SAP Netweaver Sicherheit

Größe: px
Ab Seite anzeigen:

Download "SAP Netweaver Sicherheit"

Transkript

1 Secaron Business-Paper SAP Netweaver Sicherheit Hinweis: Veröffentlichungen, auch in Teilen, sind nur zulässig nach vorangehender Genehmigung durch die Secaron AG oder eines Bevollmächtigten. Secaron AG, Juli 2006 von Andreas Baus Secaron AG Ludwigstr. 45 D Hallbergmoos Tel Fax

2 Zusammenfassung Die SAP NetWeaver Plattform bietet eine zukunftssichere Basis für Geschäftsanwendungen und vereint die Möglichkeiten von R/3 mit denen eines Java Enterprise Systems. Die hohe Flexibilität bedingt jedoch eine dementsprechende Komplexität und die Behandlung von Sicherheitsrisiken des Gesamtsystems wird zur Herausforderung für jeden Betreiber. Das vorliegende Business-Paper zeigt Sicherheitsmaßnahmen und Best Practices beispielhaft in verschiedenen Bereichen für typische SAP NetWeaver Umgebungen. Inhalt Seite Einleitung 3 Betriebsrisiko 4 Schutzmaßnahmen 6 2

3 1 Einleitung Die Firma SAP ist mit ihren Produkten nach wie vor der unangefochtene Marktführer in den Bereichen Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), sowie Supply Chain Management (SCM) und baut diesen Marktvorsprung durch die sukzessive Ergänzung um neue Technologien weiter aus. Konzerne und Mittelstand nutzen die SAP NetWeaver Plattform zur Integration und Verarbeitung von verschiedensten, teilweise geschäftskritischen Informationen. Diese Basis für Geschäftsanwendungen vereint die Möglichkeiten von R/3 mit einer zukunftssicheren Java Enterprise Infrastruktur als Integrationsplattform auch für nicht-sap Anwendungen. Diese Flexibilität muss jedoch mit einer entsprechend hohen Komplexität des Gesamtsystems bezahlt werden. Ein wirksames Sicherheitskonzept für aktuelle SAP Systeme kann nur mit Know-How in allen betroffenen Bereichen aufgebaut werden. Dies reicht von der Ebene der Geschäftsprozesse über die Anwendungen, die SAP Basis in ABAP und Java Stack, Betriebsystem, Datenbank und Infrastruktur bis hin zu Vorgaben für eine sichere Entwicklung. Im Rahmen dieses Business-Papers werden Sicherheitsmaßnahmen und Best Practices beispielhaft in verschiedenen Bereichen für typische SAP NetWeaver Umgebungen aufgezeigt. Der Umsetzungsgrad einiger Maßnahmen kann auch leicht ohne besondere Werkzeuge geprüft werden. Hierzu werden an einigen Stellen im Dokument Hinweise gegeben, wie die entsprechende Systemeinstellung in einem eigenen System mit Hilfe von Windows und SAP GUI selbst überprüft werden kann. 3

4 2 Betriebsrisiko Das Risiko, welches der Verantwortliche bzw. die Firma durch den Betrieb eines SAP Net- Weaver Systems trägt, bestimmt sich aus dem möglichen Schaden und der Eintrittswahrscheinlichkeit. Der mögliche Schaden hängt im Wesentlichen von den verarbeiteten Daten ab. Zusammen mit den Geschäftsprozessen bestimmen diese den Schutzbedarf des Systems in Form des maximalen Schadens, der bei Verletzung eines Schutzzieles eintreten kann. Aus Sicht der Datenverantwortlichen sollte der nominelle Schutzbedarf eines Systems in verschiedenen Bereichen (Schutzziele) bestimmt werden: Ein System ist Bestandteil wichtiger Geschäftsprozesse und muss den Anforderungen an die Verfügbarkeit dieser Prozesse genügen. Wichtig ist hierbei zu bestimmen, welcher Schaden nach einer definierten Zeitspanne eintritt und somit, wie hoch die maximal mögliche Ausfallzeit des Systems ist. Das System verarbeitet belegsrelevante Daten, deren Integrität im firmeneigenen Interesse und zur Wahrung gesetzlicher Vorschriften zu jedem Zeitpunkt sichergestellt sein muss. Hier sollten neben dem möglichen Schaden auch die potentiellen rechtlichen Konsequenzen mit einbezogen werden. Auf dem System werden Informationen gespeichert oder verarbeitet, die vertraulich behandelt werden müssen. Im Falle eines Bruchs der Vertraulichkeit kann beispielsweise die Marktposition gegenüber Kunden der Konkurrenz beeinträchtigt werden. Im Einzelfall können noch weitere Schutzziele, z.b. aufgrund gesetzlicher Anforderungen für einen bestimmten Industriezweig zu erfüllen sein. Bei der Wahl der möglichen Stufen für den Schutzbedarf ist weniger oft mehr. Für den wirtschaftlichen Betrieb eines SAP Systems sollte in jedem Fall eine vollständige Bestimmung der Schutzziele und des einzelnen Schutzbedarfs für jedes dieser Ziele erfolgen. Im Laufe der Lebenszeit des Systems sollte diese Analyse gepflegt werden um dann, genau wie das System selbst, zu reifen und an Genauigkeit zu gewinnen. Mit Hilfe der Schutzbedarfsanalyse können Bedrohungen für diese Schutzziele identifiziert werden. Hilfreich in der Bestimmung von Bedrohungen und dem daraus möglichen Schaden können fiktive Schadensszenarien sein, die gegebenenfalls mit Erfahrungswerten belegt werden. Die Bedrohungen für Dienste und Daten eines SAP Systems können verschieden klassifiziert werden. Technisches Versagen oder Umwelteinflüsse wie Feuer können primär die Verfügbarkeit der Dienste beeinträchtigen. Auch organisatorische Mängel und menschliche Fehler können negativ auf dieses Schutzziel einwirken. 4

5 Vorsätzliche Handlungen durch einen frustrierten Mitarbeiter oder einen externen Angreifer können ebenfalls eine Beeinträchtigung der Verfügbarkeit zum Ziel haben. Eher ist hier jedoch mit einem gezielten Bruch der Vertraulichkeit oder der Integrität von Daten zu rechnen. Naturgemäß sind Auswirkungen solcher Angriffe meist nicht offensichtlich und diese somit ungleich schwieriger zu bekämpfen. Dies liegt einerseits daran, dass der Ausfall eines wichtigen Dienstes schnell durch Anwender oder Administratoren bemerkt wird. Eine Inkonsistenz im Datenbestand fällt jedoch unter Umständen erst nach Wochen oder Monaten auf. Ein Datendiebstahl kann ohne spezielle Schutzmaßnahmen sogar vollständig unerkannt bleiben, da selbst die Auswirkungen, wie beispielsweise eine verlorene Ausschreibung, für den Betroffenen oft im Verborgenen bleiben. Beispiel SAP Enterprise Portal Anwendung im Internet und firmeneigenen Intranet mit Zugriff auf Kundenstammdaten. Schutzziel: Vertraulichkeit; Bewertung: hoher Schutzbedarf Im SAP System werden Kundendaten und Kreditkarteninformationen gespeichert. Ein Bruch der Vertraulichkeit dieser Daten bedeutet einen massiven Image- und Vertrauensverlust auf dem Markt. Zusätzlich drohen Vertragsstrafen und der Verlust der Zertifizierung durch den Kreditkartenanbieter. Weiter fordert das Bundesdatenschutzgesetz angemessene Schutzmaßnahmen zum Schutz von personenbezogenen Daten. Mögliche Bedrohungen für dieses Schutzziel: o Unauthorisierter Zugriff auf den Datenbestand aus dem Internet: Ein externer Angreifer versucht gezielt an die Kreditkarteninformationen der Kunden zu gelangen. o Missbrauch von Zugriffsberechtigungen durch authorisierte Benutzer. Ein Mitarbeiter eines Dienstleistungsunternehmens kopiert Kundendaten aus einem Backup und verkauft diese an Dritte. Um die Eintrittswahrscheinlichkeit für die identifizierten Schadensszenarien schätzen zu können, werden nun potentielle Schwachstellen im SAP System, der Anwendungen oder deren Infrastruktur wie z.b. dem Betriebssystem identifiziert. Bei Schwachstellen kann zwischen bekannten und unbekannten Schwachstellen unterschieden werden. Um die Präsenz von Schwachstellen beider Kategorien in einem System wirksam zu verringern, wird generell das Minimalprinzip angewendet. Dies fordert, dass nur für den Geschäftsprozess und Betrieb notwendige Dienste oder Anwendungen auf dem System zur Verfügung stehen. 5

