Prüfung und Zertifizierung von Web-Applikationen Christian Book Informationssicherheit BTC Business Technology Consulting AG
|
|
- Meike Anna Burgstaller
- vor 6 Jahren
- Abrufe
Transkript
1 Prüfung und Zertifizierung von Web-Applikationen Christian Book Informationssicherheit BTC Business Technology Consulting AG öffentlich
2 2011 Das Jahr der Hacker Quelle: Google News 2
3 Agenda Web-Applikationen ein Risiko? TÜV-Zertifizierung ein Mehrwert! Prüfung & Zertifizierung so geht s! 3
4 Web-Applikationen ein Risiko? 4
5 Web-Applikationen ein Risiko? Daten und Fakten. über 90 % aller Seiten sind verwundbar durch Applikationsattacken Watchfire 78% der einfach anwendbaren Attacken betreffen Webanwendungen Symantec 64 % aller Entwickler sind nicht sicher, ob sie die Fähigkeit haben, sichere Anwendungen zu schreiben. Microsoft Developer Research 5
6 Web-Applikationen ein Risiko? Ziele von Angriffen auf Web-Anwendungen 6
7 TÜV-Zertifizierung ein Mehrwert! 7
8 TÜV-Zertifizierung ein Mehrwert! Prüfung und Zertifizierung hilft bei der Minimierung von Schwachstellen: bekannte Schwachstellen und Angriffspunkte wurden nachweisbar geschlossen zeigt die Wahrnehmung des Themas IT-Sicherheit bestätigt ein definiertes Sicherheitsniveau der Applikation liefert eine unabhängige Prüfung anstelle von Marketing-Aussagen schafft Vertrauen und hilft bei der Kunden-Akquise (Wettbewerbsvorteil) Zertifizierung TÜV geprüfte Web-Applikation ist eine Kooperation zwischen TÜV Hessen und BTC AG 8
9 Prüfung & Zertifizierung 9
10 Prüfung & Zertifizierung Prüfung der Web-Applikation Automatisierte und manuelle Schwachstellenanalyse für höchste Sicherheit Identifikation der Systemumgebung und Analyse der Strukturen Prüfung auf Schwachstellen in der Infrastruktur und der Applikation sicherheitsrelevante Fehler innerhalb der Applikation Möglichkeiten zum Datei-Upload (Schadsoftware etc.) Informationsabfluss Bewertung der Ergebnisse durch Auditoren Ergebnis objektive und nachvollziehbare Bewertung des Sicherheitsniveaus 10
11 Prüfung & Zertifizierung Zertifizierung TÜV geprüfte Web-Applikation Zertifikat und Prüfzeichen Bericht zum Sicherheitsniveau automatisierte & manuelle Prüfung Dokumentenprüfung 11
12 Prüfung & Zertifizierung Zertifizierung TÜV geprüfte Web-Applikation Nach der Prüfung der Web-Applikation stellt der TÜV Hessen das Zertifikat und das Prüfzeichen aus unabhängige Prüfung durch den TÜV Hessen Anforderungen an TÜV geprüfte Web- Applikation sind in einem einheitlichen Anforderungskatalog zusammengestellt 12
13 Ausblick Quelle: ZDNet 13
14 Vielen Dank für Ihre Aufmerksamkeit. BTC Business Technology Consulting Escherweg Oldenburg Tel /
15 Die Standorte der BTC AG Hauptsitz: Escherweg Oldenburg Fon: + 49 (0) 441/ Fax: + 49 (0) 441/ office-ol@btc-ag.com Luisenstraße Bad Homburg Fon: +49 (0) Fax: +49 (0) office-ol@btc-ag.com Kurfürstendamm Berlin Fon: + 49 (0) Fax: + 49 (0) office-b@btc-ag.com Mary-Somerville-Straße Bremen Fon: +49 (0) Fax: +49 (0) office-hb@btc-ag.com Wittekindstraße Dortmund Fon: +49 (0) Fax: +49 (0) office-do@btc-ag.com Bartholomäusweg Gütersloh Fon: +49 (0) Fax: +49 (0) office-gt@btc-ag.com Klostergasse Leipzig Fon: +49 (0) Fax: +49 (0) office-l@btc-ag.com Wilh.-Th.