Auslesen von persönlichen Daten z.b. SMS, , Kontakte, Social Media Voice-over-IP Security > > Abhören von Gesprächen > > Angriffe auf VoIP-Komponenten > > Denial-of-Service Schwachstellen auf Endgeräten > > Pufferüberläufe > > Code Execution > > Privilege Escalation 18

19 AUDITS & ASSESSMENTS Quartalsweise externe Vulnerability Scans gemäß PCI DSS Audit: Quarterly PCI ASV Security Scans Das PCI (Payment Card Industry) DSS-Programm wurde von den führenden Kreditkartenorganisationen, darunter MasterCard und VISA, ins Leben gerufen, um die Sicherheit von Kreditkartendaten zu gewährleisten. Alle Händler und Service Provider, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, unterliegen diesem Standard. MasterCard verlangt die Erfüllung des Standards zusätzlich auch für alle Karten, die ein Maestro-Logo tragen, z.b. EC-Karten oder Prepaid-Karten. Das Programm definiert die Sicherheitsmechanismen, die eingesetzt und aufrechterhalten werden müssen, um die Kreditkartendaten bei einem Händler oder Service Provider zu schützen. Händler und Service Provider werden von ihrem Acquirer in verschiedene Kategorien (Level) eingestuft, die von der jeweiligen Kreditkartenorgani sation, auf Basis der Anzahl der jährlichen Transaktionen und unter Berücksichtigung von Sicherheitsvorfällen, definiert werden. Händler der Level 1, 2 und 3 sowie alle Service Provider müssen quartalsweise einen externen Vulnerability Scan durchführen lassen, durch den alle über das Internet erreichbaren Systeme hinsichtlich möglicher Schwachstellen untersucht werden. Für Händler des Level 4 wird die Durchführung der Vulnerability Scans empfohlen. NTT Com Security wurde der formelle ASV-Status (Approved Scanning Vendor) durch das PCI Security Standards Council verliehen und ist damit berechtigt, entsprechende Vulnerability Scans für ihre Kunden durchzuführen. Neben den Sicherheitslücken, die auf veralteten und unsicheren Diensten beruhen, werden auch Schwachstellen identifiziert, die auf Fehlkonfigurationen von Betriebssystemen und Anwendungen basieren und zu unbefugtem Zugang zu Komponenten in Schutzzonen oder im internen Netzwerk führen können. Im Zuge des ASV-Sicherheitsscans von NTT Com Security gewinnen Sie einen Einblick in den PCI-Compliance-Status Ihrer Organisation. Nach Abschluss des Scans erhalten Sie einen detaillierten PCI-konformen Bericht mit Empfehlungen zur Beseitigung möglicher gefundener Schwachstellen. Der resultierende Bericht enthält: > > Identifizierung von PCIrelevanten Komponenten > > Detaillierte Analyse der im untersuchten Netzwerkbereich bestehenden Sicherheitsrisiken > > Schwachstellen in Betriebssystemen > > Empfehlungen zur Schwachstellenbeseitigung > > Priorisierung der Gegenmaßnahmen > > Referenzen zu den gefundenen Schwachstellen > > Compliance-Status der Infrastruktur Gemäß den Anforderungen für ASV Scans wird, neben dem detaillierten Bericht, auch ein High- Level Bericht mit einer Zusammenfassung des Compliance Status generiert. Die Berichte werden nachfolgend gesichert an die vom Kunden definierten Ansprechpartner übermittelt. 19