6 3 Schutzmaßnahmen Vielen Risiken im Zusammenhang mit SAP Systemen kann bereits durch einfache Maßnahmen ohne zusätzliche Hard- oder Software wirksam begegnet werden. Betrieb Insbesondere für Maßnahmen, die den Betrieb der SAP Systeme betreffen, sollten vorab die konkreten Bedrohungen identifiziert werden. So kann es beispielsweise notwendig sein für ein SAP System, welches auf Applikationsebene durch einen Outsourcing-Partner betrieben wird, zusätzliche organisatorische oder auch technische Maßnahmen umzusetzen. Bei diesem Beispiel könnte die organisatorische Maßnahme in einer Berücksichtigung im entsprechenden Service-Level-Agreement (SLA) bestehen und auf technischer Ebene mit einer Protokollierung durch das SAP Audit System berücksichtigt werden. 1 Die Projekterfahrung zeigt, dass dieser Punkt meist nicht ausreichend berücksichtigt wird und dann im Rahmen von Audits beanstandet wird und deutliche Mehrkosten generiert. Netzwerk-Zonierung Um die Angriffsfläche, die ein SAP Web Application Server (SAP WebAS) bietet, kontrollieren zu können, ist eine Zonierung auf Netzwerkebene notwendig. Datenbank und Zentralinstanz bilden das Backend und sollten ausschließlich für administrative Benutzer erreichbar sein. Je nach Größe der Installation bieten dann dedizierte Applikationsserver (Java) bzw. Dialoginstanzen (ABAP) den Zugangspunkt für Endbenutzer oder Partnersysteme, die nicht unter eigner Kontrolle stehen. Bei umfangreichen Installationen empfiehlt sich außerdem der zusätzliche Einsatz von Applikationsproxies. Bei Zugang mit SAP GUI kann dies z.b. der SAP Router sein. Generell sollte jedoch das Netzwerkdesign sicherstellen, dass der Zugriff auf Dienste eines SAP Systems nur den jeweiligen Nutzern möglich ist. Der Zugriff für nicht berechtigte Dritte sollte bereits auf Netzwerkebene verhindert werden. Das für SAP GUI verwendete SAP Protokoll "DIAG" bietet nur einen Minimalschutz gegen einfache Mithör-Attacken, da nur eine Komprimierung des Datenstroms stattfindet. Bei SAP Systemen mit mittlerem oder hohem Schutzbedarf in Bezug auf Vertraulichkeit oder Integrität sollte jedoch unbedingt eine Verschlüsselung mittels SNC (Secure Network Communication bei SAP GUI und RFC Zugriff) bzw. SSL (bei Zugriff über den Webbrowser) erfolgen. Auch die B2A Anbindung mittels Business Connector (BC), z.b. via Elster an die Finanzämter, sollte im Zonierungskonzept berücksichtigt werden. Da der BC mit fremden Systemen kommuniziert, ist dieser am Besten innerhalb einer DMZ aufgehoben. Eingehende Kom- 1 Weitere Informationen zu diesem Thema finden Sie auch im Secaron Whitepaper "IT-Sicherheit in Service Level Agreements". 6

7 munikationsverbindungen des BC sollten durch geeignete Applikationsproxies zusätzlich abgesichert werden. Auch hier ist in Projekten immer wieder festzustellen, dass auf die Zonierung verzichtet wird, weil zum Teil die Schutzziele nicht ausreichend klar herausgearbeitet wurden oder die Erweiterungen der Systemanbindungen in Folgeprojekten unterschätzt werden. Man hört dann meist von historisch gewachsenen Systemen, die nicht mehr angefasst werden, weil das Risiko für eine Beeinträchtigung der Verfügbarkeit zu hoch erscheint. Basis für eine SAP Installation sollte immer eine gehärtete Betriebssysteminstallation sein. Unabhängig vom verwendeten Betriebssystem sollten hierbei die folgenden Ziele erreicht werden: Minimalinstallation Oft sind nach Standardinstallationen auch Dienste wie Telnet oder FTP aktiv. Diese sollten unbedingt deaktiviert werden um Angriffe auf Netzwerkebene nicht unnötig zu erleichtern. Generell ist es empfehlenswert vor der Installation eines produktiven SAP Systems eine Liste der benötigten Softwarepakete zu erstellen und andere Pakete bei der Installation abzuwählen. Diese Auswahl sollte sorgfältig durchgeführt werden, da hiermit die notwendig Deaktivierung oder sichere Konfiguration von Diensten und Programmen minimiert werden kann. Bei einem Audit oder Penetrationstest kann man in der Praxis immer wieder feststellen, dass die Minimalinstallation als grundlegende Maßnahme nicht umgesetzt wird. Konfiguration Im nächsten Schritt sollte die Konfiguration von Programmen und Netzwerkdiensten ü- berprüft werden, die für den Betrieb des Systems notwendig sind. Insbesondere die Konfiguration von Diensten, die über das Netzwerk erreichbar sind (z.b. Backup- oder Monitoring-Agenten) sollte dahingehend geprüft werden, dass nur notwendige Systeme mit dem Dienst kommunizieren können (z.b. über eine dedizierte Management oder Backup Netzwerkschnittstelle). Wenn dies auf Dienstebene nicht möglich ist, kann ersatzweise hierfür auch die Firewall-Funktionalität des Betriebsystems verwendet werden. Weiterhin gehören zu einer sicheren Konfiguration auf Betriebssystemebene die Umsetzung einer wirksamen Passwort-Policy und auch die Verwendung von personalisierten Benutzeraccounts für alle Administratoren. In der Praxis mangelt es an der Verwendung von personalisierten Accounts. Dies gilt insbesondere für Administratoren, meist wegen einer fehlenden zentralen Benutzerverwaltung. Die Verwaltung der Benutzer wird auf dieser Ebene somit umständlich und inkonsistent. Die Folge sind Passwörter, die mehreren Administratoren bekannt sind, und eine sinkende Qualität der Passwörter. Zudem wird oft vermieden, das Passwort regelmäßig zu 7

8 ändern, um die Verfügbarkeit des Zugangs zu gewährleisten. Ein mögliches Lösungsszenario ist die Verwendung von Public Key Verfahren für die Benutzerauthentisierung. Administrationszugänge Für die Administration von SAP Systemen sollten nur dedizierte oder verschlüsselte Kanäle wie z.b. unter UNIX/LINUX die Secure Shell (SSH) verwendet werden. Das im Windows Umfeld oft verwendete Remote Desktop Protokoll (RDP), welches im Windows Server seit Version 2000 standardmäßig integriert ist, sollte jedoch nur mit aktiviertem TLS Protokoll verwendet werden. Die Aktivierung dieses Protokolls bedingt die Verwendung von Zertifikaten für die Authentisierung und ist im Microsoft TechNet ausführlich beschrieben. Sicherheitsprobleme im Standardprotokoll RDP lassen sich sonst mit einfachsten Mitteln zum Ausspähen von Kennworten verwenden. Die Administrationszugänge zu den Betriebssystemen sollten durch geeignete Authentisierungsverfahren geschützt werden. Bei Systemen mit mittlerem und hohem Schutzbedarf empfiehlt sich der Einsatz von starker Authentisierung (z.b. mittels Hardware Token oder Smartcard). Aufgrund der flexiblen Authentisierungsschnittstellen sind entsprechende Verfahren in allen SAP Systemplattformen integrierbar. Patchmanagement Zum Installationszeitpunkt sollte sichergestellt werden, dass die aktuelle Version der jeweiligen Betriebssystem/Software-Komponenten installiert wird, um bekannte und bereits behobene Schwachstellen gar nicht erst einzuführen. Im Laufe der Lebenszeit des Systems muss dann mit Hilfe eines Patchmanagement-Prozesses die Aktualität dieser Komponenten ebenso sichergestellt werden wie bei SAP Anwendungskomponenten. Eine solide Betriebssystemkonfiguration stellt die Basis für jedes Berechtigungskonzept innerhalb eines SAP Systems dar. Häufig werden viele Arbeitsstunden in die Erstellung eines umfassenden Berechtigungskonzeptes auf SAP Anwendungsebene investiert. Bei einem Audit des SAP Systems durch einen Wirtschaftsprüfer wird dies dann in Form von positiven Auditresultaten bestätigt, da oft nur auf dieser Ebene geprüft wird. Ein Angreifer wird jedoch nicht den gut gesicherten Haupteingang als Ziel wählen, wenn die Terrassentüre weit offen steht. Denn wenn er Zugriff auf Betriebssystem- oder Datenbankebene erlangen kann, ist es möglich, einen eigenen hoch privilegierten Benutzer im SAP System über diesen Weg zu aktivieren und somit das teure Berechtigungskonzept vollständig zu umgehen. Datenbank Genau wie die Absicherung des Betriebssystems ist auch die Sicherung der Datenbank essentiell, um ein Berechtigungskonzept auf Anwendungsebene zu untermauern. Für die Datenbank eines SAP Systems sollten somit die folgenden Spielregeln beachtet werden: 8