-Römheld-Str Mainz Fon: + 49 (0) Fax: + 49 (0) office-mz@btc-ag.com Türkenstraße München Fon: +49 (0) Fax: +49 (0) office-m@btc-ag.com An der Alten Ziegelei Münster Fon: +49 (0) Fax: +49 (0) office-ms@btc-ag.com Konrad-Zuse-Straße Neckarsulm Fon: +49 (0) Fax: +49 (0) office-nsu@btc-ag.com Çayiryolu 1, Partaş Center Kat: Içerenköy, Istanbul Türkei Fon: +90 (216) Fax: +90 (216) office-ist@btc-ag.com ul. Małe Garbary Poznań Polen Fon: +48 (0) Fax: +48 (0) biuro-poz@btc-ag.com Hasebe Build.11F, Sendagi, Bunkyo-Ku, Tokyo Japan Fon: +81 (3) Fax: +81 (3) Info.OSCJapan@btc-es.de Bäulerstraße 20 CH-8152 Glattbrugg Schweiz Fon: +41 (0) Fax: +41 (0) office-zh@btc-ag.com Kehrwieder Hamburg Fon: +49 (0) Fax: +49 (0) office-hh@btc-ag.com 15
16 Web-Applikationen ein Risiko? Ziele von Angriffen auf Web-Anwendungen Web Applikationen sind für Hacker höchst interessant Zugriff auf persönliche Daten, bspw. Kunden- und Kreditkarteninformationen Zugriff auf vertrauliche Informationen (z.b. in geschützten Kundenportalen) Manipulation von Inhalten zum persönlichen Vorteil Verunstaltung von Inhalten (engl. defacement ) Verteilen von Schadsoftware Ablage & Austausch von illegalen Inhalten Erpressung mittels Denial of Service Attacken 16
17 Prüfung & Zertifizierung Zertifizierung TÜV geprüfte Web-Applikation Die Prüfung der Web-Applikation umfasst Dokumentenprüfung Prüfung der Web-Applikation vollautomatisierte Prüfung der Web-Applikation manuelle Prüfung der Web-Applikation & Verifikation der gefundenen Schwachstellen Erstellung eines Berichtes zum Sicherheitsniveau der Applikation Ausstellung des Zertifikates und Ausgabe des Prüfzeichens durch den TÜV Hessen 17
Menschen beraten DOAG Integriertes Change- und Qualitätsmanagement. Stefan Willer. BTC zeigt Wege auf - Sie entscheiden
1 Menschen beraten BTC zeigt Wege auf - Sie entscheiden DOAG 2009 Integriertes Change- und Qualitätsmanagement Stefan Willer Eine kurze Eingliederung.. Die Person Das Unternehmen Das Thema 2 p Diplom Informatiker
MehrGesetzliche Änderungen in der Personalwirtschaft 2016/ Vorankündigung - Wichtige Vorabinformationen zum Jahreswechsel
Gesetzliche Änderungen in der Personalwirtschaft 2016/2017 - Vorankündigung - Wichtige Vorabinformationen zum Jahreswechsel Gesetzliche Änderungen zum Jahreswechsel Wichtige Vorabinformationen Agenda 2
MehrEEG Anlagen effektiv vermarkten Chancen für Anlagenbetreiber und Energiedienstleister BTC Energie Network Forum
EEG Anlagen effektiv vermarkten Chancen für Anlagenbetreiber und Energiedienstleister BTC Energie Network Forum 08.-09.11.2011 Dr. Ralf Walther, BTC AG, Bereich Regenerative Energie Dr. Ralf Walther Diplom
MehrWind + IT = BTC. Die Erfahrung der Offshore-Pioniere nutzen. BTC WIND 2.0 Windparks auf hoher See effizient betreiben WIND 2.0
Wind + IT = BTC Die Erfahrung der Offshore-Pioniere nutzen BTC WIND 2.0 Windparks auf hoher See effizient betreiben WIND 2.0 2 WIND 2.0 Die erste integrierte Lösung zur Betriebsführung von Offshore-Windparks
MehrRegelung konventioneller Kraftwerke vs. Offshore Windparks
Regelung konventioneller Kraftwerke vs. Offshore Windparks 1 Menschen beraten BTC zeigt Wege auf - Sie entscheiden ForWind - Vortragsreihe Regelung konventioneller Kraftwerke vs. Offshore Windparks 01.07.2010
MehrOutsourcing in Zeiten der Cloud Verdrängen Cloud-Services vollständig klassische IT- Betriebsmodelle? Eine Standortbestimmung und der Blick nach vorn.