20 Vor-Ort-Prüfung bei der PCI DSS Compliance Audit: Payment Card Industry (PCI) Qualified Security Auditor (QSA) Das PCI (Payment Card Industry) DSS-Programm wurde von den führenden Kreditkartenorganisationen, darunter MasterCard und VISA, ins Leben gerufen, um die Sicherheit von Kreditkartendaten zu gewährleisten. Alle Händler und Service Provider, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, unterliegen diesem Standard. MasterCard verlangt die Erfüllung des Standards zusätzlich auch für alle Karten, die ein Maestro- Logo tragen, z.b. EC-Karten oder Prepaid-Karten. Das Programm definiert die Sicherheitsmechanismen, die eingesetzt und aufrechterhalten werden müssen, um die Kreditkartendaten bei einem Händler oder Service Provider zu schützen. Händler und Service Provider werden von ihrem Acquirer in verschiedene Kategorien (Level) eingestuft, die von der jeweiligen Kreditkartenorganisation, auf Basis der Anzahl der jährlichen Transaktionen und unter Berücksichtigung von Sicherheitsvorfällen, definiert werden. Abhängig von dieser Einstufung ist entweder eine Selbstbeurteilung oder ein Audit von einem PCI QSA (Qualified Security Auditor) erforderlich. In beiden Fällen müssen die resultierenden Dokumente von einem Mitglied der Geschäftsleitung unterzeichnet werden. Für größere Händler (Level 1) sowie für die meisten Service Provider ist ein QSA Audit verpflichtend. Bei Nichterfüllung der Compliance drohen dem entsprechenden Acquirer Vertragsstrafen, die dieser dann an seine Händler und Service Provider weitergeben kann. Die NTT Com Security bietet folgende QSA Audit Services an: NTT Com Security wurde der formelle QSA-Status (Qualified Security Auditor) durch das PCI Security Standards Council verliehen und darf entsprechende für ihre Kunden durchführen. Zahlreiche unserer Kunden in den USA und Europa wurden bereits bei der Erfüllung ihrer PCI-Anforderungen durch NTT Com Security Berater unterstützt. Die Dienstleistung umfasst die Identifikation der zu prüfenden Umgebung (Scoping), die Ermittlung der noch fehlenden Schutzmaßnahmen und Dokumente (Gap-Analyse) sowie die Durchführung einer abschließenden formalen Auditierung, die beim Kunden vor Ort stattfindet. Darüber hinaus ist eine Unterstützung bei der Entwicklung von Kompensationskontrollen für Anforderungen möglich, die nicht unmittelbar erfüllt werden können. Nach der Durchführung eines QSA- erhalten Sie einen ausführlichen Bericht, der den Compliance- Status der geprüften Umgebung anhand der PCI DSS-Vorgaben dokumentiert. Die Ergebnisse werden, gemäß den spezifischen Anforderungen der zuständigen Kreditkartenorganisation, an die vorgeschriebene Stelle übermittelt. Herausforderung Für größere Händler (Level 1) ebenso für die meisten Service Provider ist ein QSA Assessment verpflichtend. Bei Nichterfüllung der Compliance drohen dem entsprechenden Acquirer Vertragsstrafen. Audit NTT Com Security wurde der formelle QSA-Status (Qualified Security Assessor) durch das PCI Security Standards Council verliehen und darf entsprechende für Kunden durchführen. Schritte > > Aufbauen und Aufrechterhalten eines sicheren Netzwerks > > Schutz der Daten von Karteninhabern > > Aufbauen und Aufrechterhalten eines wirksamen Programms zum Schwachstellenmanagement > > Implementierung starker Zugriffskontrollmaßnahmen > > Regelmäßige Überwachung und regelmäßige Auditierung von Netzwerken > > Aufrechterhalten von Richtlinien, die sich mit den Anforderungen an die Informationssicherheit und Best Practices für die Geschäftstätigkeit befassen 20

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Apple iphone und ipad im Unternehmen. Ronny Sackmann ronny.sackmann@cirosec.de

Apple iphone und ipad im Unternehmen. Ronny Sackmann ronny.sackmann@cirosec.de Apple iphone und ipad im Unternehmen Ronny Sackmann ronny.sackmann@cirosec.de Agenda Einführung Bedrohungen Integrierte Schutzfunktionen Sicherheitsmaßnahmen Zentrale Verwaltungswerkzeuge Zusammenfassung

Mehr

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Payment Card Industry Data Security Standard (PCI DSS)

Payment Card Industry Data Security Standard (PCI DSS) Payment Card Industry Data Security Standard (PCI DSS) Verfahren für Sicherheitsscans Version 1.1 Veröffentlichung: September 2006 Inhaltsverzeichnis Zweck... 1 Einführung... 1 Umfang von PCI-Sicherheitsscans...