9 Die Datenbankinstanz sollte einzig und allein dem jeweiligen SAP System zur Verfügung stehen. Das bedeutet, dass außer zu Betriebszwecken (z.b. Backup oder Monitoring) keine Zugriffe auf die Datenbank am SAP System vorbei erfolgen dürfen. Das Datenbanksystem sollte auf Netzwerkebene ausschließlich mit dem jeweiligen SAP System kommunizieren. Ein direkter Verbindungsaufbau eines Angreifers zur Datenbank wird also bereits durch die richtige Netzwerkzonierung vereitelt. Zusätzlich sollten auch auf Datenbankebene die berechtigten Verbindungspartner (z.b. IP Adresse des SAP Systems) angegeben werden. Bei Oracle ist dies beispielsweise in der Datenbank Konfiguration mit den Einträgen "tcp.validnode_checking" und " tcp.invited_nodes" möglich. Die Benutzer auf Datenbankebene sollten ebenfalls abgesichert werden. D.h. es dürfen keine Benutzer mit Standardpasswörtern vorhanden sein und Datenbankadministratoren sollten nach Möglichkeit keinen Zugriff auf die SAP Tabellen besitzen. Ausnahme kann hier ein entsprechender Benutzer für den Notfall sein, dessen Kennwort sicher (z.b. beim Verantwortlichen für das SAP System) hinterlegt ist. Das Passwort für den Datenbankbenutzer der SAP Instanz sollte ausreichend komplex und nicht durch eine Wörterbuchattacke zu erraten sein. Wie bereits im vorangegangenen Abschnitt erläutert, sollte der Konfiguration des Datenbanksystems dieselbe Aufmerksamkeit zuteil werden, wie dem Berechtigungskonzept auf SAP Anwendungsebene. Nur durch ausgewogene und angemessene Maßnahmen auf allen Ebenen eines SAP Systems lässt sich die Gesamtsicherheit tatsächlich verbessern. Die Härtung der SAP Komponenten sollte denselben Prinzipien, wie die Betriebsystemhärtung Rechnung tragen. Exemplarisch werden im Folgenden geeignete Maßnahmen für die Härtung eines SAP Web Appliaction Server (Web AS) vorgestellt. Diese adressieren sowohl die Absicherung der ABAP, als auch der Java spezifischen Teile. Beispiel Bei der Installation des SAP Web AS werden standardmäßig Komponenten mitinstalliert, die nicht in jeder Umgebung benötigt werden und ein Sicherheitsrisiko darstellen. Beispielsweise wird der Internet Graphics Server (IGS) nur in bestimmten Szenarien benötigt und sollte auch nur dann installiert bzw. gestartet werden. Da verschiedene SAP Dienste (wie der IGS) bereits eine einschlägige Sicherheitshistorie in Form von über Netzwerk nutzbaren Schwachstellen haben, ist die Einschränkung auf benötigte Dienste besonders wichtig. Für die sichere Konfiguration eines SAP Web AS muss an verschiedenen Fronten Hand angelegt werden. Ein Großteil der Konfiguration ist mit Hilfe von Profilparametern möglich, die im ABAP Stack mit Hilfe der Transaktion RZ11 gepflegt werden. In der Transakti- 9

10 on kann weiterhin eine ausführliche Hilfe zu den Parametern aufgerufen werden. Im Folgenden sind beispielhaft sicherheitsrelevante Parametergruppen mit ihrem jeweiligen Zweck aufgeführt: login/*password* Die Vorgaben für die Stärke von Kennwörtern im ABAP Stack erfolgt mit den Parametern dieser Gruppe. Hier sollte sichergestellt werden, dass die Werte eine ausreichende Passwortkomplexität vorschreiben (z.b. Mindestlänge 8 Zeichen, mindestens eine Zahl und ein Sonderzeichen). icm/* Die Einstellungen für den Internet Communication Manager (ICM) beeinflussen das Verhalten des Web AS in Bezug auf HTTP, HTTPS oder auch SMTP Verbindungen. Es wird festgelegt, auf welchen Netzwerkports das System auf Verbindungen wartet und wie gesprächig sich das System in Bezug auf Fehler zeigt. Für Produktionssysteme (insbesondere mit direkter oder indirekter Verbindung zu einem Fremdnetz) sollte sichergestellt werden, dass die webbasierte Administration des ICM nur aus vertrauenswürdigen Netzen möglich ist. Weiterhin sollten keine detaillierten Fehlerinformationen des ICM ausgegeben werden. auth/* In dieser Parametergruppe wird unter anderem das Verhalten des Systems bei der Prüfung von Berechtigungsobjekten festgelegt. Um das Berechtigungskonzept in Produktivsystemen nicht zu untergraben, sollte hier eingestellt werden, dass keine Deaktivierung von Berechtigungsobjekten möglich ist und auch für Remote Function Call (RFC) Aufrufe eine Berechtigungsprüfung stattfindet. Der aktuelle Zustand der Profilparameter auf einem System kann mit Hilfe des Reports RSPARAM über die Transaktion SA38 mit der SAP Gui aufgerufen werden. Die Inhalte der sicherheitsrelevanten Parameter in diesem Report sollten in regelmäßigen Abständen (z.b. vierteljährlich) oder nach Änderungen im Basissystem auf Veränderung geprüft werden. Somit kann rechtzeitig festgestellt werden, wenn Parameter z.b. zur Fehlersuche in einer unsicheren Einstellung belassen wurden. Je nachdem, ob das SAP System auch webbasierte Dienste bereitstellt, sollten diese Dienste nun weiter gehärtet werden. Stellt beispielsweise der Internet Communication Manager (ICM) einen Zugang zu Web-Diensten des ABAP Stacks (das Internet Communication Frameworks) bereit, so sollte nun dieser Teil so konfiguriert werden, dass nur benötigte Dienste aufrufbar sind. Anderenfalls kann ein Angreifer über diesen Weg nähere Informationen über das System ermitteln oder Schwachstellen in Programmen (z.b. Programmierbeispielen) ausnutzen, obwohl diese für den Betrieb nicht notwendig sind. 10

11 Das Internet Communication Frameworks (ICF) kann mit Hilfe der Transaktion SICF konfiguriert werden. Hier sollte sichergestellt werden, dass in der Verzeichnishierarchie der einzelnen virtuellen Server nur die Dienste aktiviert sind, die tatsächlich benötigt werden. Dies wird bei einer Installation mit aktuellen WebAS Quellen (Version 6.40, Service Release 1) bereits standardmäßig so konfiguriert. In älteren Systemen sollte dies jedoch in jedem Fall manuell geprüft werden. Zusätzlich zur Einschränkung der angebotenen ICF Dienste sollte sichergestellt werden, dass bei Business Server Page (BSP) Anwendungen keine fremden HTML Inhalte eingeschleust werden können. Dies ist beispielsweise mit dem URL Parameter "sap-theme" möglich, der das von einer BSP Anwendung verwendete Darstellungs-Thema (z.b. Zeichensätze, etc.) übersteuern kann und so u.u. fremde HTML-Inhalte in eine Seite einbringt. Eine Whitelist Prüfung von Adressparametern, die zum Einschleusen von HTML-Inhalten verwendet werden könnten, kann ab SAP WebAS 6.40 SP14 durch Pflege der Tabelle HTTP_WHITELIST erfolgen (z.b. mit Transaktion SE16). Whitelisting bedeutet, dass nur explizit erlaubte Muster für diese URL Parameter zugelassen werden. Standardmäßig ist diese Tabelle nicht gepflegt und es wird keine Prüfung durchgeführt. Standardbenutzer Besonders gefährlich ist die Existenz von Systembenutzern mit Standardpasswörtern, da ein Angreifer diese im Allgemeinen zuerst prüft. Diese Benutzer (z.b. SAP*, DDIC oder auch EARLYWATCH) werden für viele Aktivitäten rund um den Basisbetrieb benötigt und sind immer vorhanden. Der Benutzer "SAP*" bildet zudem insofern ein Kuriosum, da dieser im Normalfall auch dann zugänglich ist, wenn kein Benutzerstamm für ihn angelegt ist. Der Benutzer ist nämlich fest im Kern des ABAP Systems codiert und kann nur durch den Profilparameter "login/no_automatic_user_sapstar=1" deaktiviert werden. Aber Achtung: Es ist dann in jedem Fall sinnvoll einen unabhängigen Benutzer anzulegen, der für den Notfall alle Berechtigungen (Profil SAP_ALL) im System innehat. Zur Prüfung der Existenz von Systembenutzern mit Standardpasswörtern kann der Report RSUSR003 (z.b. mittels Transaktion SA38) aufgerufen werden. Der Passwortzustand der wichtigsten Systembenutzer in allen Mandanten, sowie die Einstellungen für die Passwort-Policy des ABAP Systems werden dann in einer Zusammenfassung angezeigt. Auch diese Prüfung sollte in regelmäßigen Abständen wiederholt und das Ergebnis dokumentiert werden. 11