Outsourcing in Zeiten der Cloud Verdrängen Cloud-Services vollständig klassische IT- Betriebsmodelle? Eine Standortbestimmung und der Blick nach vorn. TSO Innovation Days, Leipzig 09. Dezember 2016 Agenda
MehrTÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016
TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016 Auf allen Kontinenten zuhause. Kennzahlen 2015 Umsatz in Mio. 1.881 Auslandsanteil (in %) 50,6 EBIT
MehrISO Zertifizierung
SÜD IT AG Security & Mittelstand ISO 27001 Zertifizierung Motivation Inhalte Ablauf Aufwände Ergebnisse Dr. Stefan Krempl, ISO 27001 Lead-Auditor, Datenschutzbeauftragter krempl@sued-it.de Süd IT AG -
MehrTrust in Cloud Quo Vadis Zertifizierung. Wolfgang Schmidt, Folker Scholz. Folker Scholz. Cloud-Ecosystem Cloud-EcoSystem
Quo Vadis Zertifizierung Wolfgang Schmidt, Folker Scholz Folker Scholz 2015 2015 Cloud-EcoSystem Cloud-Ecosystem Cloud-Studie ISACA/PwC 2015 Komplexität Cloud Beschaffung DATEN- UND INFORMATIONSSICHERHEIT
MehrMarcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch
Unified Communications Security Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch 2 Geschäftseinheiten CASSARiUS Fortune Business und Informatik im Einklang. CASSARiUS
MehrNetzzustandsschätzung (state estimation) für Mittel- und Niederspannungsnetze mit hoher EEG-Einspeisung. Referent: Dr. Xin Guo, Dr.
Netzzustandsschätzung (state estimation) für Mittel- und Niederspannungsnetze mit hoher EEG-Einspeisung Referent: Dr. Xin Guo, Dr. Rajeev Jha 1 Agenda Neue Anforderungen Neues Verfahren Nutzen für Verteilnetzbetreiber
MehrIch weiß, was ich weiß: Warum sich IT-Zertifizierungen lohnen
Ich weiß, was ich weiß: Warum sich IT-Zertifizierungen lohnen Agenda Microsoft-Zertifizierungen sind oft der Schlüssel zum Erfolg eines Unternehmens und von IT-Fachleuten. Nutzen und Mehrwert von Zertifizierungen
MehrVirtuelle Kraftwerke Zentraler Infrastrukturbaustein der Energiewende für Netzstabilität und sicheren Energiehandel
Andreas Keil Virtuelle Kraftwerke Zentraler Infrastrukturbaustein der Energiewende für Netzstabilität und sicheren Energiehandel Frühstücksgespräch Berlin, 25.11.2016 Das Unternehmen Energy2market Unabhängiges
MehrPallas GmbH und Secunia präsentieren. Compliance und Nutzen eines automatisierten Patch Managements
Pallas GmbH und Secunia präsentieren Compliance und Nutzen eines automatisierten Patch Managements Software-Schwachstellen Fehler im Anwendungscode: Sicherheitsrisiken Funktionalität Eine Schwachstelle,
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
Mehrsplone Penetrationstest Leistungsübersicht
splone Penetrationstest Leistungsübersicht 3. November 2016 Penetrationstest Whoever is first in the field and awaits the coming of the enemy, will be fresh for the fight - Sun Tzu, The Art of War Jedes
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller
MehrHomeoffice als Wettbewerbsvorteil? Praxisbeispiel eines global tätigen KMU
Homeoffice als Wettbewerbsvorteil? Praxisbeispiel eines global tätigen KMU CIRCON Circle Consulting AG Kurzpräsentation Oktober 2012 Fakten CIRCON realisiert seit 1994 erfolgreich ERP Projekte und ist
MehrIT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen. Referent: Christian Bruns
IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen Referent: Christian Bruns 1 Agenda Motivation & Cyber Threats Status-quo IT-Sicherheitsgesetz & IT-Sicherheitskatalog
MehrSimple Finance Was bietet SAP HANA im Rechnungswesen? Referent: Robin Schneider
Simple Finance Was bietet SAP HANA im Rechnungswesen? Referent: Robin Schneider Agenda S/4 HANA SAP Simple Finance SAP Accounting SAP Cash Management Integrated Business Planning Ausblick / Fragerunde
