Audits & Assessments. IT Security-Risiken erkennen, analysieren und bewerten.

Größe: px
Ab Seite anzeigen:

Download "Audits & Assessments. IT Security-Risiken erkennen, analysieren und bewerten. www.nttcomsecurity.com"

Transkript

1 & IT Security-Risiken erkennen, analysieren und bewerten

2 AUDITS Infrastructure > > Externe Überprüfung der Perimeter-Umgebung Audit: External Infrastructure Penetration Test Seite 4 > > Interne Überprüfung ausgewählter Netzwerkkomponenten Audit: Internal Infrastructure Penetration Test Seite 5 > > Analyse von Firewalls und Servern Audit: Inspect Seite 6 > > Penetrationstest zur Simulation komplexer Angriffe Audit: Infiltrate Seite 7 > > Überprüfung von Funknetzwerken Audit: Wireless LAN Audit Seite 8 > > Überprüfung von Voice-over-IP -Umgebungen Audit: VoIP Security Seite 9 Application > > Prüfung von Windows oder Linux basierten nativen Anwendungen im Blackbox Ansatz Audit: Zero Day Application Exploiting Seite 10 > > Überprüfung von Webanwendungen und Webservices Audit: Web Audit Advanced Seite 11 > > Überprüfung von Apps für Smartphones und Tablets Audit: Mobile App Audit Seite 12 > > Analyse von Terminalservern Audit: Citrix Audit Seite 13 Endpoint > > Überprüfung von Smartphones und Tablets Audit: Mobile Device Audit Seite 14 > > Analyse von Notebook / Desktop Systemen Audit: Client Analysis Seite 15 Forensic, Awareness and PCI 2 > > Untersuchung von Sicherheitsvorfällen Audit: Forensics Seite 16 > > Prüfung des Sicherheitsbewusstseins innerhalb des Unternehmens Audit: Social Engineering Seite 17 > > Sensibilisierung von Führungskräften, Mitarbeitern und Kunden Audit: Security Awareness / Live-Hacking Seite 18 > > Quartalsweise externe Vulnerability Scans gemäß PCI DSS Audit: Quarterly PCI ASV Security Scans Seite 19 > > Vor-Ort-Prüfung bei der PCI DSS Compliance Assessment: Payment Card Industry (PCI) Qualified Security Assessor (QSA) Seite 20 > > Selektive Prüfungen von speziellen Umgebungen Audit: Rent A Pentester Seite 21

3 AUDITS & ASSESSMENTS ASSESSMENTS Infrastructure > > Next Generation Proxy Next Generation Proxy Assessment Seite 22 > > Ist Ihr Unternehmen infiziert? Assessment: Cyber-Defense Seite 23 > > Grundsicherung des IT-Betriebs Assessment: Backup and Disaster Recovery Seite 24 > > Perimeter-Sicherheit überprüfen Assessment: Firewall Seite 25 > > Sicheres mobiles Arbeiten Assessment: Remote Access & SSL-VPN Seite 26 Data & Application > > Lastverteilung und Ressourcennutzung optimieren Assessment: Application Delivery Controller (ADC) und Load Balancer Seite 27 > > Leistungsfähigkeit von Netzwerken und Anwendungen prüfen Assessment: Network & Application Performance Seite 28 > > Schwachstellen in SAP-Umgebungen ermitteln Assessment: SAP Security Seite 29 > > Datenabflüsse erkennen und vermeiden Assessment: Data Leakage Seite 30 > > Zugriffsrechte transparent darstellen Assessment: Managing permissions for unstructured data Seite 31 Identity > > PKI und Prozessbewertung Assessment: Public Key Infrastructure (PKI) Seite 32 > > Ein Identity Management System ist nie fertig Assessment: Identity Management Seite 34 > > Überblick über eingesetzte Zertifikate erlangen Assessment: Certificate Seite 36 PCI- > > Unterstützung bei der Selbstbeurteilung der PCI DSS Compliance Assessment: Payment Card Industry (PCI Self) Seite 37 > > Compliance-konformes Risikomanagement (BaFin, FINMA, FMA) Assessment: Finance and Insurance Compliance (BaFin, FINMA, FMA) Seite 38 3

4 Externe Überprüfung der Perimeter-Umgebung Audit: External Infrastructure Penetration Test Der External Infrastructure Penetration Test untersucht folgende Kategorien von Schwachstellen: > > Information Gathering > > Backdoors und Fehlkonfigurationen > > HTTP- und CGI-Missbrauch > > TCP Sequenznummernvorhersage > > Identifizierung von Trojanern > > Firewall-, Filter- und Proxy- Schwachstellen > > File Transfer Protocol-Missbrauch > > Stärke der Authentisierungsmechanismen > > Protocol Spoofing-Angriffe > > DNS- und Bind-Angriffe > > Portscanning-Angriffe > > Remote File Access-Angriffe > > Remote Procedure Call-Angriffe > > SMTP- und Mail-Transferschwachstellen > > SNMP / Netzwerkmanagement Schwachstellen > > Ermittlung von unnötigen und überflüssigen Diensten > > SMB / NetBIOS-Angriffe > > Windows Service Pack und Hotfix Überprüfungen Der Service External Infrastructure Penetration Test beinhaltet eine externe Überprüfung der öffentlichen Systeme über das Internet. Damit ist dieser Service der ideale Einstieg, um die Effektivität der durchgeführten Schutzmaßnahmen einer Firewall / VPN-Umgebung unabhängig zu verifizieren. Wir empfehlen, alle öffentlichen Systeme (Web-, Mail-, FTP-, DNS-Server, Firewall, Router, usw.) mit diesem Service zu überprüfen. Neben möglichen Fehlkonfigurationen von Systemen erkennen Sie bei dieser Prüfung auch Schwachstellen in Betriebssystemen und Anwendungen, durch die ein Angreifer u.u. nicht autorisierten Zugriff auf das interne Netzwerk und kritische Systeme erhält. Wir ermitteln den aktuellen Sicherheitszustand und erstellen einen detaillierten Bericht mit den gefundenen Schwachstellen und den notwendigen Maßnahmen zur Fehlerbehebung. Den External Infrastructure Penetration Test führen wir in Form eines manuellen Penetrationstests mit eigenen Scripts und Exploits durch. Unterstützend setzen wir im Rahmen dieser Prüfung marktführende kommerzielle und Open Source Security Assessment Tools ein. Die Überprüfung erfolgt über das Internet. Denial-of-Service (DoS) Angriffe, bei denen ein Dienst bzw. das gesamte System zum Absturz gebracht werden kann, führen wir nur nach expliziter Einwilligung durch. Die Anzahl der zu prüfenden IP-Adressen wird auf die jeweilige Umgebung nach Bedarf angepasst. Dieser Service umfasst im Basispaket eine Überprüfung von insgesamt bis zu 8 IP-Adressen. Nach Vereinbarung erhält die von Ihnen bestimmte Kontaktperson den Bericht persönlich in elektronischer oder gebundener Form. 4