12 Zusätzlich zu diesem Report müssen jedoch u.u. auch weitere Benutzer geprüft werden, da diese nicht in dem Report enthalten sind. So legen beispielsweise auch der Java Teil des SAP WebAS und der SAP Solution Manager Benutzer mit Standardpassworten während der Installation an. Für jeden dieser Benutzer sollte das Kennwort geändert werden. Da diese Benutzer auch unpersonalisierten Zugang zu Produktivsystemen ermöglichen, sollten sie hier generell gesperrt und nur bei Bedarf mit Protokollierung aktiviert werden. Java Stack Der Java Anteil im SAP WebAS stellt einen eigenständigen Applikationsserver auf J2EE Basis dar. Die Kommunikation zwischen Java und ABAP Anteil des SAP WebAS erfolgt mit dem JavaConnector (JCo), der als Schnittstelle zwischen den beiden Welten dient. Der Schutzbedarf des Java-Stack entspricht dem des angebundenen ABAP Systems, da über die JCo Verbindung auf die Daten das ABAP System zugegriffen werden kann. Somit gilt es, bei Dual-Stack (also ABAP- und Java-Anteil) Installationen eine weitere Komponente abzusichern. Auch in der Java Stack Installation sollten nur benötigte Anteile mitinstalliert werden. Falls z.b. Knowledge Management oder das TREX System nicht verwendet werden, sollten diese auch nicht mitinstalliert werden. Auch Beispielprogramme haben in einem Produktivsystem nichts verloren und sollten mit Hilfe des Software Deployment Manager (SDM) deinstalliert werden. Hier lauert jedoch eine Falle: mit Softwareupdates halten die deinstallierten Programme unter Umständen wieder Einzug in das System. Aus diesem Grund sollte man entweder nach jedem Update die Liste der installierten Komponenten entweder prüfen, oder die nicht benötigten Komponenten auf dem System belassen aber deaktivieren. Nach der Installation enthält der Java Anteil des Web AS standardmäßig verschiedene aktive Dienste, die für die Ausführung von Anwendungen erforderlich sind. Einige dieser Dienste bedienen eigene Netzwerkports und bieten somit zusätzliche Fläche für einen Angreifer. Die Konfiguration bzw. Deaktivierung von Diensten des Java Stack erfolgt mit Hilfe des Visual Administrator resp. dem Config Tool. Der Visual Administrator erlaubt hierbei die Verwaltung eines Systems über Netzwerk, während das Config Tool nur lokal auf dem jeweiligen Server verwendet werden kann. Die folgende Tabelle zeigt Netzwerkports und deren jeweilige Dienste, die in einem Web AS Java aktiviert sein können. Der Platzhalter NN steht für die jeweilige Instanznummer, sodass z.b. der HTTP Port auf einer Instanz mit der Nummer "01" auf dem Port "50100" hört. 12

13 Ob nun auf einem WebAS Java (im Beispiel: IP Adresse ; Instanz 00) der Telnet Dienst aktiviert und erreichbar ist, kann einfach mit folgender Windows Kommandozeile (erreichbar via Start -> Ausführen "cmd.exe" -> OK) geprüft werden: c:\>telnet Erscheint die folgende Fehlermeldung ist der Dienst entweder nicht gestartet, nicht erreichbar oder hört auf einem anderen Port (z.b. wegen der falschen Instanznummer): > Verbindungsaufbau zu Es konnte keine Verbindung mit dem > Host hergestellt werden, auf Port 50008: Verbinden fehlgeschlagen Ist er jedoch erreichbar, so begrüßt Sie das SAP System mit einer Login Maske. Diese Prüfung funktioniert generell auch für die anderen Dienste und Ports (z.b. HTTPS), a- ber der Dienst wird dann bei erfolgreicher Verbindung auf protokollkonforme Daten warten und weniger "benutzerfreundlich" agieren. Service TCP Port Dienst HTTP 5NN00 HTTP Provider HTTP via SSL 5NN01 HTTP Provider IIOP 5NN07 IIOP Provider IIOP Init 5NN02 IIOP Provider IIOP via SSL 5NN03 IIOP Provider P4 5NN04 P4 Provider P4 via HTTP 5NN05 P4 Provider P4 via SSL 5NN06 P4 Provider Telnet 5NN08 Telnet Provider JMS 5NN10 JMS Provider 13

14 Generell gilt für die Konfiguration der Dienste wieder das Minimalprinzip: Nur tatsächlich notwendige Dienste sollten aktiviert bleiben. Das gilt natürlich im Besonderen für Netzwerkdienste wie z.b. den Telnet oder den HTTP Provider. Eine ausführliche Übersicht über die Java Dienste, die z.b. in einer Enterprise Portal Umgebung tatsächlich benötigt werden, liefert der SAP Hinweis Ist klar welche Dienste benötigt werden, sollte versucht werden, mögliche Angriffspunkte auf Ebene dieser einzelnen Dienste zu minimieren. Für einen HTTP Provider bedeutet dies, dass in produktiven Java Systemen die HTTP Methoden "TRACE" und "PUT" abgeschaltet 2 werden sollten, um z.b. Cookie-Stealing Attacken zu vermeiden. Weiterhin erlaubt der Dienst, dass Verzeichnisse durchsucht werden können (Directory Browsing). Auch dies kann mit entsprechender Konfiguration des Dienstes verhindert werden. 3 Abhängig von der eingesetzten Version des SAP Web AS Java, sind diese Optionen zwischenzeitlich bereits standardmäßig deaktiviert. Administrationszugänge Die Administration des Java Stack erfolgt primär mit Hilfe des Visual Administrator, der mit dem proprietären P4 Protokoll mit dem jeweiligen Server kommuniziert. Zur Absicherung dieser Kommunikation bestehen verschiedene Möglichkeiten. Wichtig ist jedoch in jedem Fall, dass die Kommunikation nicht unverschlüsselt erfolgen darf, um ein Ausspähen des Administratorkennwortes zu verhindern. Eine Möglichkeit besteht in der Verwendung von P4 via SSL. Hierzu muss ein X.509 Zertifikat für den P4 Provider konfiguriert werden. Eine andere Möglichkeit ist das Tunneln der P4 Verbindung über eine bestehende sichere Verbindung, beispielsweise SSH. In diesem Fall sollte der P4 Provider so eingestellt werden, dass er nur Verbindungen vom lokalen System (IP Adresse "localhost") zulässt. Mit dieser Maßnahme kann erreicht werden, dass nur Administratoren, die bereits Betriebssystemzugriff haben, auch die Verbindung zum P4 Provider aufbauen können. Dieselbe Maßnahme kann zur Absicherung des Telnet Providers dienen, der aufgrund des viel geringeren Ressourcenbedarfs im Vergleich zum Visual Administrator bei einem hängenden System gute Dienste leisten kann. Enterprise Portal Das Enterprise Portal (EP) 6.0 ist derzeit die wichtigste verfügbare Applikation für den SAP Web AS Java Stack. Zusätzlich zu den Komponenten des Java Stack werden mit der Installation des EP eine Vielzahl neuer Applikationen installiert. Um verschiedene Zugriffsprivilegien der Benutzer abbilden zu können, verwendet das EP das Konzept der Portalrollen 2 siehe SAP Hinweis siehe SAP Hinweis