MehrNeue Wege in der Datendistribution am Beispiel Maschinenbau. Till Pleyer Leiter Marketing PROCAD (Schweiz) AG
Neue Wege in der Datendistribution am Beispiel Maschinenbau Till Pleyer Leiter Marketing PROCAD (Schweiz) AG Ziel des Vortrags Sie erfahren heute Warum ein traditioneller PLM-Softwarehersteller plötzlich
MehrUNTERNEHMENS- PRÄSENTATION
Today Tomorrow And Forever UNTERNEHMENS- PRÄSENTATION Übersicht TTAF ist ein weltweit agierender Hersteller von Leitungsprodukten und Kabelkonfektionen Wir sind in fünf Sektoren vertreten: Einzelhandel
MehrCyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen
Cyber Security 4.0 Aktuelle Angriffs- Methoden & Gegenmaßnahmen Michael Hochenrieder Senior Information Security Consultant HvS-Consulting AG Einige prominente Fälle Restricted: for project use only 2
MehrMobile Business Solutions
Mobile Business Solutions Die erfolgreiche Integration von Tablets im Vertrieb bei Bosch Packaging Technology München, 07. November 2013 Agenda 1. Einleitung und Möglichkeiten 2. Live-Präsentation - Bosch
MehrBrandschutzbeauftragter (TÜV )
TÜV NORD Akademie Personenzertifizierung Merkblatt IT-Grundschutzexperte (TÜV ) Zertifizierungsprogramm: Merkblatt Brandschutzbeauftragter (TÜV ) Merkblatt IT-Grundschutzexperte (TÜV ) Anforderungen an
MehrSem.- Nr. Titel (Zeile 1) Titel (Zeile 2) Ort Beginn Ende
Seminare. Bei Teilnahme an einer der im Folgenden aufgeführten Termine erhalten BvD Mitglieder einen Preisnachlass von 10%. Information und Anmeldung bei: TÜV Rheinland Akademie GmbH Frau Sandra Fahling
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrDigitalisierung für Sie weiter gedacht.
Digitalisierung für Sie weiter gedacht. Webinare und Events für die Industrie & Dienstleister Entdecken Sie mit uns Ihr digitales Potenzial und mehr JANUAR APRIL 2017 Wir beraten Sie entlang Ihrer Wertschöpfungskette...
MehrSecurity Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de
Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information
MehrPenetrationstest Extern Leistungsbeschreibung
Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung
MehrPenetrationstest Intern Leistungsbeschreibung
Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung
MehrDie Grundlage für Ihre IT- Sicherheit. BSI ISO IT-Notfallplanung
Die Grundlage für Ihre IT- Sicherheit BSI 101-104 ISO 27001 IT-Notfallplanung CONTECHNET Der deutsche Spezialist für prozessorientierte Notfallplanung Unser Leitbild: Dynamische und komplexe Strukturen
MehrIT Sicherheit im Zeitalter von Web 2.0
IT Sicherheit im Zeitalter von Web 2.0 8. September 2009, Schloss Vollrads Giegerich / Schülke / Hiepler Haben Sie Ihre Hausaufgaben bezüglich IT Sicherheit bislang ordentlich gemacht? 84% der Mitarbeiter
MehrICT-Anleitung: Office 365 Education OneDrive (for Business)
Kanton St.Gallen Bildungsdepartement Kantonsschule am Burggraben St.Gallen Untergymnasium, Gymnasium ICT-Anleitung: Office 365 Education OneDrive (for Business) 1. Was ist OneDrive (for Business)? OneDrive
MehrSecurity in Zeiten von Internet der Dinge. Udo Schneider Security Evangelist DACH
Security in Zeiten von Internet der Dinge Udo Schneider Security Evangelist DACH Trend Micro Unsere Aktivitäten Unsere Methoden Unser Profil Anerkannter weltweit führender Anbieter von Server-, Cloudund
MehrFirst Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG
First Climate AG IT Consulting und Support Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG - INFORMATION SECURITY MANAGEMENT MAIKO SPANO IT MANAGER CERTIFIED ISO/IEC
MehrBedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann
Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service
MehrBetriebliche Sozialberatung
Betriebliche Sozialberatung Zur Stärkung der individuellen Lösungskompetenz bei psychosozialen Themen wird den Beschäftigten im Bertelsmann-Konzern deutschlandweit, teilweise in Kooperation mit externen
Mehrahd hellweg data GmbH & Co. KG
1 Unternehmenspräsentation ahd hellweg data GmbH & Co. KG ahd hellweg data GmbH & Co. KG 20.01.2016 2 Agenda Wer wir sind Zahlen, Daten, Fakten Portfolio Referenzen 3 Ihre IT-Spezialisten vor Ort Die ahd
MehrC R I S A M im Vergleich
C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799
MehrQSC - tengo: ALLES IN MEINER HAND
Cloud Services QSC - tengo: ALLES IN MEINER HAND Cloud Services immer und überall WAS IST QSC - tengo? QSC -tengo ist ein Cloud Service mit allem, was Sie sich wünschen: Ein virtueller Arbeitsplatz aus
MehrWir schaffen Vertrauen
Wir schaffen Vertrauen Ihre IT-Sicherheit und -Qualität Unabhängig geprüft Security4Safety Cyber Security Automotive Security Critical Infrastructure Mobile Security eldas Data Privacy Data Center Security
MehrBSI-Grundschutztag Einführung von Windows 8 in der Praxis
BSI-Grundschutztag Einführung von Windows 8 in der Praxis 03. Februar 2015 Matthias Marx arvato Systems GmbH 1 Matthias Marx arvato Solution Group IT BSI 23. Januar 2015 Agenda 1. arvato Systems 2. Bedarfsanforderungen
MehrInformationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de
Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0
Mehrit-sa 2015 Toolgestützte Prüfung des SAP Berechtigungskonzepts Autor: Sebastian Schreiber IBS Schreiber GmbH
it-sa 2015 Toolgestützte Prüfung des SAP Berechtigungskonzepts Autor: Sebastian Schreiber IBS Schreiber GmbH 1 www.ibs-schreiber.de it-sa 2015 Agenda Portfolio IBS Schreiber GmbH Funktionsprinzip CheckAud
MehrDie Bedeutung Virtueller Kraftwerke für eine erfolgreiche Energiewende
Andreas Keil Die Bedeutung Virtueller Kraftwerke für eine erfolgreiche Energiewende 10 Jahre Expertentreffen / Netzwerk Energie und Umwelt Leipzig, 05.12.2016 Das Unternehmen Energy2market Unabhängiges
MehrWeb Application Security
Web Application Security WS 14/15 Sebastian Vogl, Christian von Pentz Lehrstuhl für Sicherheit in der Informatik / I20 Prof. Dr. Claudia Eckert Technische Universität München 07.10.2014 S. Vogl, C. von
MehrComplete User Protection
Complete User Protection Oliver Truetsch-Toksoy Regional Account Manager Trend Micro Gegründet vor 26 Jahren, Billion $ Security Software Pure-Play Hauptsitz in Japan Tokyo Exchange Nikkei Index, Symbol
Mehrsplone SCADA Audit Leistungsübersicht
splone SCADA Audit Leistungsübersicht 3. November 2016 SCADA Audit To ensure that your whole host may withstand the brunt of the enemy s attack and remain unshaken - this is effected by maneuvers direct
MehrAktuelle Herausforderungen der IT-Sicherheit Von Ransomware bis Industrie 4.0
Nils Gruschka Meiko Jensen Fachhochschule Kiel NUBIT 2017 27. Januar 2017 Aktuelle Herausforderungen der IT-Sicherheit Von Ransomware bis Industrie 4.0 Agenda Vorstellung Malware Ransomware Botnets Sicherheit
MehrSecurity 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)
Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM) Manuela Martin, Telekom Competence Center Security & IT Solutions Warum Security 2.0? Cloud + SaaS + Big Data
MehrINFINIGATE. - Managed Security Services -
INFINIGATE - Managed Security Services - Michael Dudli, Teamleader Security Engineering, Infinigate Christoph Barreith, Senior Security Engineering, Infinigate Agenda Was ist Managed Security Services?
Mehr