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

SMARTPHONE SECURITY. Sichere Integration mobiler Endgeräte

SMARTPHONE SECURITY. Sichere Integration mobiler Endgeräte Sichere Integration mobiler Endgeräte ÜBERSICHT PROFI MOBILE SERVICES.mobile PROFI Mobile Business Agenda Workshops Themen Business Case Design Business Case Zielgruppe / -markt Zielplattform BPM fachlich

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch Zürich, 11. Oktober 2011 Security (SWITCH-CERT) Derzeit 7 Mitarbeiter, bald 10 Unser Team erbringt Security-Dienstleistungen

Mehr

Sicherheitsaspekte beim Mobile Computing

Sicherheitsaspekte beim Mobile Computing Sicherheitsaspekte beim Mobile Computing Horst Flätgen Bundesamt für Sicherheit in der Informationstechnik (BSI) Bonn, 9. Mai 2012 www.bsi.bund.de Aufbrechen der Sicherheitsstruktur durch mobile Endgeräte

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Penetration Testing. Die Vorsorgeuntersuchung für Ihre IT-Sicherheit. Hamburg/Osnabrück/Bremen 18./25./26. November 2014.

Penetration Testing. Die Vorsorgeuntersuchung für Ihre IT-Sicherheit. Hamburg/Osnabrück/Bremen 18./25./26. November 2014. Penetration Testing Die Vorsorgeuntersuchung für Ihre IT-Sicherheit Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Tim Kohnen Agenda 1. Überblick zu Forensischen Leistungen 2. Was ist Penetration Testing?

Mehr

Einordnung, Zielsetzung und Klassifikation von Penetrationstests

Einordnung, Zielsetzung und Klassifikation von Penetrationstests Einordnung, Zielsetzung und Klassifikation von Penetrationstests Vortrag zur Vorlesung Sicherheit in Netzen Marco Spina 12 Jan 2005 1 Inhalt (1) Penetrationstest Definitionen Nach Bundesamt für Sicherheit

Mehr

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Dr. Ralf Stodt Senior Consultant Business Development, CISSP Endpoint Security & IAM www.integralis.com Absicherung

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Rolle des Penetration Testing

Rolle des Penetration Testing Rolle des Penetration Testing Marc Ruef www.scip.ch SGRP Frühlingsveranstaltung 07.05.2013 Credit Suisse Tower, Zürich-Oerlikon Agenda Rolle des Penetration Testing Fragen SGRP Frühlingsveranstaltung 2013

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl SMARTPHONES Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl A-SIT/Smartphones iphone security analysis (Q1 2010) Blackberry security analysis (Q1 2010) Qualifizierte Signaturen und Smartphones

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten Tivoli Endpoint Manager für mobile Geräte Die wichtigste Aufgabe für Administratoren ist es, IT-Ressourcen und -Dienstleistungen bereitzustellen, wann und wo sie benötigt werden. Die Frage ist, wie geht

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Raiffeisen Informatik Tätigkeitsfeld Security Competence Center Zwettl Datensicherheit Gesetzliche Anforderungen Angriffsvektoren

Mehr

Mobile Security. Live-Hacking. Thomas Haase Laurenz Hommel

Mobile Security. Live-Hacking. Thomas Haase Laurenz Hommel Mobile Security Live-Hacking Thomas Haase Laurenz Hommel EINFÜHRUNG Verbreitung #1 Smartphone-Benutzer: [1] Weltweit: 1,76 Mrd. Deutschland: 40,4 Mio. Große Nutzerbasis und Potentiale zur Ausnutzung von

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Sichere Mobilität für Unternehmen. Mario Winter Senior Sales Engineer

Sichere Mobilität für Unternehmen. Mario Winter Senior Sales Engineer Sichere Mobilität für Unternehmen Mario Winter Senior Sales Engineer Neue Herausforderungen Quelle: SPIEGEL Online Quelle: SPIEGEL Online Quelle: SPIEGEL Online Formfaktor Smartphone BYOD Bring Your Own

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Petra Flessa Product Marketing Manager DACH it-sa 2013 10/4/2013 Copyright 2013 Trend Micro

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2009: Gefährdungen der IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit Aufgabe: Die mehrseitige IT-Sicherheit bestimmt sich anhand

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Sicherheitsbetrachtung von Android und dessen Apps. Dr. Michael Spreitzenbarth

Sicherheitsbetrachtung von Android und dessen Apps. Dr. Michael Spreitzenbarth Sicherheitsbetrachtung von Android und dessen Apps Dr. Michael Spreitzenbarth Über mich Studium der Wirtschaftsinformatik an der Universität Mannheim mit dem Schwerpunkt in den Bereichen IT-Security und