15 und Sicherheitszonen. Die Portalrollen steuern die zugreifbaren Komponenten und Menüeinträge innerhalb der Portaloberfläche für die Benutzer. Verwendet ein Benutzer oder Angreifer jedoch die direkte URL einer Portalanwendung, so greift das Konzept der Sicherheitszonen. Im SAP Enterprise Portal 6.0 sind die folgenden Sicherheitszonen definiert: Sicherheitszone No Safety Low Safety Medium Safety High Safety Beschreibung Anonymer Zugriff wird auf Komponenten dieser Zone erlaubt. Ein Benutzer muss als Portal Benutzer angemeldet sein, um auf Komponenten dieser Zone zugreifen zu können. Ein Benutzer muss eine bestimmte Portal Rolle innehaben, um auf Komponenten dieser Zone zugreifen zu können. Ein Benutzer muss einer Portal Rolle mit administrativen Rechten zugeordnet sein, um auf Komponenten dieser Zone zugreifen zu können Es ist empfehlenswert, alle Portal Komponenten einer Zone >= "Medium Safety" zuzuordnen, um eine ausreichende Authentisierung sicherstellen zu können. Standardmäßig erlaubt das SAP Enterprise Portal auch eine Selbstregistrierung von Benutzern, die nach der erfolgreichen Registrierung Zugriff auf Daten der Low Safety Sicherheitszone erlangen können. Wenn diese Funktionalität nicht benötigt wird, sollte sie unbedingt deaktiviert werden, um zu verhindern, dass ein Angreifer in den Besitz einer im System eingetragenen Benutzerkennung kommen kann. Anderenfalls muss die Möglichkeit der Selbstregistrierung im Berechtigungskonzept berücksichtigt werden. Zur Prüfung der richtigen Zuordnung der Portal Sicherheitszonen kann die folgende URL verwendet werden. Unter dieser URL sind alle installierten Portalapplikationen direkt, d.h. ohne Alias-Zuordnung erreichbar. Mit Hilfe eines entsprechend privilegierten Benutzers kann somit der Ist-Zustand der Sicherheitszonen geprüft werden: Diese Prüfung sollte nach Updates des EP Systems wiederholt werden, da ein Update die Zuordnung von Standardkomponenten ändern kann. 15

16 Benutzerverwaltung Die Benutzerverwaltung im Java Teil und somit auch dem Enterprise Portal wird zentral durch die User Management Engine (UME) koordiniert. Im Normalfall wird die UME so konfiguriert, dass als Datenspeicher für die Benutzerdaten der zugehörige ABAP Stack verwendet wird. Alternativ können beispielsweise auch Verzeichnisdienste direkt angebunden werden. Auf Seite der Java Progamme stellt die UME die Standard Java Schnittstelle Authentication and Authorization Service (JAAS) mit SAP spezifischen Erweiterungen bereit. Durch die Zuordnung von Rollen zu Benutzern auf der einen Seite, und Rollen zu Berechtigungsprofilen auf der anderen Seite, wird eine dynamische Konfiguration der Berechtigungen ermöglicht, die mit Hilfe der UME Konfiguration steuerbar ist. Um die Unabhängigkeit zum Datenspeicher zu gewährleisten, stellt die UME eigene Regelungsmöglichkeiten für eine Passwort Policy bereit. Diese sollten jedoch nur dann genutzt werden, wenn ein anderer Speicher für die Benutzerdaten als der ABAP Stack verwendet wird. Anderenfalls riskiert man schwer nachvollziehbare Inkonsistenzen z.b. beim Sperrverhalten von Benutzern. Falls die UME eines Java Stacks an eine entfernte ABAP Instanz zur Speicherung der Benutzerdaten angebunden wird, sollte diese Kommunikation unbedingt verschlüsselt erfolgen. Hierzu bietet die UME die Möglichkeit, zur Konfiguration von SNC geschützten Verbindungen. Die Konfiguration der Verschlüsselung erfolgt im UME Service Abschnitt mit Hilfe des Config Tools. Aufgrund der Flexibilität der UME, kann ein Enterprise Portal beispielsweise so konfiguriert werden, dass alle internen Benutzer im ABAP Backendsystem verwaltet werden. Externe Nutzer des Portals wie z.b. Kunden oder Partner werden jedoch in einem anderen Datenspeicher getrennt verwaltet. Hier kann beispielsweise ein LDAP Verzeichnis oder die Java Datenbank verwendet werden. Die externen Nutzer des Portals sind somit nicht direkt im ABAP Backend angelegt und bleiben somit besser kontrollierbar. Für die zentrale Verwaltung von Benutzern im SAP System bestehen verschiedene Möglichkeiten. Einerseits bietet der SAP ABAP Stack bereits seit längerem die Möglichkeit der Nutzung der Zentralen Benutzer Verwaltung (ZBV), welche über verschiedene ABAP Systeme und Mandanten hinweg Benutzer und deren Berechtigungen pflegen kann. Die Daten der ZBV werden in einem vorab definierten ABAP Mandanten gespeichert und verwaltet. Zur Kopplung an externe Datenquellen besteht hier beispielsweise die Möglichkeit, der Synchronisierung mit LDAP Verzeichnissen verschiedener Hersteller mit Hilfe des LDAP Konnektors. Bei Nutzung dieser Möglichkeit ist zu beachten, dass der Schutzbedarf des ZBV Systems (und evtl. eines LDAP Verzeichnisses, welches als Quelle dient) automatisch den maximalen Schutzbedarf der angeschlossenen Systeme erbt. Keinesfalls sollte man also ein Ent- 16

17 wicklungs- oder Integrationssystem als ZBV System auswählen, wenn produktive Systeme mit mittlerem oder hohem Schutzbedarf angeschlossen werden. Weiterhin sollte man die Verbindung zwischen ZBV und den versorgten Mandanten anderer Systeme mit Hilfe von SNC absichern, falls keine dedizierte Netzwerkverbindung zwischen den Systemen besteht. Die Benutzerverwaltung eines Java Stacks (UME) ist wie bereits geschildert noch flexibler und bietet die Versorgung von Benutzerinformationen aus verschiedenen möglichen Quellen an (z.b. ABAP, Datenbank, LDAP). Wichtig ist hierbei auch, dass diese verschiedenen Quellen miteinander gemischt werden können, d.h. ein Teil der Benutzer oder Benutzerinformationen kann aus einem LDAP eingespeist werden, während ein anderer Teil aus dem ABAP Backend geliefert wird. In jedem Fall sollten bei entsprechendem Schutzbedarf auch hier die Verbindungen zwischen den Systemen entweder mit SNC oder mit SSL verschlüsselt werden, um einem Angreifer nicht eine Möglichkeit zur Datenmanipulation oder zum Abhören zu liefern. Die Authentisierung für Anwendungen im Web AS Java erfolgt mit Hilfe von Logon- Modulen. Diese werden im Visual Administrator mit Hilfe von Templates verwaltet und somit den einzelnen Anwendungen zugeordnet. Da die standardisierte JAAS Schnittstelle zur Integration der Authentisierungsverfahren genutzt wird, können verschiedene Verfahren auch parallel genutzt werden. Von Haus aus bietet der SAP Web AS Java neben Passwort-Authenti-sierung, auch die Möglichkeit zur Anmeldung mit X.509 Zertifikaten oder SAP Logon-Tickets, die für ein Single-Sign-On zwischen teilnehmenden SAP Systemen verwendete werden können. Um maximalen Schutz gegen netzwerkbasierte Angriffe zu erreichen, empfiehlt sich die Verwendung von X.509 Zertifikaten. Diese können entweder aus einer bestehenden Benutzer PKI kommen oder mit Hilfe von Drittherstellerprodukten dynamisch generiert werden. Die beiden anderen Verfahren (SAP Logon-Tickets und Passwort-Authentisierung) sollten nur über gesicherte Verbindungen, d.h. HTTPS verwendet werden. Single-Sign-On Funktionalität kann mit Hilfe von Drittherstellerprodukten auch auf ABAP Seite erreicht werden, wobei einzelne Lösungen sogar über HTTP und SAP GUI Zugriff hinweg Single-Sign-On bieten können. Je nach Produkt ist dies durch Integration in eine vorhandene Active- Directory Umgebung oder eine Public-Key-Infrastruktur (PKI) möglich. In jedem Fall ist jedoch für die Absicherung der SAP GUI Authentisierung und Kommunikation eine zusätzliche Bibliothek notwendig, die das SNC Protokoll implementiert. Auf HTTP Seite, also für die Implementierung von SSL/HTTPS kann die kostenlose SAPCRYPTOLIB sowohl für den ABAP, als auch Java Teil des SAP Web AS verwendet werden. 17