5 AUDITS & ASSESSMENTS Interne Überprüfung ausgewählter Netzwerkkomponenten Audit: Internal Infrastructure Penetration Test Der Internal Infrastructure Penetration Test untersucht folgende Kategorien von Schwachstellen: > > Information Gathering > > Backdoors und Fehlkonfigurationen > > HTTP- und CGI-Missbrauch > > TCP Sequenznummernvorhersage > > Identifizierung von Trojanern > > Firewall-, Filter- und Proxy- Schwachstellen > > File Transfer Protocol-Missbrauch > > Stärke der Authentisierungsmechanismen > > Protocol Spoofing-Angriffe > > DNS- und Bind-Angriffe > > Portscanning-Angriffe > > Remote File Access-Angriffe > > Remote Procedure Call-Angriffe > > SMTP- und Mail-Transferschwachstellen > > SNMP / Netzwerkmanagement Schwachstellen > > Ermittlung von unnötigen und überflüssigen Diensten > > SMB / NetBIOS-Angriffe > > Windows Service Pack und Hotfix Überprüfungen Der Service Internal Infrastructure Penetration Test beinhaltet eine interne Überprüfung von ausgewählten Netzwerkkomponenten. Durch diesen Service kann die Effektivität der lokalen Schutzmaßnahmen unabhängig verifiziert werden. Im Gegensatz zu einem externen Penetrationstest untersuchen wir bei diesem Service ausgewählte Systeme innerhalb des lokalen Netzes oder in einer Schutzzone. Wir empfehlen, alle sensitiven internen Systeme wie Datenbank- Server, Intranet-Server, Mail-Server oder interne Applikationsserver im Rahmen dieser Untersuchung überprüfen zu lassen. Neben möglichen Fehlkonfigurationen von Systemen erkennen wir bei dieser Überprüfung auch Schwachstellen in Betriebssystemen und Anwendungen, durch die ein Angreifer unter Umständen nicht autorisierten Zugriff auf lokale Systeme oder das gesamte Netzwerk erhält. Wir ermitteln für Sie den aktuellen Sicherheitszustand und erstellen Ihnen einen detaillierten Bericht mit den gefundenen Schwach stellen und den notwendigen Maß nahmen zur Fehlerbehebung. Nach Vereinbarung erhält die von Ihnen bestimmte Kontaktperson den Bericht persönlich in elektronischer oder gebundener Form. Die Prüfverfahren sind analog zum Service External Infrastructure Penetration Test. Allerdings findet die Prüfung bei diesem Service in Form eines internen Penetrationstests innerhalb der DMZ bzw. im lokalen Netz statt. Denial-of-Service (DoS) Angriffe, bei denen ein Dienst bzw. das gesamte System zum Absturz gebracht werden kann, führen wir nur nach expliziter Einwilligung durch. Die Anzahl der zu prüfenden IP-Adressen wird auf die jeweilige Umgebung nach Bedarf angepasst. Der Service Internal Infrastructure Penetration Test umfasst im Basispaket eine Überprüfung von insgesamt bis zu 12 IP-Adressen. 5

6 Analyse von Firewalls und Servern Audit: Inspect Im Einzelnen führen wir für Sie bei diesem Service folgende Untersuchungen durch: Der Service Inspect beinhaltet eine detaillierte, manuelle Vor-Ort Überprüfung einer Firewall-Umgebung bzw. ausgewählter Server. Durch diesen Service können wir zusätzliche Schwachstellen aufdecken, die nicht unmittelbar aus dem Netzwerk sichtbar sind. Der Service Inspect ist eine ideale Ergänzung zu den Überprüfungen über das Netzwerk. Damit können auch verborgene sicherheitsrelevante Fehlkonfigurationen erkannt werden. Falls beispielsweise der externe Zugriff auf einen kritischen Server ohne ausreichende Authentisierung für einen einzelnen Client (IP- Adresse) zugelassen ist, kann dies im Rahmen eines Infrastruktur Penetrationstests nicht erkannt werden. Im Rahmen der Durchsicht des Firewall-Regelsatzes wird dieser potenzielle Zugriff dagegen erkannt. Die Betriebssystem-Härtungsüberprüfung wird auch einzeln für ausgewählte Server angeboten. Es wird ein detaillierter Bericht erstellt, der alle empfohlenen Konfigurationseinstellungen und eine Beschreibung der notwendigen Maßnahmen zur Fehlerbehebung enthält. Die Aushändigung des Berichtes erfolgt nach Vereinbarung persönlich an die vom Kunden bestimmte Kontaktperson in elektronischer oder gebundener Form. Im Basispaket umfasst dieser Service eine Überprüfung von fünf Systemen inklusive Firewall. > > Firewall-Konfigurationsanalyse und Firewall-Regelsatzanalyse, Patches, etc. (derzeit für Check Point FireWall-1; CISCO ASA, Juniper, weitere auf Anfrage) > > Firewall-Topologiebewertung > > Betriebssystem Härtungsüberprüfung (derzeit für Windows, Linux, Cisco IOS, weitere auf Anfrage) Weiterhin können wir durch eine detaillierte Konfigurationsprüfung von ausgewählten Servern Schwachstellen aufdecken, die nur für angemeldete Nutzer auf dem Server ausnutzbar sind, z.b. Privilege Escalation oder lokale Zugriffe auf sensitive Daten. 6

7 AUDITS & ASSESSMENTS Penetrationstest zur Simulation komplexer Angriffe Audit: Infiltrate Simulation interner Angreifer Dabei verbindet sich der NTT Com Security Mitarbeiter mit dem Firmennetz und versucht durch Analyse des Datenverkehrs und explizitem Ausnutzen von Schwachstellen Zugriff auf sensitive Daten zu erhalten oder Systeme komplett zu übernehmen. Social Engineering Der Service Infiltrate initiiert komplexe Angriffe möglichst realistisch. Neben der Überprüfung über das Internet betrachten wir dabei auch Hintertüren, wie Remote- Zugänge, Social Engineering sowie interne Angriffe. Bei der Absicherung des internen Netzwerkes konzentrieren sich viele Unternehmen meist auf den Internetzugang, der mittels einer mehrstufigen Firewall- Umgebung geschützt wird. Ein Einbruch in das Unternehmensnetzwerk über versteckte Modemzugänge oder illegale Zugriffe durch interne Angreifer steht oftmals nicht im direkten Fokus. Dies gilt auch für Szenarien, in denen unbefugte Dritte sich in das Unternehmen einschleichen, z.b. als Reinigungskraft oder Wartungspersonal und dort versuchen, Zugriff auf vertrauliche Daten zu bekommen. Oder in denen Mitarbeiter, persönlich oder via Telefon, zur Preisgabe von sensitiven Daten verleitet werden. Im Rahmen des Services Infiltrate, der in verschiedenen Stufen angeboten wird, betrachten wir genau diese Hintertüren. Die Angriffe werden innerhalb eines zuvor festgelegten Zeitraums unangekündigt ausgeführt und simulieren einen realen Hackerangriff. Alle gefundenen Schwachstellen versuchen wir auszunutzen, um Zugriff auf Systeme zu erlangen und Informationen zu bekommen. Dabei kann insbesondere auf Wunsch des Kunden ein vorher festgelegtes Ziel (Änderung einer Webseite, Erlangen einer Passwortdatei, Erweiterung von Rechten, Zutritt zu sensitiven Bereichen) anvisiert werden. Durch eine geschickte Vorgehensweise können vertrauliche Informationen direkt von Mitarbeitern erlangt werden, mit denen dann nachfolgend ein Zugang zum Netzwerk bzw. zu sensitiven Systemen möglich ist. Im Normalfall findet diese Informationsgewinnung über das Telefon statt. Physikalische Sicherheit Durch die Überprüfung der Zugänge zu Firmengebäuden und DV-Verteilern kann der physikalische Schutz ermittelt werden. Hierbei simuliert der NTT Com Security Mitarbeiter das Eindringen durch Unbefugte in sensitive Bereiche und bewertet den möglichen Schaden. Wardialling Zusätzlich versuchen wir über Modem und ISDN-Zugänge in das Firmennetzwerk einzudringen. Dabei werden ausgewählte Telefonnummernbereiche innerhalb der Firma auf angeschlossene Modem- / ISDN-Adapter untersucht und anschließend hinsichtlich der Stärke der Authentisierung überprüft. 7