Mehr

Smartphones, Pads, Apps, Socialnetworks und Co

Smartphones, Pads, Apps, Socialnetworks und Co @-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Smartphones, Pads, Apps, Socialnetworks und Co Neue Gefahren für die Informationssicherheit @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49

Mehr

Händlerinformation. Informationen und Hinweise für Händler zur Umsetzung des Programms. Payment Card Industry Data Security Standard (PCI DSS)

Händlerinformation. Informationen und Hinweise für Händler zur Umsetzung des Programms. Payment Card Industry Data Security Standard (PCI DSS) Postbank P.O.S. Transact GmbH (nun EVO Kartenakzeptanz GmbH) ist kürzlich von der EVO Payments International Group erworben worden Informationen und Hinweise für Händler zur Umsetzung des Programms Payment

Mehr

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist Ein Vergleich verschiedener VPN-Technologien Seite 1 Überblick Überblick VPN Technologien SSL VPN Sicherheitsrisiken

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Sicherheit bei Internet- Kreditkartentransaktionen

Sicherheit bei Internet- Kreditkartentransaktionen Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

CBT Training & Consulting GmbH

CBT Training & Consulting GmbH CBT Training & Consulting GmbH Security Awareness CHECK Die Herausforderung Die Planungen zum Kampagnenstart stellen Sicherheitsverantwortliche regelmäßig vor die gleichen Herausforderungen: 1. Messung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH Postbank P.O.S. Transact GmbH (nun EVO Kartenakzeptanz GmbH) ist kürzlich von der EVO Payments International Group erworben worden Produktcharakteristik VISA und MasterCard haben unter dem Namen VISA-AIS

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Sichere Kommunikation Angriffe auf Smartphones & Laptops. Volker Schnapp Fink Secure Communication GmbH

Sichere Kommunikation Angriffe auf Smartphones & Laptops. Volker Schnapp Fink Secure Communication GmbH Sichere Kommunikation Angriffe auf Smartphones & Laptops Volker Schnapp Fink Secure Communication GmbH Agenda Entwicklungen in der Kommunikation Trends Gefahren und Angriffe Gegenmaßnahmen Internetuser

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Thomas Macht Ausarbeitung Security-Test WS 09

Thomas Macht Ausarbeitung Security-Test WS 09 Sicherheit und Grenzrisiko definieren Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbare Risiko eines technischen Vorgangs/Zustands Risiko definieren

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004 Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

ConCardis GmbH Solmsstr. 4 D-60486 Frankfurt am Main

ConCardis GmbH Solmsstr. 4 D-60486 Frankfurt am Main Payment Card Industry (PCI) Data Security Standard Informationen und Hinweise für Händler zur Umsetzung der Programme MasterCard Site Data Protection (SDP) und Visa Account Information Security (AIS) Von

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen. Bachelorarbeit

IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen. Bachelorarbeit IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft der

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager)

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager) Radware revolutioniert den DDOS Schutz Markus Spahn: markuss@radware.com (Sales Manager) Über Radware Über 10000 Kunden Stetiges Wachstum 144 167 189 193 5 14 38 43 44 55 68 78 81 89 95 109 98 99 00 01

Mehr

Mission Critical Mobile Solutions

Mission Critical Mobile Solutions Mission Critical Mobile Solutions Anwendungsmöglichkeiten sowie Sicherheitsaspekte im Bereich Mobility und Situational Awareness Dipl.-Ing. Rainer Halanek Dr. Dan Temmer FREQUENTIS 2012 Datum: 2012-06-05

Mehr

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails?

Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Sichere Webapplikationen nach ONR 17700 oder Wer liest meine Emails? Advisor for your information security. Essen, 10.-13. Oktober 2006 Version 1.0 SEC Consult Advisor for your information security Information

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

KASPERSKY SECURITY FOR VIRTUALIZATION 2015 KASPERSKY SECURITY FOR VIRTUALIZATION 2015 Leistung, Kosten, Sicherheit: Bessere Performance und mehr Effizienz beim Schutz von virtualisierten Umgebungen AGENDA - Virtualisierung im Rechenzentrum - Marktübersicht

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013 Reverse Cloud Michael Weisgerber Channel Systems Engineer DACH September 2013 Öffentliche Wahrnehmung - heute Flame Duqu Stuxnet Page 2 2011 Palo Alto Networks. Proprietary and Confidential. Öffentliche

Mehr