18 Protokollierung Um im Falle eines Sicherheitsvorfalls die Handlungen eines Angreifers durchgängig nachvollziehen zu können, ist ein Logging-Konzept hilfreich. In diesem Konzept sollten die folgenden Fragen beantwortet werden: Auf welchen Komponenten fallen Log-Daten an und welche Informationen werden dort gespeichert? Eine Logdatenkette könnte beispielsweise wie folgt aussehen: (1) Firewall; (2) Reverse Proxy; (3) SAP Web AS ICM; (4) SAP Web AS Java; (5) SAP Web AS ABAP Können diese Informationen tatsächlich miteinander korreliert werden? Stehen immer Zeitstempel zur Verfügung und sind die Zeituhren auf den Systemen synchron? Wie können die Daten korreliert werden, wenn viele verschiedene Client Anfragen parallel abgearbeitet werden, existiert z.b. ein Unique-Client Identifier? Werden die Benutzer auch im Backend mit personalisierten Accounts angezeigt, oder wird ein technischer Benutzer für die Verbindung genutzt? Wer kann wie auf die Log-Daten zugreifen? Werden hier auch personenbezogene Daten gespeichert? Wie lange werden die Logdaten auf den einzelnen Komponenten vorgehalten? Werden die Daten im Anschluss gelöscht oder archiviert? Die anfallenden Log-Daten sollten regelmäßig ausgewertet werden, um besondere, evtl. sicherheitsrelevante Situationen schneller identifizieren zu können. Bei Bedarf kann in SAP Systemen mit entsprechendem Schutzbedarf das SAP Audit Log aktiviert werden. Zusätzlich können einzelne Tabellen (z.b. die User-Stammdaten gesondert überwacht werden. Im Rahmen eines Incident Managements können die entsprechenden organisatorischen Prozesse definiert werden, wie mit bestimmten Arten von Vorfällen umzugehen ist. Es muss also definiert werden, wer bei welchen Ereignissen informiert wird und wie der Vorfall eskaliert werden kann. 18

19 Zur Prüfung, ob die Logdatenkette im Bedarfsfall tatsächlich alle notwendigen Informationen beinhaltet, kann eine fehlgeschlagene Geschäftstransaktion, die z.b. in einer Portal- Anwendung ausgelöst wird, verwendet werden. Prüfen Sie hier ausgehend von der Audit Fehlermeldung im SAP ABAP System, ob Sie die folgenden Informationen durch Korrelation der Logdaten ermitteln können: Art des Vorfalls Grund der Aufzeichnung des Vorfalls im ABAP System Benutzername im ABAP System Zeitpunkt des Vorfalls auf allen beteiligten Komponenten Portal/Java Anwendung Benutzername im Portal bzw. dem SAP Web AS Java IP Adresse des Benutzer-Webbrowsers Optional: URL-Referer und Art des Benutzer-Webbrowsers Entwicklung Für die Anwendungsentwicklung innerhalb des SAP Web AS Java, stellt SAP mit der Net- Weaver Development Infrastructure (NWDI) eine Entwicklungsumgebung zur Verfügung, die neben den Entwicklungsprozessen auch die Konsolidierung, Freigabe und den Transport einer Java Anwendung unterstützt. Diese Umgebung verwendet den Software Deployment Manager (SDM), um die Java Programmpakete auf einem SAP System zu installieren. Der SDM besteht aus einem Java- Client Programm und einem eigenständigen Server, der parallel auf dem zentralen SAP Web AS mitläuft. Hierbei ist zu beachten, dass der SDM derzeit keine Benutzerverwaltung nutzen kann und der Zugriff auf die Funktionalität nur mit einem Passwort geschützt ist. Um die Installation oder Veränderung von Java Programmen auf einem SAP Web AS durch Unauthorisierte zu verhindern, sollte deshalb sichergestellt werden, dass für diesen technischen SDM Zugang ein ausreichend komplexes Passwort verwendet wird. Eine Brute-Force-Attacke auf dieses Passwort wird dadurch wirksam verhindert, dass der SDM standardmäßig nach drei Anmeldeversuchen, mit dem falschen Passwort seinen Dienst einstellt und auf Betriebssystemebene neu gestartet werden muss. Im Normalfall wird der SDM Server durch die NWDI Umgebung gesteuert, in der das Passwort für den Zugang zum jeweiligen SDM hinterlegt sein muss. Hier sollte natürlich sichergestellt werden, dass das hinterlegte Passwort gegen unauthorisierten Zugriff abgesichert wird. 19

20 Weitere Maßnahmen Falls im Rahmen einer Anwendung auf einem SAP Web AS ein Dateiupload möglich ist (z.b. im Content Server), kann mit Hilfe der Anti-Viren-Schnittstelle eine Scan-Engine angebunden werden. Diese Möglichkeit sollte genutzt werden, um beispielsweise die Verbreitung von Macro-Viren eindämmen zu können. Dies ist insbesondere dann notwendig, wenn Dateien von firmenfremden Clients hochgeladen werden können, da hier meist nicht sichergestellt werden kann, dass der entsprechende Windows PC durch eine aktuelle Antiviren-Software abgesichert ist. Besonders bei Web-Anwendungen mit hohem Schutzbedarf, die die SAP Web AS Java Plattform nutzen, ist es empfehlenswert einen fokussierten Penetrationstest auf diese Anwendung durchzuführen. Penetrationstests untersuchen IT-Systeme auf allen technischen Ebenen durch gezieltes Aufspüren und Ausnutzen von Schwachstellen. Der Fokus der Untersuchung kann dabei individuell festgelegt werden. So reicht das Spektrum beispielsweise von breitflächig angelegten Analysen von System- und Netzumgebungen bis hin zur Untersuchung detaillierter Fragestellungen auf SAP Anwendungsebene. Neben dem rein technischen Einsatzgebiet können Penetrationstests auch auf sozialer Ebene verwendet werden, um bei Prozessen die Einhaltung von Richtlinien zu überprüfen. So kann beispielsweise durch Social Engineering das Sicherheitsbewusstsein von Mitarbeitern getestet werden. Penetrationstests bilden darüber hinaus eine sinnvolle Ergänzung zu Audits bzw. bei der Überprüfung von Service Level Agreements, um die Umsetzung von Vorgaben konkret zu verifizieren. Als Ergebnis liefern Penetrationstests stets konkrete Aussagen zum aktuellen Sicherheitszustand des Untersuchungsgegenstandes und geben so wertvolle Hinweise zur aktiven Steigerung der Sicherheit. 20

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Mario Linkies, Frank Off Sicherheit und Berechtigungen in SAP -Systemen

Mario Linkies, Frank Off Sicherheit und Berechtigungen in SAP -Systemen 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. Mario Linkies, Frank Off Sicherheit und Berechtigungen in SAP -Systemen

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

SmartExporter 2013 R1

SmartExporter 2013 R1 Die aktuelle Version wartet mit zahlreichen neuen Features und umfangreichen Erweiterungen auf. So können mit SmartExporter 2013 R1 nun auch archivierte Daten extrahiert und das Herunterladen der Daten

Mehr

OFTP2 - Checkliste für die Implementierung

OFTP2 - Checkliste für die Implementierung connect. move. share. Whitepaper OFTP2 - Checkliste für die Implementierung Die reibungslose Integration des neuen Odette-Standards OFTP2 in den Datenaustausch- Workflow setzt einige Anpassungen der Systemumgebung

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

White Paper. Installation und Konfiguration der PVP Integration

White Paper. Installation und Konfiguration der PVP Integration Copyright Fabasoft R&D GmbH, A-4020 Linz, 2010. Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder Marken der jeweiligen Hersteller. Diese Unterlagen sind streng

Mehr

OEDIV SSL-VPN Portal Anbindung Externe

OEDIV SSL-VPN Portal Anbindung Externe OEDIV SSL-VPN Portal Anbindung Externe Collaboration & Communication Services Stand 10.03.2015 Seite 1 von 11 Inhaltverzeichnis 1 Allgemeine Informationen... 3 2 Voraussetzungen... 3 3 Anmeldung am Portal...