8 Überprüfung von Funknetzwerken Audit: Wireless LAN Audit Innerhalb des NTT Com Security Service WLAN-Audit können folgende Tests durchgeführt werden: > > Insertion-Attacken > > Abfangen und unautorisiertes Monitoring des WLAN-Datenverkehrs > > Attacken auf die Verschlüsselung > > Brute Force-Angriffe auf Passwörter > > Störversuche > > Client-zu-Client-Attacken > > Reichweite des Funknetzwerkes prüfen Mit dem Service Wireless-LAN Audit können die Schwachstellen in einer produktiven a/b/g/n Wireless-LAN-Umgebung aufgespürt werden. Das Hauptproblem bei der Absicherung eines Wireless-LAN (WLAN) ist die Datenverbreitung über ein Medium, welches nicht unter der physikalischen Kontrolle des LAN-Betreibers liegt. Ein potenzieller Angreifer kann passiv und unbemerkt Daten aus einem WLAN mitlesen. Der Angreifer kann eine Funk netzwerkkarte in Verbindung mit einem Protokollanalysewerkzeug einsetzen und so die Nutzdaten aus den übertragenen Paketen herausfiltern. Diese Möglichkeit existiert zwar auch bei verkabelten Netzen, aber mit wesentlich höherem Aufwand. Die Sicherheitsüberprüfung einer WLAN- Umgebung umfasst einen Black-Box Penetrationstest der WLAN- Komponenten. Dies beinhaltet eine Prüfung der Access-Points (AP) sowie der Clients. Der Penetrationstest kann mit oder ohne Denial-of-Service-Angriffe durchgeführt werden. Um jedoch ein maximales Spektrum möglicher Verwundbarkeiten abzudecken, sollte die Durchführung des Tests mit DoS-Attacken erfolgen. Für einige dieser Tests ist u.u. ein Zugang zum internen (Funk-) Netzwerk erforderlich. Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. Im Basispaket umfasst dieser Service eine Überprüfung einer exemplarischen WLAN-Konfiguration (bestehend aus einem Access- Point / Client). Weitere zusätzliche WLAN-Konfigurationen können bei Bedarf hinzugenommen werden. 8

9 AUDITS & ASSESSMENTS Überprüfung von Voice-over-IP -Umgebungen Audit: VoIP Security Mit dem Service VoIP Security Audit können vorhandene Schwachstellen in Voice-over-IP und Videoconferencing Umgebungen identifiziert werden. Durch den Einsatz von Voice-over-IP (VoIP) innerhalb eines Unternehmens ergeben sich Bedrohungsszenarien auf verschiedenen Ebenen. Zunächst sind die klassischen Angriffsmöglichkeiten auf die Netzwerkkomponenten und Anwendungen auch hier gegeben. Durch Software- und Konfigurationsfehler der beteiligten Komponenten kann es zu Kompromittierungen und Ausfällen kommen. Darüber hinaus sind weitere VoIPspezifische Angriffe zu betrachten, die direkten Einfluss auf die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität haben. Die Verfügbarkeit des Dienstes ist im Unternehmensumfeld von großer Bedeutung. Durch eine Vielzahl von Denial-of-Service Angriffen, die in verschiedenen Varianten und für alle VoIP-Komponenten möglich sind, kann die Verfügbarkeit erheblich gefährdet werden. Ähnlich sieht es auch in Bezug auf die Vertraulichkeit aus. Die Kommunikation zwischen den VoIP-Komponenten ist in der Standardkonfiguration meist nicht ausreichend gesichert. Dies gilt einerseits für die Kontrollverbindungen (z.b.: SIP, H323, SCCP), mit denen der angerufene Teilnehmer lokalisiert und die Session zwischen den beiden Teilnehmern ausgehandelt wird. Andererseits werden auch die Gesprächsdaten selbst oft unverschlüsselt übertragen. Abhängig von der vorliegenden Umgebung sind zahlreiche weitere Bedrohungsszenarien, wie die Umleitung von Gesprächen (Verlust der Vertraulichkeit und Integrität), die Fälschung der Identität des Anrufers (Verlust der Authentizität und Integrität) oder Gebührenbetrug möglich. Im Rahmen des VoIP Security werden die grundlegenden Angriffspunkte aufgegriffen und geprüft. Der Service wird im LAN bzw. in der VoIP- Umgebung des Kunden durchgeführt und beinhaltet eine Überprüfung der VoIP-Infrastruktur, bestehend aus Telefonen, PBX und Gateways, sowie deren Kommunikationsbeziehungen. Innerhalb des NTT Com Security Service VoIP Security Audit können folgende Tests durchgeführt werden: > > Penetrationstest der VoIP- Komponenten zur Identifizierung bekannter Schwachstellen > > Identifizierung von nicht benötigten Diensten > > Topologiebewertung der VoIP- Umgebung und Identifizierung von Optimierungspotenzial > > Sicherheitsanalyse VoIP-spezifischer Konfigurationsparameter > > Analyse des Call Routings und Durchführung von Testanrufen zur Prüfung von Möglichkeiten des Gebührenbetrugs und Privilege Escalation > > Prüfung der Abhörmöglichkeiten von Telefonaten durch eine Trafficanalyse > > Prüfung der Manipulationsmöglichkeit der Telefone durch eine physische Analyse der Geräte Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 9

10 Prüfung von Windows oder Linux basierten nativen Anwendungen im Blackbox Ansatz Audit: Zero Day Application Exploiting Der Service Zero Day Application Exploiting beinhaltet eine pragmatische Prüfung von Client-Server oder Standalone-Anwendungen aus dem Windows- und Linux-Umfeld hinsichtlich möglicher Schwachstellen in der Programmierung. Wenn Unternehmen spezielle Anforderungen haben, die sich mit nativen Standardanwendungen nicht realisieren lassen, kommen Fremd- oder Eigenentwicklungen zum Einsatz. Bei der Entwicklung dieser Applikationen stehen funktionale Aspekte im Vordergrund und Sicherheitserwägungen werden häufig nicht in den Entwicklungsprozess eingebunden. Eine Gefährdung für das Unternehmen kann jedoch nur ausgeschlossen werden, wenn wir auch solche Anwendungen in die allgemeine Sicherheitsbetrachtung einbeziehen. Während der Designphase erreichen wir dies durch Quellcodeanalysen und Secure Coding Prozesse. Im Nachhinein ist dies meist nicht möglich. Hier setzt der Service Zero Day Application Exploiting an. Das Ziel der Überprüfung besteht darin, bisher unbekannte Schwachstellen innerhalb einer Applikation zu ermitteln, die eine Kompromittierung der Applikation bzw. des Systems oder der Daten ermöglichen oder zumindest erleichtern. Hierbei greift das Audit Team der NTT Com Security auf zwei Verfahren aus dem Bereich der Schwachstellenanalyse zurück, um Sicherheitslücken auch nach Fertigstellung der Software zu entdecken, bevor diese ausgenutzt werden. Beim Fuzzing-Verfahren wird mit Hilfe von geeigneter Software eine Vielzahl von zufälligen Eingaben an das System übergeben. Falls die auditierte Applikation dabei abstürzt, ist dies ein Hinweis auf eine mögliche Schwachstelle. Die bei dem Absturz verwendeten Daten helfen dem Auditor, auf effiziente Weise erste Sicherheitslücken zu identifizieren. Die Übergabe der Daten kann über das Netzwerk (Client-Server-Struktur) oder lokal über das Dateisystem erfolgen. Beim Reverse Engineering wird die ausführbare Datei analysiert, in dem der Maschinencode mit Softwareunterstützung untersucht wird. Der Vorteil liegt darin, dass auch Sicherheitsprobleme in schwer erreichbaren Programmbestandteilen erkannt werden können. Folgende Kategorien von Schwachstellen innerhalb einer Applikation können mit dem Service Zero Day Application Exploiting identifiziert werden: > > Ausführung von Schadcode durch fehlende Prüfung der Eingabeparameter, wie z.b. Buffer Overflow oder Command Injection > > Probleme bei der Authentifizierung und Authentisierung, wie das Umgehen von Login-Mechanismen oder Berechtigungskonzepten > > Unsichere Konfigurationen, die einen weiteren Angriff erleichtern > > Denial-of-Service-Angriffe, bei dem die Nutzung des Systems unterbunden werden kann > > Falsch gesetzte Berechtigungen oder andere sicherheitsrelevante Konfigurationsfehler Je nach Ausnutzbarkeit können optional für die Schwachstellen Proof-of- Concept Exploits erstellt werden. Der resultierende Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 10

11 AUDITS & ASSESSMENTS Überprüfung von Webanwendungen und Webservices Audit: Web Audit Advanced Unter anderem werden folgende wichtige Kategorien der Applikationssicherheit geprüft: >Injection-Schwachstellen, > wie SQL-, OS- oder LDAP-Injection > > Fehler in der Authentifizierung und im Session Management > > Cross-Site Scripting (Stored, Reflected und DOM-based XSS) > > Cross-Site Request Forgery (CSRF) > > Mangelhafte Prüfung von Berechtigungen > > Zugriff auf sensible Daten > > Clickjacking und UI-Redressing > > Verwendung bekanntermaßen unsicherer Komponenten und fehlerhafter Konfigurationen. Der Service Webaudit Advanced beinhaltet eine umfassende Prüfung von Webanwendungen und Webservices. Das Web hat sich als Plattform für Anwendungen und Dienstleistungen durchgesetzt. Es bietet den Vorteil standardisierter Technologien und Protokolle und ein Browser ist als Client heutzutage auf jedem PC und Smartphone bereits installiert. Neue Technologien wie HTML5 bieten eine große und stetig wachsende Funktionsvielfalt, die neue Anwendungsgebiete für Webanwendungen erschließen und viele Cloud-Anwendungen erst möglich machen. Die vielen Möglichkeiten und die hohe Komplexität heutiger Webanwendungen erhöhen jedoch auch die Angriffsfläche auf die Logik und Daten der Anwendung. Das Ziel des Service Webaudit Advanced besteht darin, Schwachstellen in der untersuchten Webanwendung auf Applikationsebene zu identifizieren. Hierzu wird die Anwendung einer manuellen Analyse unterzogen, die durch automatisierte Tools unterstützt wird. Dabei orientieren wir uns in der Vorgehensweise an anerkannten Standards wie den OWASP Top 10 Application Security Risks und erweitern diese um Prüfungen auf aktuelle oder applikationsspezifische Bedrohungen. Im Rahmen eines Webaudit Advanced können auch Web Services betrachtet werden. Es wird ein detaillierter Bericht erstellt, der alle gefundenen Schwachstellen, sowie Maßnahmen zu deren Behebung enthält. Dieser Bericht kann von Entwicklern und dem IT-Betrieb als Leitfaden für die Behebung der Schwachstellen genutzt werden. 11

12 Überprüfung von Apps für Smartphones und Tablets Audit: Mobile App Audit Typische Schwachstellen, auf die bei diesem Service geprüft wird, sind: > > Unverschlüsselte oder unauthentifizierte Kommunikation mit dem Backend. > > Offenlegung von sicherheitskritischen Applikationskomponenten über APIs wie Intents oder URL-Handler. > > Information Leakage durch Drittkomponenten, die z.b. für Werbeeinblendungen verwendet werden. > > Speicherung sensibler Daten in unsicheren Bereichen, wie z.b. SD-Karten oder außerhalb des Key Chains. > > Unsichere Nutzung von Web- Views durch Offenlegung von internen App-APIs an nicht vertrauenswürdige Webseiten. > > Fehlende Berechtigungsprüfung im Backend. > > Klassische Schwachstellen wie SQL Injection und Buffer Overflows. Mit dem Service Mobile App Audit können vorhandene Schwachstellen und Risiken von Apps für Mobile Devices identifiziert werden. Die Einsatzgebiete von Apps für mobile Geräte wie Smartphones und Tablets sind vielfältig. Viele Unternehmen entwickeln und veröffentlichen Apps, um ihren Kunden Zugang zu Informationen und Diensten von mobilen Geräten aus anzubieten. Auf der anderen Seite werden Apps auch aus den gleichen Gründen in Unternehmen eingesetzt. Wie native Anwendungen auf dem PC oder Webanwendungen, können Apps ebenfalls Schwachstellen enthalten, die sich jedoch aufgrund der Besonderheiten der jeweiligen Plattformen deutlich von den klassischen Bedrohungen unterscheiden. Angreifer können solche Schwachstellen in mobilen Apps nutzen, um Zugang zu Daten auf mobilen Geräten zu erhalten oder diese als Sprungbrett für Angriffe auf die IT-Infrastruktur des Unternehmens zu verwenden. Dabei werden die Apps in unserem Labor sowohl manuell als auch durch Tools unterstützt auf Schwachstellen hin untersucht. Hierzu wird unter anderem die Kommunikation mit dem Backend, die Datenspeicherung auf dem mobilen Gerät sowie die Interaktionsmöglichkeit mit anderen Apps geprüft. Da Apps und Backend-Komponenten oft eine Einheit bilden, erfolgt auch eine Untersuchung der Backend-Services auf Applikationsebene. Es wird ein detaillierter Bericht erstellt, der alle gefundenen Schwachstellen sowie Maßnahmen zu deren Behebung enthält. Dieser Bericht kann von Entwicklern und dem IT-Betrieb als Leitfaden für die Behebung der Schwachstellen genutzt werden. Das Ziel des Mobile App Audit besteht darin, Schwachstellen der untersuchten Apps auf Applikationsebene zu identifizieren. 12

13 AUDITS & ASSESSMENTS Analyse von Terminalservern Audit: Citrix Audit Innerhalb des NTT Com Security Service Citrix-Audit können folgende Tests durchgeführt werden: > > Nutzung von nicht freigegebenen Applikationen oder Funktionen für einen typischen Nutzer > > Ausbruch aus der vorgegebenen Umgebung > > Zugriff auf vertrauliche Daten > > Privilege Escalation > > Kompromittierung des Systems > > Prüfung des möglichen Zugriffes auf benachbarte Systeme in der DMZ bzw. im internen Netz > > Prüfung, ob Proof-of-Concept Schadcode auf das System heruntergeladen werden kann Der Service Citrix Audit beinhaltet die Prüfung einer typischen Terminalserver-Umgebung. Durch diesen Service können Schwachstellen in der Absicherung dieser zentralen Komponenten aufgedeckt werden. Für die Bereitstellung von zentralen Applikationen wird oft eine Terminalserver-Umgebung eingesetzt, über die externe Mitarbeiter und mobile Nutzer Zugriff auf ausgewählte Anwendungen und Ressourcen erhalten. Die Applikationen werden dabei entweder dediziert für einen browserbasierten Zugriff freigeschaltet oder die Benutzer bekommen einen direkten Zugang auf den Desktop. Die Gefahren, die sich aus diesen Szenarien ergeben, werden dabei häufig unterschätzt. NTT Com Security prüft, inwieweit ein typischer Nutzer einer Terminalserver Umgebung nicht freigegebene Applikationen oder Funktionalitäten nutzen kann (z.b. Internet-Zugriff, Aufruf von Systembefehlen) oder die Möglichkeit hat, das System zu kompromittieren. Sofern ein Ausbruch aus der vorgegebenen Umgebung möglich ist, wird der Zugriff auf benachbarte Systeme in der DMZ oder im internen Netz geprüft. Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 13

14 Überprüfung von Smartphones und Tablets Audit: Mobile Device Audit Mit dem Service Mobile Device Audit können vorhandene Schwachstellen auf mobilen Geräten identifiziert werden. Es ist heutzutage für moderne Unternehmen undenkbar, ohne sie auszukommen. Die Zeiten, in denen Blackberry Smartphones das Maß aller Dinge waren und zudem den mobilen Alltag sicherheitstechnisch überschaubar und kontrollierbar machten, sind längst vorbei. Heute findet man iphones, ipads, Android, Windows Phone und andere Geräte überall in Unternehmen. Der Wechsel auf diese moderneren und offeneren Plattformen birgt jedoch auch Risiken. Nicht nur die Geräte haben sich geändert, sondern auch deren Benutzung im geschäftlichen und privaten Alltag. Wurden früher noch geschäftliche von privaten Daten strikt getrennt, findet heute eher eine Vermischung statt. Zudem werden immer mehr kritische und vor allem sensible Daten auf den Plattformen gespeichert und verarbeitet. Oft ist unklar, welche Daten tatsächlich auf den Geräten gespeichert werden und wie bzw. ob diese vor unbefugtem Zugriff geschützt sind. Dem Sicherheitsverantwortlichen des Unternehmens ist dies in vielen Fällen bewusst. Doch was tun, wenn der berühmte Prophet im eigenen Land nicht zählt und alle s des Managements und vertrauliche Dokumente ungeschützt Dritten zugänglich sind? NTT Com Security bietet für diese Fälle den Service Mobile Device Audit an. Wir prüfen Ihre mobilen Geräte auf Einhaltung der üblichen Sicherheitsstandards und legen dabei offen, welche Risiken für Ihr Unternehmen bestehen. Innerhalb des NTT Com Security Service Mobile Device Audit können folgende Geräte geprüft werden: > > Apple ios (iphone / ipad) > > Android > > Windows Mobile > > Windows Phone > > BlackBerry OS Es werden im Rahmen dieses Services folgende Sicherheitsaspekte betrachtet: > > Sicherheitsrelevante Einstellungen des Mobile-OS > > Anbindung der Endgeräte an das Unternehmensnetz > > Unautorisierter Zugriff auf das Gerät > > Extrahierung von gespeicherten Daten > > Bewertung der Absicherung der Datenspeicherung > > Prüfung Ihrer speziellen Anforderungen > > Einhaltung von unternehmensspezifischen Richtlinien Der resultierende Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. 14

15 AUDITS & ASSESSMENTS Analyse von Notebook / Desktop Systemen Audit: Client Analysis Folgende Aspekte werden bei der Option Konfigurationsprüfung betrachtet: > > Grundkonfiguration des Betriebssystems > > Sicherheit des Browsers > > Manipulation von Hardware > > Manipulation von Daten oder Software > > Diebstahl des Gerätes > > Ungeordneter Benutzerwechsel > > Mobile-Security Mit dem Service Client Analysis kann die Sicherheit von Clients im Unternehmen geprüft werden. Dieser Service kann auch dazu genutzt werden, ein neues Notebook bzw. Desktop-Image vor dem Rollout intensiv auf Schwachstellen zu untersuchen. Die Prüfung eines Windows-Arbeitsplatzes dient dem Zweck, einen sicherheitstechnisch störungsfreien Betrieb zu gewährleisten und den Arbeitsplatz vor heutzutage üblichen Gefahren abzusichern. Folgende grundsätzliche Gefährdungen bzw. deren gegenüberstehende Schutzmaßnahmen werden betrachtet: > > Angriffe aus dem Netzwerk > > Manipulation durch den Benutzer > > Eindringen von Malware innerhalb von erlaubten Verbindungen (Surfen, ) Dieser Service ist zweistufig und umfasst zunächst die Konfigurationsprüfung der sicherheitsrelevanten Systemeinstellungen und Schutzmaßnahmen. Darüber hinaus kann mit der Option Einschleusen von Schadcode geprüft werden, inwieweit es aktuell möglich ist über das Unternehmensnetz Schadcode auf ein Gerät herunterzuladen und auszuführen. Die Vorgehensweise bei der Option Einschleusen von Schadcode ist wie folgt: > > Analyse des Notebooks im NTT Com Security Labor > > Einschleusen von Schadcode (Proof-of-Concept) über das Unternehmensnetz auf das Notebook, sofern möglich > > Auswertung und Dokumentation Der Bericht liefert eine detaillierte Auflistung und Erläuterung der gefundenen Schwachstellen, Vorschläge für die Änderung der Konfiguration und eine Beschreibung der Maßnahmen zur Erhöhung der Sicherheit. Im Basispaket umfasst dieser Service die Überprüfung eines exemplarischen Notebookoder Desktop-Images. Dieser Service wird auch in Form eines Stolen-Notebook Checks ohne Login Information angeboten. 15

16 Untersuchung von Sicherheitsvorfällen Audit: Forensics In der heutigen Zeit gibt es viele rechtswidrige, unbefugte oder unzulässige Handlungen, die mit Hilfe von Computersystemen ermöglicht oder erleichtert werden. Durch den Service Forensics erhalten Sie eine umfassende Analyse von Systemen, die in einen Sicherheitsvorfall involviert waren, um die Ursache zu klären und ggf. Beweise, Indizien und Spuren zu sichern. Bei einer forensischen Analyse werden die Fragen des Wer, Was, Wo, Wann, Womit und Wie behandelt. Ziel ist es, herauszufinden, welche Schwachstellen bzw. welche Methoden ausgenutzt wurden, um die unbefugten Aktivitäten durchzuführen, welcher Schaden entstanden ist und falls möglich, wer der Angreifer ist. NTT Com Security betrachtet dabei verschiedene Ausprägungen. Bei der Netzwerk-Forensik versuchen wir in der Regel den Ursprung einer Kompromittierung durch die Analyse von Log-Dateien zu ermitteln. Bei der Computer-Forensik ist es besonders wichtig, soviel Informationen wie möglich auf den involvierten Systemen zu identifizieren, zu extrahieren und zu erfassen, ohne die Originaldaten, die sich auf dem System befinden, zu verändern oder zu manipulieren. Daher erfolgt hier zunächst eine forensisch einwandfreie Beweissicherung der Daten. Im Einzelnen werden bei der Netzwerk-Forensik die Zielsysteme und ggf. vorgelagerte Komponenten untersucht, um zu ermitteln: > > Welche Schwachstellen ausgenutzt wurden > > Ob Trojaner installiert wurden > > Wo der Ursprung der Kompromittierung ist > > Ob Daten bzw. andere Systeme kompromittiert wurden > > Welche Techniken der Angreifer verwendet hat Bei der Computer-Forensik erfolgt eine manuelle Untersuchung der beteiligten Systeme, um > > Daten forensisch einwandfrei zu sichern. > > Diese nach Beweisen und Spuren zu untersuchen > > Daten wiederherzustellen, um nach Indizien zu suchen > > Ihr eigenes Vorgehen einwandfrei und lückenlos zu dokumentieren > > Schwachstellen bzw. den Ursprung einer Kompromittierung zu identifizieren > > Sicherheitsvorfälle so weit als möglich zu rekonstruieren > > Die Erkenntnisse in verwertbaren und verständlichen Berichten zusammenzufassen 16

17 AUDITS & ASSESSMENTS Prüfung des Sicherheitsbewusstseins innerhalb des Unternehmens Audit: Social Engineering Mit dem Service Social Engineering werden Einfallstore ins Unternehmen betrachtet die über die klassischen Angriffspunkte auf die IT-Infrastruktur hinausgehen Oft führt der einfachste Weg eines Angreifers ins Unternehmen über Mitarbeiter, die unbewusst Informationen preisgeben. Durch geschickt präparierte Phishing Mails kann ein Angreifer Mitarbeiter zur Preisgabe von Login-Daten und anderen sensitiven Informationen verleiten. Außerdem kann über diesen Weg Malware eingeschleust werden. Neben solchen klassischen Phishing Szenarien kann oft auch eine gezielte Ansprache von Mitarbeitern über das Telefon für einen Angreifer zum Erfolg führen. Die erforderlichen Informationen für einen solchen gezielten Angriff holt sich der Angreifer über soziale Netzwerke und andere öffentliche Quellen. falscher Identitäten, über unzureichend geschützte Hintereingänge oder auch durch ungesicherte öffentliche bzw. halböffentliche Zonen geschehen. Unabhängig davon welche dieser Social Engineering Varianten ein Angreifer wählt, können die Konsequenzen für das Unternehmen gravierend sein. Im Rahmen dieses Services wird pragmatisch aufgezeigt, inwieweit in diesen Bereichen Optimierungspotential besteht. Alle durchgeführten Tätigkeiten und Resultate werden statistisch ausgewertet und detailliert dokumentiert. Dabei wird darauf geachtet, dass keine Rückschlüsse auf einzelne Mitarbeiter gezogen werden können. Es wird ein Bericht erstellt, der ggf. organisatorische, technische und konzeptionelle Vorschläge zur Verbesserung des Sicherheitsniveaus enthält. Der Bericht enthält darüber hinaus eine Zusammenfassung der Ergebnisse in Form einer Management-Summary. Folgende Szenarien stehen zur Auswahl: > > Verdächtige s / Phishing > > Weitergabe von sensiblen Daten über Telefon > > Stillschweigen über Betriebsgeheimnisse > > Transportable Medien / Software Urheberrechte > > Zugriff auf Mitarbeiter-PC s und Mitnahme sensibler Daten > > Zugriff für unbefugte Dritte auf vertrauliche Daten von Mitarbeitern > > Preisgabe von sensiblen Daten über soziale Netzwerke > > Zutrittsschutz zum Gebäude > > Erstellung von sensitiven Fotos > > Schutz von Unternehmenseigentum Durch einen Security Audit mit Social Engineering Szenarien lässt sich das aktuelle Sicherheitsbewusstsein der Mitarbeiter Ihres Unternehmens ermitteln. Darüber hinaus ist es trotz vermeintlich ausreichender Schutzmaßnahmen in vielen Fällen möglich, dass sich externe Personen unbemerkt physischen Zutritt zu sensitiven Bereichen eines Unternehmens verschaffen. Beispielsweise kann dies durch das Vortäuschen 17

18 Sensibilisierung von Führungskräften, Mitarbeitern und Kunden Audit: Security Awareness / Live-Hacking Im Rahmen von 30- bis 90-minütigen Security Awareness Workshops bzw. Live Hacking Vorführungen wird gezeigt, wie leicht ein Angreifer auf vertrauliche Daten oder sensible Systeme zugreifen kann. Diese Proof-of-Concept Angriffe werden dabei in der Regel in einer von NTT Com Security gestellten Umgebung durchgeführt. Ein Zugriff auf Ihr LAN bzw. ein Internetzugang ist in diesem Fall nicht erforderlich. Dabei können bestehende Regelungen des Unternehmens, wie zum Beispiel der Umgang mit Passwörtern oder Wechselmedien, eingearbeitet werden. Nachfolgend werden die gemeinsam vereinbarten Inhalte der Zielgruppe im Rahmen des Workshops präsentiert. Selbstverständlich können die dargestellten Themengebiete auch in Form einer Live Hacking Präsentation im Rahmen von Kunden- oder Firmenveranstaltungen durchgeführt werden. Themenauswahl: Angriffe auf Webanwendungen > > Angriffsszenarien bei Webshops > > Cross Site Scripting > > SQL Injection > > Manipulation von Parametern > > Angriffe auf den Client > > Schutzmaßnahmen für Webanwendungen NFC-Security Die Inhalte der Security Awareness / Live Hacking Workshops können Sie nach Ihren Anforderungen auf Basis der vorhandenen Bausteine zusammenstellen. Weitere Themen sind ggf. auf Anfrage möglich. > > Auslesen von Zahlungskarten > > Umgehung von Zutrittskontrollsystemen > > Phishing Mobile Security Alternativ zu diesen Bausteinen bieten wir Workshops an, bei denen wir die Inhalte dediziert auf die individuellen Anforderungen des Kunden abstimmen. > > Aktuelle Angriffsszenarien bei Smartphones > > Zugriff auf Android und ios Geräte Zunächst erarbeiten wir dazu mit Ihnen ein Konzept für den Workshop, welches auf die Zielgruppe und deren IT-Kenntnisse abgestimmt wird. > > Auslesen von persönlichen Daten z.b. SMS, , Kontakte, Social Media Voice-over-IP Security > > Abhören von Gesprächen > > Angriffe auf VoIP-Komponenten > > Denial-of-Service Schwachstellen auf Endgeräten > > Pufferüberläufe > > Code Execution > > Privilege Escalation 18

19 AUDITS & ASSESSMENTS Quartalsweise externe Vulnerability Scans gemäß PCI DSS Audit: Quarterly PCI ASV Security Scans Das PCI (Payment Card Industry) DSS-Programm wurde von den führenden Kreditkartenorganisationen, darunter MasterCard und VISA, ins Leben gerufen, um die Sicherheit von Kreditkartendaten zu gewährleisten. Alle Händler und Service Provider, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, unterliegen diesem Standard. MasterCard verlangt die Erfüllung des Standards zusätzlich auch für alle Karten, die ein Maestro-Logo tragen, z.b. EC-Karten oder Prepaid-Karten. Das Programm definiert die Sicherheitsmechanismen, die eingesetzt und aufrechterhalten werden müssen, um die Kreditkartendaten bei einem Händler oder Service Provider zu schützen. Händler und Service Provider werden von ihrem Acquirer in verschiedene Kategorien (Level) eingestuft, die von der jeweiligen Kreditkartenorgani sation, auf Basis der Anzahl der jährlichen Transaktionen und unter Berücksichtigung von Sicherheitsvorfällen, definiert werden. Händler der Level 1, 2 und 3 sowie alle Service Provider müssen quartalsweise einen externen Vulnerability Scan durchführen lassen, durch den alle über das Internet erreichbaren Systeme hinsichtlich möglicher Schwachstellen untersucht werden. Für Händler des Level 4 wird die Durchführung der Vulnerability Scans empfohlen. NTT Com Security wurde der formelle ASV-Status (Approved Scanning Vendor) durch das PCI Security Standards Council verliehen und ist damit berechtigt, entsprechende Vulnerability Scans für ihre Kunden durchzuführen. Neben den Sicherheitslücken, die auf veralteten und unsicheren Diensten beruhen, werden auch Schwachstellen identifiziert, die auf Fehlkonfigurationen von Betriebssystemen und Anwendungen basieren und zu unbefugtem Zugang zu Komponenten in Schutzzonen oder im internen Netzwerk führen können. Im Zuge des ASV-Sicherheitsscans von NTT Com Security gewinnen Sie einen Einblick in den PCI-Compliance-Status Ihrer Organisation. Nach Abschluss des Scans erhalten Sie einen detaillierten PCI-konformen Bericht mit Empfehlungen zur Beseitigung möglicher gefundener Schwachstellen. Der resultierende Bericht enthält: > > Identifizierung von PCIrelevanten Komponenten > > Detaillierte Analyse der im untersuchten Netzwerkbereich bestehenden Sicherheitsrisiken > > Schwachstellen in Betriebssystemen > > Empfehlungen zur Schwachstellenbeseitigung > > Priorisierung der Gegenmaßnahmen > > Referenzen zu den gefundenen Schwachstellen > > Compliance-Status der Infrastruktur Gemäß den Anforderungen für ASV Scans wird, neben dem detaillierten Bericht, auch ein High- Level Bericht mit einer Zusammenfassung des Compliance Status generiert. Die Berichte werden nachfolgend gesichert an die vom Kunden definierten Ansprechpartner übermittelt. 19

20 Vor-Ort-Prüfung bei der PCI DSS Compliance Audit: Payment Card Industry (PCI) Qualified Security Auditor (QSA) Das PCI (Payment Card Industry) DSS-Programm wurde von den führenden Kreditkartenorganisationen, darunter MasterCard und VISA, ins Leben gerufen, um die Sicherheit von Kreditkartendaten zu gewährleisten. Alle Händler und Service Provider, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, unterliegen diesem Standard. MasterCard verlangt die Erfüllung des Standards zusätzlich auch für alle Karten, die ein Maestro- Logo tragen, z.b. EC-Karten oder Prepaid-Karten. Das Programm definiert die Sicherheitsmechanismen, die eingesetzt und aufrechterhalten werden müssen, um die Kreditkartendaten bei einem Händler oder Service Provider zu schützen. Händler und Service Provider werden von ihrem Acquirer in verschiedene Kategorien (Level) eingestuft, die von der jeweiligen Kreditkartenorganisation, auf Basis der Anzahl der jährlichen Transaktionen und unter Berücksichtigung von Sicherheitsvorfällen, definiert werden. Abhängig von dieser Einstufung ist entweder eine Selbstbeurteilung oder ein Audit von einem PCI QSA (Qualified Security Auditor) erforderlich. In beiden Fällen müssen die resultierenden Dokumente von einem Mitglied der Geschäftsleitung unterzeichnet werden. Für größere Händler (Level 1) sowie für die meisten Service Provider ist ein QSA Audit verpflichtend. Bei Nichterfüllung der Compliance drohen dem entsprechenden Acquirer Vertragsstrafen, die dieser dann an seine Händler und Service Provider weitergeben kann. Die NTT Com Security bietet folgende QSA Audit Services an: NTT Com Security wurde der formelle QSA-Status (Qualified Security Auditor) durch das PCI Security Standards Council verliehen und darf entsprechende für ihre Kunden durchführen. Zahlreiche unserer Kunden in den USA und Europa wurden bereits bei der Erfüllung ihrer PCI-Anforderungen durch NTT Com Security Berater unterstützt. Die Dienstleistung umfasst die Identifikation der zu prüfenden Umgebung (Scoping), die Ermittlung der noch fehlenden Schutzmaßnahmen und Dokumente (Gap-Analyse) sowie die Durchführung einer abschließenden formalen Auditierung, die beim Kunden vor Ort stattfindet. Darüber hinaus ist eine Unterstützung bei der Entwicklung von Kompensationskontrollen für Anforderungen möglich, die nicht unmittelbar erfüllt werden können. Nach der Durchführung eines QSA- erhalten Sie einen ausführlichen Bericht, der den Compliance- Status der geprüften Umgebung anhand der PCI DSS-Vorgaben dokumentiert. Die Ergebnisse werden, gemäß den spezifischen Anforderungen der zuständigen Kreditkartenorganisation, an die vorgeschriebene Stelle übermittelt. Herausforderung Für größere Händler (Level 1) ebenso für die meisten Service Provider ist ein QSA Assessment verpflichtend. Bei Nichterfüllung der Compliance drohen dem entsprechenden Acquirer Vertragsstrafen. Audit NTT Com Security wurde der formelle QSA-Status (Qualified Security Assessor) durch das PCI Security Standards Council verliehen und darf entsprechende für Kunden durchführen. Schritte > > Aufbauen und Aufrechterhalten eines sicheren Netzwerks > > Schutz der Daten von Karteninhabern > > Aufbauen und Aufrechterhalten eines wirksamen Programms zum Schwachstellenmanagement > > Implementierung starker Zugriffskontrollmaßnahmen > > Regelmäßige Überwachung und regelmäßige Auditierung von Netzwerken > > Aufrechterhalten von Richtlinien, die sich mit den Anforderungen an die Informationssicherheit und Best Practices für die Geschäftstätigkeit befassen 20

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Moderner Schutz gegen aktuelle Bedrohungen

Moderner Schutz gegen aktuelle Bedrohungen Moderner Schutz gegen aktuelle Bedrohungen Die Lösungen der PROFI AG Die Lösungen der PROFI AG Firewall Protection Content Security Data Encryption Security Services IT-Security von PROFI Sind Sie schon

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Apple iphone und ipad im Unternehmen. Ronny Sackmann ronny.sackmann@cirosec.de

Apple iphone und ipad im Unternehmen. Ronny Sackmann ronny.sackmann@cirosec.de Apple iphone und ipad im Unternehmen Ronny Sackmann ronny.sackmann@cirosec.de Agenda Einführung Bedrohungen Integrierte Schutzfunktionen Sicherheitsmaßnahmen Zentrale Verwaltungswerkzeuge Zusammenfassung

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten Tivoli Endpoint Manager für mobile Geräte Die wichtigste Aufgabe für Administratoren ist es, IT-Ressourcen und -Dienstleistungen bereitzustellen, wann und wo sie benötigt werden. Die Frage ist, wie geht

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Sicherheit bei Internet- Kreditkartentransaktionen

Sicherheit bei Internet- Kreditkartentransaktionen Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Dr. Ralf Stodt Senior Consultant Business Development, CISSP Endpoint Security & IAM www.integralis.com Absicherung

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

IT-Sicherheit: Hacking für Administratoren. Infobroschüre zum Workshop. Angriffe erkennen und Schutzmaßnahmen verstärken

IT-Sicherheit: Hacking für Administratoren. Infobroschüre zum Workshop. Angriffe erkennen und Schutzmaßnahmen verstärken IT-Sicherheit: Hacking für Administratoren Angriffe erkennen und Schutzmaßnahmen verstärken Aktualisiert für Windows 8 und Windows Server 2012 Infobroschüre zum Workshop IT-Sicherheit: Hacking für Administratoren

Mehr

Sicherheitsaspekte beim Mobile Computing

Sicherheitsaspekte beim Mobile Computing Sicherheitsaspekte beim Mobile Computing Horst Flätgen Bundesamt für Sicherheit in der Informationstechnik (BSI) Bonn, 9. Mai 2012 www.bsi.bund.de Aufbrechen der Sicherheitsstruktur durch mobile Endgeräte

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Payment Card Industry Data Security Standard (PCI DSS)

Payment Card Industry Data Security Standard (PCI DSS) Payment Card Industry Data Security Standard (PCI DSS) Verfahren für Sicherheitsscans Version 1.1 Veröffentlichung: September 2006 Inhaltsverzeichnis Zweck... 1 Einführung... 1 Umfang von PCI-Sicherheitsscans...

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

Der Weg zu einem sicheren SAP System

Der Weg zu einem sicheren SAP System Virtual Forge GmbH Der Weg zu einem sicheren SAP System Patrick Boch SAP Sicherheit Picture of Rolls Royce Oldtimer Agenda IST-Situation analysieren Sicherheitsanforderungen definieren Systemlandschaft

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall» Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Reale Angriffsszenarien Clientsysteme, Phishing & Co.

Reale Angriffsszenarien Clientsysteme, Phishing & Co. IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Clientsysteme, Phishing & Co. hans-joachim.knobloch@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Viren

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für die Firewall- und Serverinstallation SmartHome Backend und

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch Zürich, 11. Oktober 2011 Security (SWITCH-CERT) Derzeit 7 Mitarbeiter, bald 10 Unser Team erbringt Security-Dienstleistungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen. Bachelorarbeit

IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen. Bachelorarbeit IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft der

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

KASPERSKY SECURITY FOR VIRTUALIZATION 2015 KASPERSKY SECURITY FOR VIRTUALIZATION 2015 Leistung, Kosten, Sicherheit: Bessere Performance und mehr Effizienz beim Schutz von virtualisierten Umgebungen AGENDA - Virtualisierung im Rechenzentrum - Marktübersicht

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

CBT Training & Consulting GmbH

CBT Training & Consulting GmbH CBT Training & Consulting GmbH Security Awareness CHECK Die Herausforderung Die Planungen zum Kampagnenstart stellen Sicherheitsverantwortliche regelmäßig vor die gleichen Herausforderungen: 1. Messung

Mehr

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl SMARTPHONES Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl A-SIT/Smartphones iphone security analysis (Q1 2010) Blackberry security analysis (Q1 2010) Qualifizierte Signaturen und Smartphones

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

SMARTPHONE SECURITY. Sichere Integration mobiler Endgeräte

SMARTPHONE SECURITY. Sichere Integration mobiler Endgeräte Sichere Integration mobiler Endgeräte ÜBERSICHT PROFI MOBILE SERVICES.mobile PROFI Mobile Business Agenda Workshops Themen Business Case Design Business Case Zielgruppe / -markt Zielplattform BPM fachlich

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Smartphones, Pads, Apps, Socialnetworks und Co

Smartphones, Pads, Apps, Socialnetworks und Co @-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Smartphones, Pads, Apps, Socialnetworks und Co Neue Gefahren für die Informationssicherheit @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Cloud Services und Mobile Workstyle. Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix.

Cloud Services und Mobile Workstyle. Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix. Cloud Services und Mobile Workstyle Wolfgang Traunfellner, Country Manager Austria, Citrix Systems GmbH wolfgang.traunfellner@citrix.com Mobile Workstyles Den Menschen ermöglichen, wann, wo und wie sie

Mehr

IT-Security Awareness. Schulungen. info@brainsecurity.de www.brainsecurity.de Stand: September 2014. Seite 1 von 11

IT-Security Awareness. Schulungen. info@brainsecurity.de www.brainsecurity.de Stand: September 2014. Seite 1 von 11 IT-Security Awareness Schulungen Seite 1 von 11 Schulungen Langatmige PowerPoint-Vorträge gibt s woanders! Unsere Awareness-Schulungen und -Workshops werden frei nach Ihren Wünschen angepasst und beinhalten

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Rolle des Penetration Testing

Rolle des Penetration Testing Rolle des Penetration Testing Marc Ruef www.scip.ch SGRP Frühlingsveranstaltung 07.05.2013 Credit Suisse Tower, Zürich-Oerlikon Agenda Rolle des Penetration Testing Fragen SGRP Frühlingsveranstaltung 2013

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Einordnung, Zielsetzung und Klassifikation von Penetrationstests

Einordnung, Zielsetzung und Klassifikation von Penetrationstests Einordnung, Zielsetzung und Klassifikation von Penetrationstests Vortrag zur Vorlesung Sicherheit in Netzen Marco Spina 12 Jan 2005 1 Inhalt (1) Penetrationstest Definitionen Nach Bundesamt für Sicherheit

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr

CBT Training & Consulting GmbH

CBT Training & Consulting GmbH CBT Training & Consulting GmbH Social Engineering Assessments Security Awareness Kampagnen & Tools Social Engineering Assessments Industriespionage & Wirtschaftskriminalität (bis hin zum möglichen Bankrott

Mehr

Sichere Kommunikation Angriffe auf Smartphones & Laptops. Volker Schnapp Fink Secure Communication GmbH

Sichere Kommunikation Angriffe auf Smartphones & Laptops. Volker Schnapp Fink Secure Communication GmbH Sichere Kommunikation Angriffe auf Smartphones & Laptops Volker Schnapp Fink Secure Communication GmbH Agenda Entwicklungen in der Kommunikation Trends Gefahren und Angriffe Gegenmaßnahmen Internetuser

Mehr

Datenbanksicherheit Überwachung und Kontrolle. Dr. Ing. Oriana Weber 07/06/2011

Datenbanksicherheit Überwachung und Kontrolle. Dr. Ing. Oriana Weber 07/06/2011 Datenbanksicherheit Überwachung und Kontrolle Dr. Ing. Oriana Weber 07/06/2011 Agenda Leitfragen Warum sind Datenbanken attraktive Ziele? Klassifizierung von DB Sicherheitsrisiken Die Komplexität der Steuerung

Mehr

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH Postbank P.O.S. Transact GmbH (nun EVO Kartenakzeptanz GmbH) ist kürzlich von der EVO Payments International Group erworben worden Produktcharakteristik VISA und MasterCard haben unter dem Namen VISA-AIS

Mehr

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist Ein Vergleich verschiedener VPN-Technologien Seite 1 Überblick Überblick VPN Technologien SSL VPN Sicherheitsrisiken

Mehr

Profil. Alexander Dörsam. Profil Alexander Dörsam

Profil. Alexander Dörsam. Profil Alexander Dörsam Heinrichstraße 10 Tel.: +49. 6151. 428568. 0 E-Mail: sicherheit@antago.info HRB 89141 D 64283 Darmstadt Fax: +49. 6151. 428568. 1 Geschäftsführerin: Frau E-Mail. sicherheit@antago.info Silke Thielmann

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform 02 PROFI News

Mehr