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Address/CRM 3.0 Axapta Client Setup

Address/CRM 3.0 Axapta Client Setup pj Tiscover Travel Information Systems AG Maria-Theresien-Strasse 55-57, A-6010 Innsbruck, Austria phone +43/512/5351 fax +43/512/5351-600 office@tiscover.com www.tiscover.com Address/CRM 3.0 Axapta Client

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

vsftpd-handbuch Vorwort:

vsftpd-handbuch Vorwort: vsftpd-handbuch Vorwort: Beginnen wir mit der Beantwortung der Frage was ist vsftpd. vsftp steht für very secure File Transfer Protocol. Der vsftpd bietet z.b. folgende Features: virtuelle IPs virtuelle

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

FAQ Igel Thin Clients und Management Software

FAQ Igel Thin Clients und Management Software FAQ Igel Thin Clients und Management Software Version 1.00 INDEX 1. UMS Universal Management Suite 2. LINUX 3. WES Windows embedded Standard 4. Diverses IGEL Technology Page 2 1. UMS Universal Management

Mehr

PACKETALARM SSL VPN CLIENT Release Notes (deutsch)

PACKETALARM SSL VPN CLIENT Release Notes (deutsch) PACKETALARM SSL VPN CLIENT Release Notes (deutsch) Allgemeine Hinweise Bitte beachten Sie, dass Sie an Ihrem PC als Benutzer mit Administratorrechten angemeldet sein müssen, um die Installation ausführen

Mehr

VIDA-INSTALLATIONSANLEITUNG INHALT

VIDA-INSTALLATIONSANLEITUNG INHALT VIDA INSTALLATIONSANWEISUNGEN VIDA 2015 INHALT 1 EINFÜHRUNG... 3 2 VOR DER INSTALLATION... 4 2.1 Prüfliste zur Installationsvorbereitung... 4 2.2 Produkte von Drittanbietern... 4 2.2.1 Adobe Reader...

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Checkliste. Installation NCP Secure Enterprise Management

Checkliste. Installation NCP Secure Enterprise Management Checkliste Installation NCP Secure Enterprise Management Bitte lesen Sie vor der (Test-)Installation dieses Dokument aufmerksam durch und stellen es unserem Servicetechniker / SE komplett ausgefüllt zur

Mehr

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003 Page 1 of 23 SSL Aktivierung für OWA 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 20.05.2005 Die Aktivierung von SSL, für Outlook Web Access 2003 (OWA), kann mit einem selbst ausgestellten

Mehr

Installationsanleitung Microsoft Windows SBS 2011. MSDS Praxis + 2.1

Installationsanleitung Microsoft Windows SBS 2011. MSDS Praxis + 2.1 Installationsanleitung Microsoft Windows SBS 2011 MSDS Praxis + 2.1 Inhaltsverzeichnis Einleitung 2 Windows SBS 2011... 2 Hinweise zum Vorgehen... 2 Versionen... 2 Installation 3 Installation SQL Server

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

eytron VMS Webanwendung Fehlersuche und -Behebung

eytron VMS Webanwendung Fehlersuche und -Behebung eytron VMS Webanwendung Fehlersuche und -Behebung 2009 ABUS Security-Center GmbH & Co. KG, Alle Rechte vorbehalten Diese Anleitung soll Ihnen Unterstützung für den Fall geben, dass die Webanwendung nach

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Installationsanleitung TOPIX WebSolution Server

Installationsanleitung TOPIX WebSolution Server Installationsanleitung TOPIX WebSolution Server WebSolution Version 1.309 TOPIX:8 Ab Version 8.9.3v2 Stand 08/2014 Inhalt 1 Systemvoraussetzungen...3 2 Vorbereitungen für die Installation...4 Die aktuelle

Mehr

Installationscheckliste ADNOVA office Version 2013, Stand 30.09.2012

Installationscheckliste ADNOVA office Version 2013, Stand 30.09.2012 Installationscheckliste ADNOVA office Version 2013, Stand 30.09.2012 ADNOVA office Checkliste für die Neuinstallation in einem Windows-Netzwerk einschl. Remote Desktop Session Host Umgebung Bitte prüfen

Mehr

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client 1. Einleitung Für die rechnerübergreifende Kommunikation zwischen OPC Client und OPC Server wird bei OPC DA

Mehr

Einführung SSO bei Hero. Marc Wagener, Hero / Carsten Olt, SECUDE June 12, 2013

Einführung SSO bei Hero. Marc Wagener, Hero / Carsten Olt, SECUDE June 12, 2013 Einführung SSO bei Hero Marc Wagener, Hero / Carsten Olt, SECUDE June 12, 2013 Agenda Kurzvorstellung Hero AG Was ist SSO? Zielstellung- und Technologieauswahl Gründe für SSO Lösungskomponenten- und Authentifizierungsablauf

Mehr

www.wmc.ch e-life der elektronische Lebenszyklus eines Mitarbeiters

www.wmc.ch e-life der elektronische Lebenszyklus eines Mitarbeiters e-life der elektronische Lebenszyklus eines Mitarbeiters Agenda Idee Konzeption Beispiel Module Fazit 2 Unternehmen aus IT-Sicht Idee Konzeption Beispiel Module Fazit ERP Groupware FileServer Directory

Mehr

Handbuch. timecard Connector 1.0.0. Version: 1.0.0. REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen

Handbuch. timecard Connector 1.0.0. Version: 1.0.0. REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen Handbuch timecard Connector 1.0.0 Version: 1.0.0 REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen Furtwangen, den 18.11.2011 Inhaltsverzeichnis Seite 1 Einführung... 3 2 Systemvoraussetzungen...

Mehr

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R2: Administration I

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R2: Administration I Ora Education GmbH www.oraeducation.de info@oraeducation.de Lehrgang: Oracle Application Server 10g R2: Administration I Beschreibung: Der Teilnehmer ist in der Lage den Oracle Application Server 10g zu

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS Dipl.-Ing. Swen Baumann Produktmanager, HOB GmbH & Co. KG April 2005 Historie 2004 40 Jahre HOB Es begann mit Mainframes dann kamen die PCs das

Mehr

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE MARKUS NÜSSELER-POLKE SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON FÜR SAP UND NON-SAP UMGEBUNGEN WIE MELDEN SIE SICH AN SAP AN? 1 Alltägliche Situation beim Kunden! Nüsseler Pa$$w0rd

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Workshop 2. SAP Solution Manager zur Installation von SAP-Systemen. Abschlusspräsentation. Dresden, 31.Januar 2008

Workshop 2. SAP Solution Manager zur Installation von SAP-Systemen. Abschlusspräsentation. Dresden, 31.Januar 2008 Workshop 2 SAP Solution Manager zur Installation von SAP-Systemen Abschlusspräsentation Dresden, 31.Januar 2008 Team des Workshop 2, IW04, HTW Dresden (FH) WS 02/07 HTW-Dresden 1 Agenda Allgemeiner Überblick

Mehr

LDAP für HiPath OpenOffice ME V1 Installation von ESTOS Metadir unter Windows XP

LDAP für HiPath OpenOffice ME V1 Installation von ESTOS Metadir unter Windows XP LDAP für HiPath OpenOffice ME V1 Installation von ESTOS Metadir unter Windows XP Inhaltsverzeichnis Dokumenteninformation... 2 Voraussetzungen... 2 Einschränkungen... 2 Installation von ESTOS Metadir...

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Howto. Einrichten des TREX Monitoring mit SAP Solution Manager Diagnostics

Howto. Einrichten des TREX Monitoring mit SAP Solution Manager Diagnostics Howto Einrichten des TREX Monitoring mit SAP Solution Manager Diagnostics Inhaltsverzeichnis: 1 GRUNDEINSTELLUNGEN IM SAP SOLUTION MANAGER... 3 1.1 ANLEGEN EINES SERVERS... 3 1.2 ANLEGEN EINES TECHNISCHEN

Mehr

Hinweis 1781277 - B2A: Fehlersuche BusinessConnector LStA, LStB, ELStAM

Hinweis 1781277 - B2A: Fehlersuche BusinessConnector LStA, LStB, ELStAM Hinweissprache: Deutsch Version: 1 Gültigkeit: gültig seit 29.10.2012 Zusammenfassung Symptom Der Hinweis bezieht sich auf die Lohnsteueranmeldung(LStA), Lohnsteuerbescheinigung(LStB) und die elektronische

Mehr

Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012

Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012 Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012 ADNOVA finance Checkliste für die Neuinstallation in einem Windows-Netzwerk Bitte prüfen Sie auf unseren Webseiten www.landdata.de

Mehr

How to install freesshd

How to install freesshd Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem

Mehr

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

SAP SharePoint Integration. e1 Business Solutions GmbH

SAP SharePoint Integration. e1 Business Solutions GmbH SAP SharePoint Integration e1 Business Solutions GmbH Inhalt Duet Enterprise Überblick Duet Enterprise Use Cases Duet Enterprise Technologie Duet Enterprise Entwicklungs-Prozess Duet Enterprise Vorteile

Mehr

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services 5 Schritte zur IT-Sicherheit Johannes Nöbauer Leiter Enterprise Services 5 (einfache) Schritte zur IT-Sicherheit Sicherheitsupdates für Betriebssysteme installieren Sicherheitsupdates für alle Anwendungen

Mehr

Von SAP R/3 zu mysap ERP und NetWeaver

Von SAP R/3 zu mysap ERP und NetWeaver Von SAP R/3 zu mysap ERP und NetWeaver Bremerhaven 06.05.2006 T4T Bremerhaven 1 Inhaltsverzeichnis 1. Motivation für SAP NetWeaver 2. SAP R/3 mysap ERP und SAP Business Suite 3. Application Platform T4T

Mehr

JobServer Installationsanleitung 08.05.2013

JobServer Installationsanleitung 08.05.2013 JobServer sanleitung 08.05.2013 Der JobServer ist ein WCF Dienst zum Hosten von Workflow Prozessen auf Basis der Windows Workflow Foundation. Für die wird das Microsoft.NET Framework 3.5 und 4.0 vorausgesetzt.

Mehr

Konfigurationsanleitung E-Mail Konfiguration unter Outlook 2013

Konfigurationsanleitung E-Mail Konfiguration unter Outlook 2013 Konfigurationsanleitung E-Mail Konfiguration unter Outlook 2013 E-Mail Einstellungen für alle Programme Auf diesen Seiten finden Sie alle grundlegenden Informationen, um Ihren Mailclient zu konfigurieren,

Mehr

Programmierhandbuch SAP NetWeaver* Sicherheit

Programmierhandbuch SAP NetWeaver* Sicherheit Martin Raepple Programmierhandbuch SAP NetWeaver* Sicherheit Galileo Press Bonn Boston Inhalt Vorwort 13 2.1 Sicherheit und serviceorientierte Architekturen 24 2.1.1 Sicherheitsziele der Informationssicherheit

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

TimePunch SQL Server Datenbank Setup

TimePunch SQL Server Datenbank Setup TimePunch TimePunch SQL Server Datenbank Setup Benutzerhandbuch 26.11.2013 TimePunch KG, Wormser Str. 37, 68642 Bürstadt Dokumenten Information: Dokumenten-Name Benutzerhandbuch, TimePunch SQL Server Datenbank

Mehr

Format Online Update Service Dokumentation

Format Online Update Service Dokumentation 1 von 7 31.01.2012 11:02 Format Online Update Service Dokumentation Inhaltsverzeichnis 1 Was ist der Format Online Update Service 2 Verbindungswege zum Format Online Center 2.1 ohne Proxy 2.2 Verbindungseinstellungen

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

midentity midentity Manager Basic KOBIL midentity Manager Basic Meine kleine, aber feine Verwaltung

midentity midentity Manager Basic KOBIL midentity Manager Basic Meine kleine, aber feine Verwaltung KOBIL Meine kleine, aber feine Verwaltung KOBIL ist ein Managementsystem zum Verwalten digitaler Identitäten mit Einmalpasswörtern und Zertifikatstechnologie. wurde speziell für Standard-Microsoft-Umgebungen

Mehr

SSL VPN Zugang Anleitung Version 1.3

SSL VPN Zugang Anleitung Version 1.3 Anleitung Version 1.3 Inhalt: 1. Allgemeine Informationen 2. Voraussetzungen für die Nutzung 3. Aufbau einer SSL Verbindung mit dem Microsoft Internet Explorer 4. Nutzung von Network Connect 5. Anwendungshinweise

Mehr

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software

Mehr

Eine Wiederherstellung setzt immer ein vorhandenes Backup voraus. Wenn man nichts sichert, kann man auch nichts zurücksichern.

Eine Wiederherstellung setzt immer ein vorhandenes Backup voraus. Wenn man nichts sichert, kann man auch nichts zurücksichern. Exchange Daten wieder ins System einfügen (Dieses Dokument basiert auf einem Artikel des msxforum) Eine Wiederherstellung setzt immer ein vorhandenes Backup voraus. Wenn man nichts sichert, kann man auch

Mehr

Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz.

Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz. IInsttallllattiionslleiittffaden Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz. Voraussetzungen Für die Installation

Mehr

Installationsanleitung

Installationsanleitung 1 Inhalt 1 Inhalt 1 2 Sicherheitshinweise 2 2.1 Allgemeine Richtlinien und Empfehlungen 2 2.2 Allgemeine Sicherheitskriterien 2 3 Zugriffsmöglichkeiten 3 3.1 Browserbasierte Zugriffe auf Dienste im BVN

Mehr

PROJEKTÜBERSICHT MITARBEITER DIRK BOLINSKI. 08 / 06 jetzt ZEITRAUM. Energieversorger KUNDE

PROJEKTÜBERSICHT MITARBEITER DIRK BOLINSKI. 08 / 06 jetzt ZEITRAUM. Energieversorger KUNDE ÜBERSICHT MITARBEITER DIRK BOLINSKI ZEITRAUM 08 / 06 jetzt Energieversorger Upgrade Solution Manager 3.2 --> 4.0 Upgrade Oracle 10g --> Oracle 11g Upgrade Oracle 9i --> 10g Konzepterstellung zur Anbindung

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

HVS32. ein Versandsystem das immer passt. Dokumentation. SAP-IDoc Schnittstelle

HVS32. ein Versandsystem das immer passt. Dokumentation. SAP-IDoc Schnittstelle ein Versandsystem das immer passt Dokumentation SAP-IDoc Schnittstelle Inhalt 1 HVS32 Anbindung an SAP mit IDocs...2 1.1 Integration...2 1.1.1 HVS32...2 1.1.2 HVS32-Gateway...2 1.2 Ablauf...3 2 IDoc Typen...4

Mehr

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2 Whitepaper Stand November 2012 Version 1.2 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens der NCP

Mehr

Basiswissen. Verschlüsselung und Bildschirmsperre

Basiswissen. Verschlüsselung und Bildschirmsperre Basiswissen Verschlüsselung und Bildschirmsperre Der Speicher des Smartphones/Tablets ist vor unbefugtem Zugriff zu schützen. Dies kann durch Verschlüsselung oder äquivalente Verfahren realisiert werden.

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess HS-Anhalt (FH) Fachbereich EMW Seite 1 von 6 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers Bedingt durch die verschiedenen Transportprotokolle und Zugriffsmethoden

Mehr

Bedienungsanleitung. roi-light

Bedienungsanleitung. roi-light Bedienungsanleitung roi-light Version 1.1 vom 15.01.2009 Valenciaplatz 6 55118 Mainz Inhaltsverzeichnis 1 Einleitung für Administratoren...3 2 Support für Administratoren...4 3 Authentifizierungsvarianten...5

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

R e m o t e A c c e s s. Cyrus Massoumi

R e m o t e A c c e s s. Cyrus Massoumi R e m o t e A c c e s s Präsentation im Seminar Internet-Technologie im Sommersemester 2008 von Cyrus Massoumi I n h a l t Was versteht man unter Remote Access Unsichere Remotezugriffe TELNET Remote Shell

Mehr

Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe

Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe y Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe Ein InLoox Whitepaper Veröffentlicht: November 2010 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

KEEPASS PLUGIN - BENUTZERHANDBUCH

KEEPASS PLUGIN - BENUTZERHANDBUCH Zentrum für sichere Informationstechnologie Austria Secure Information Technology Center Austria A-1030 Wien, Seidlgasse 22 / 9 Tel.: (+43 1) 503 19 63 0 Fax: (+43 1) 503 19 63 66 A-8010 Graz, Inffeldgasse

Mehr

Betriebssystem Windows - SSH Secure Shell Client

Betriebssystem Windows - SSH Secure Shell Client Betriebssystem Windows - SSH Secure Shell Client Betriebssystem Windows - SSH Secure Shell Client... 1 Download... 2 Installation... 2 Funktionen... 3 Verbindung aufbauen... 3 Verbindung trennen... 4 Profile...

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

EINRICHTUNG DER PORTMAPPERDIENSTE VON WWW.FESTE-IP.NET!

EINRICHTUNG DER PORTMAPPERDIENSTE VON WWW.FESTE-IP.NET! EINRICHTUNG DER PORTMAPPERDIENSTE VON WWW.FESTE-IP.NET! Auf den folgenden Seiten haben wir verschiedene Anwendungsfälle für unseren IPv6 Portmapper dokumentiert. Bitte bearbeiten Sie immer nur einen Anwendungsfall.

Mehr

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Whitepaper bi-cube SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 DIE SITUATION...3 2 ZIELSTELLUNG...4 3 VORAUSSETZUNG...5 4 ARCHITEKTUR DER LÖSUNG...6 4.1 Biometrische

Mehr

Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express

Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express Beim Installieren und Konfigurieren von IBM (R) Cognos (R) Express (R) führen Sie folgende Vorgänge aus: Sie kopieren die Dateien für alle

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr