Internet Information Server

Größe: px
Ab Seite anzeigen:

Download "Internet Information Server"

Transkript

1 Schicht Anwendungen B 5.10 B 5.10 Internet Information Server Beschreibung Der Microsoft Internet Information Server (IIS) stellt die Internet Informationsdienste (WWW-Server, FTP-Server, NNTP-Dienst und SMTP-Dienst) für die Microsoft Betriebssysteme zur Verfügung. Standardmäßig wird der IIS mit den Serverversionen von Windows NT 4.0 (IIS 4), Windows 2000 (IIS 5), Windows XP Professional (IIS 5.1) und Windows Server 2003 (IIS 6) ausgeliefert. In diesem Baustein werden spezifische Gefährdungen und Maßnahmen für einen Webserver basierend auf dem IIS 4 oder IIS 5 beschrieben. Für Webserver, die auf einer neueren Version des IIS basieren, können die detaillierten technischen Maßnahmen dieses Bausteins möglicherweise nicht direkt angewandt werden. Zumindest die allgemeineren Maßnahmen sollten jedoch in jedem Fall umgesetzt werden. Internet Information Server 4.0 (IIS 4 ) Viele Windows NT Versionen beinhalten noch eine ältere Version des IIS, meist die Version 2.0. Aufgrund vorhandener Sicherheitsrisiken sollten solche älteren Versionen jedoch nicht mehr eingesetzt werden. Das bedeutet, dass der IIS 4 neu zu installieren ist. Es sollte kein Update von einem installierten IIS 2.0 auf den IIS 4 stattfinden. Der IIS 4 ist Bestandteil des Windows NT 4.0 Server Option Packs, das eine Reihe von zusätzlichen Dienstprogrammen und Anwendungen enthält, die mit dem IIS 4 zusammenarbeiten. Als typische Microsoft-Anwendung ist der IIS 4 eng mit den Ressourcen des Betriebssystems verzahnt. Der IIS 4 verwendet die Verzeichnisdatenbank von Windows NT, d. h. die Benutzerkonten werden mit Hilfe des Windows NT-Benutzermanagers verwaltet. Außerdem werden vorhandene Windows-NT-Dienstprogramme, wie der Systemmonitor, die Ereignisanzeige und die SNMP-Unterstützung, zur Verwaltung des Webservers genutzt. Internet Information Server 5.0 (IIS 5.0) Mit dem Betriebssystem Windows 2000 werden die Internet Informationsdienste durch den IIS 5.0 bereitgestellt. Der IIS 5.0 ist vollständig in das Betriebssystem integriert und wird standardmäßig mit installiert. Im Vergleich zum IIS 4 enthält die Version 5.0 eine Reihe von neuen Funktionen und Verbesserungen. Beispielsweise wird die MMC-Technologie (Microsoft Management Console) durch die Integration in Windows 2000 vollständig unterstützt und die Verwaltung des Servers durch neue Sicherheitsassistenten, frei zu definierende Fehlermeldungen (für HTTP) und losgelöste Serverprozesse (Start der Internet Informationsdienste ohne Neustart des Computers) vereinfacht. Daneben wurden die ASP- Merkmale durch zusätzliche Methoden ergänzt und die Protokollierungsfunktionen, insbesondere im Bereich Performance und Auslastung, erweitert. Nach einer Installation der Betriebssysteme Windows 2000 Datacenter Server, Windows 2000 Advanced Server und Windows 2000 Server ist der IIS 5 standardmäßig aktiviert. Nach einer Installation von Windows 2000 Professional ist der IIS 5 standardmäßig nicht aktiviert. IT-Grundschutz-Kataloge: Stand

2 Schicht Anwendungen B 5.10 Internet Information Server 5.1 (IIS 5.1) Der IIS 5.1 wird mit dem Betriebssystem Windows XP Professional ausgeliefert. Nach einer Installation von Windows XP Professional ist der IIS 5.1 standardmäßig nicht aktiviert. Internet Information Server 6.0 (IIS 6) Der IIS 6 wird mit dem Betriebssystem Windows Server 2003 ausgeliefert. Gegenüber den Vorgängerversionen wurde diese Version grundlegend überarbeitet und weitgehend neu entwickelt. Gefährdungslage Generell hängt die Gefährdungslage vom Einsatzszenario ab. Webserver werden für vielfältige Aufgaben eingesetzt, beispielsweise als einfache Informationsserver im Internet oder Intranet, auf die nur lesend zugegriffen werden darf, aber auch als Basis für weiterführende Anwendungen, z. B. E- Commerce oder E-Government-Anwendungen, die auf Datenbanken zugreifen oder als Entwicklungsserver für neue Applikationen. Wird der IIS als Internet-Server eingesetzt, zeigt sich eine besondere Gefährdungslage. In diesem Fall ist der Zugriff Externer und Unbekannter auf den Server erwünscht, dabei müssen aber die Verfügbarkeit des Servers, die Integrität der Daten und auch die Vertraulichkeit von Konfigurationsdateien und vorhandenen Skripten gewährleistet sein. Nur durch die Kombination von übergeordneten, organisatorischen Maßnahmen mit technischen Sicherheitsvorkehrungen, wie geeigneten Trenneinrichtungen und der sicheren Konfiguration des Betriebssystems sowie der eigentlichen Internetdienste, kann diese Anforderung erfüllt werden. Allerdings darf nicht nur die Möglichkeit eines Angriffs von außen betrachtet werden, denn auch innerhalb eines LANs ist ein Angriff auf einen IIS denkbar. Wie jedes vernetzte IT-System ist auch ein Webserver mit IIS vielfältigen Gefahren ausgesetzt, so dass der sicheren Konfiguration des Systems und seiner Komponenten auch im internen Netz eine wichtige Rolle zukommt. Für den IT-Grundschutz eines IIS-basierenden Webservers werden die folgenden typischen Gefährdungen angenommen: Organisatorische Mängel - G 2.1 Fehlende oder unzureichende Regelungen - G 2.94 Unzureichende Planung des IIS-Einsatzes Menschliche Fehlhandlungen - G 3.56 Fehlerhafte Einbindung des IIS in die Systemumgebung - G 3.57 Fehlerhafte Konfiguration des Betriebssystems für den IIS - G 3.58 Fehlkonfiguration eines IIS - G 3.59 Unzureichende Kenntnisse über aktuelle Sicherheitslücken und Prüfwerkzeuge für den IIS Technisches Versagen - G 4.13 Verlust gespeicherter Daten - G 4.22 Software-Schwachstellen oder -Fehler - G 4.39 Software-Konzeptionsfehler Vorsätzliche Handlungen - G 5.2 Manipulation an Informationen oder Software - G 5.20 Missbrauch von Administratorrechten - G 5.28 Verhinderung von Diensten - G 5.71 Vertraulichkeitsverlust schützenswerter Informationen - G 5.84 Gefälschte Zertifikate IT-Grundschutz-Kataloge: 10. EL Stand

3 Schicht Anwendungen B G 5.88 Missbrauch aktiver Inhalte - G Ausnutzen von systemspezifischen Schwachstellen des IIS Maßnahmenempfehlungen Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz. Da in einer Einsatzumgebung von vernetzten Systemen der IIS nicht alleine betrachtet werden darf, sind darüber hinaus folgende Bausteine zu berücksichtigen: - B Allgemeiner Server - B Sicherheitsgateway (Firewall) - B 5.4 Webserver - B Server unter Windows NT, (bei der Verwendung von IIS 4.0) - B Server unter Windows 2000 (bei der Verwendung von IIS 5.0) - B Windows Server 2003 (bei der Verwendung von IIS 6.0) Je nachdem, wie die Administration und Pflege des IIS-Systems erfolgen, sollten gegebenenfalls auch die Bausteine B 4.4 VPN und B 5.8 Telearbeit für die Anbindung externer Anschlusspunkte herangezogen werden. Für den erfolgreichen Aufbau und Betrieb eines Internet Information Servers sind in den einzelnen Realisierungsphasen (Konzeption, Implementation und Betrieb) eine Reihe von Maßnahmen umzusetzen. Die Realisierungsschritte, die dabei durchlaufen werden, sowie die Maßnahmen, die in den jeweiligen Schritten zu beachten sind, werden nachfolgend aufgeführt. Teilweise stellen diese Maßnahmen "Spezialisierungen" von Maßnahmen aus einem der oben genannten Bausteine dar. 1. Nach der Entscheidung, einen IIS als Webserver einzusetzen, muss die Beschaffung der Software und eventuell zusätzlich benötigter Hardware erfolgen. Die zu beschaffende Soft- und Hardware ist abhängig von den geplanten Einsatzszenarien. Daher sind folgende Maßnahmen durchzuführen: - Zunächst muss der Einsatz des IIS-Systems geplant werden (siehe M Planen des IIS- Einsatzes). - Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe M Festlegung einer IIS- Sicherheitsrichtlinie), in der die bestehenden Sicherheitsrichtlinien für den IIS angewandt und spezialisiert werden. - Vor der tatsächlichen Einführung des IIS-Systems müssen die Administratoren auf den Umgang mit dem IIS durch eine Schulung vorbereitet werden. Insbesondere für Administratoren empfiehlt sich aufgrund der Komplexität der Verwaltung eine intensive Schulung. Die Administratoren sollen dabei detaillierte Systemkenntnisse erwerben (siehe M 3.36 Schulung der Administratoren zur sicheren Installation und Konfiguration des IIS), so dass eine konsistente und korrekte Systemverwaltung gewährleistet ist. 2. Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt wurden, kann die Installation des Webservers erfolgen. Dabei sind folgenden Maßnahmen zu beachten: - Die Installation kann erst dann als abgeschlossen betrachtet werden, wenn die IIS-Systeme in einen sicheren Zustand gebracht wurden. IT-Grundschutz-Kataloge: 10. EL Stand

4 Schicht Anwendungen B 5.10 Basis für die sichere Installation des IIS ist ein abgesichertes Betriebssystem (siehe M Vorbereitung der Installation von Windows NT/2000 für den IIS und M Sichere Konfiguration von Windows NT/2000 für den IIS). Es muss sichergestellt werden, dass in der folgenden Konfigurationsphase nur berechtigte Administratoren auf das IIS-System zugreifen können. - Nach der "Rohinstallation" erfolgt eine erstmalige Konfiguration des IIS-Systems. Bei der Konfiguration sind die relevanten Maßnahmen aus den Bereichen Hardware / Software und Kommunikation zu berücksichtigen. 3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten: - Ein IIS ist in der Regel ständigen Veränderungen unterworfen. Daher müssen sicherheitsrelevante Konfigurationsparameter kontinuierlich angepasst werden. Die für den sicheren Betrieb relevanten Sicherheitseinstellungen sind in den Maßnahmen zur Hardware / Software und Kommunikation zusammengefasst. - Neben der Absicherung im laufenden Betrieb spielt jedoch auch die Notfallvorsorge eine wichtige Rolle, da nur so der Schaden im Notfall verringert werden kann. Hinweise zur Notfallvorsorge finden sich in M 6.85 Erstellung eines Notfallplans für den Ausfall des IIS. Nachfolgend wird nun das Maßnahmenbündel für den Baustein IIS vorgestellt. Planung und Konzeption - M (A) Planen des IIS-Einsatzes - M (A) Festlegung einer IIS-Sicherheitsrichtlinie Umsetzung - M 3.36 (A) Schulung der Administratoren zur sicheren Installation und Konfiguration des IIS - M (A) Vorbereitung der Installation von Windows NT/2000 für den IIS - M (A) Sichere Konfiguration von Windows NT/2000 für den IIS - M (A) Absicherung der Administrator- und Benutzerkonten beim IIS-Einsatz - M (A) Schutz von sicherheitskritischen Dateien beim IIS-Einsatz - M (A) Konfiguration der Authentisierungsmechanismen für den Zugriff auf den IIS - M (A) Ausführen des IIS in einem separaten Prozess - M (A) Deaktivieren nicht benötigter Dienste beim IIS-Einsatz - M (A) Absichern von virtuellen Verzeichnissen und Web-Anwendungen beim IIS-Einsatz - M (A) Entfernen von Beispieldateien und Administrations-Scripts des IIS - M (A) Entfernen der FrontPage Server-Erweiterung des IIS - M (B) Prüfen der Benutzereingaben beim IIS-Einsatz - M (B) Schutz vor unzulässigen Programmaufrufen beim IIS-Einsatz - M (B) Entfernen der RDS-Unterstützung des IIS - M (B) Entfernen nicht benötigter ODBC-Treiber beim IIS-Einsatz - M (B) Installation von URL-Filtern beim IIS-Einsatz - M (B) Entfernen sämtlicher Netzwerkfreigaben beim IIS-Einsatz - M (C) Konfiguration des TCP/IP-Filters beim IIS-Einsatz - M (C) Vorbeugen vor SYN-Attacken auf den IIS - M (A) Entfernen nicht vertrauenswürdiger Root-Zertifikate beim IIS-Einsatz - M 6.86 (B) Schutz vor schädlichem Code auf dem IIS IT-Grundschutz-Kataloge: 10. EL Stand

5 Maßnahmenkatalog Organisation M Betrieb - M (B) Überwachen des IIS-Systems - M (A) Sicherstellen der Verfügbarkeit und Performance des IIS Notfallvorsorge - M 6.85 (C) Erstellung eines Notfallplans für den Ausfall des IIS - M 6.87 (A) Datensicherung auf dem IIS IT-Grundschutz-Kataloge: 10. EL Stand

6 Maßnahmenkatalog Organisation M G 2.1 Fehlende oder unzureichende Regelungen Die Bedeutung übergreifender organisatorischer Regelungen und Vorgaben für das Ziel Informationssicherheit nimmt mit dem Umfang der Informationsverarbeitung, aber auch mit dem Schutzbedarf der zu verarbeitenden Informationen zu. Von der Frage der Zuständigkeiten angefangen bis hin zur Verteilung von Kontrollaufgaben kann das Spektrum der Regelungen sehr umfangreich sein. Auswirkungen von fehlenden oder unzureichenden Regelungen werden beispielhaft in den anderen Gefährdungen des Gefährdungskatalogs G2 beschrieben. Vielfach werden nach Veränderungen technischer, organisatorischer oder personeller Art, die wesentlichen Einfluss auf die Informationssicherheit haben, bestehende Regelungen nicht angepasst. Veraltete Regelungen können einem störungsfreien Betrieb entgegen stehen. Probleme können auch dadurch entstehen, dass Regelungen unverständlich oder zusammenhanglos formuliert sind und dadurch missverstanden werden. Dass Regelungsdefizite zu Schäden führen können, machen folgende Beispiele deutlich: - Durch eine mangelhafte Betriebsmittelverwaltung kann der termingerechte Arbeitsablauf in einem Rechenzentrum schon durch eine unterbliebene Druckerpapierbestellung stark beeinträchtigt werden. - Neben einer Beschaffung von Handfeuerlöschern muss auch deren regelmäßige Wartung geregelt sein, um sicherzustellen, dass diese im Brandfall auch funktionstüchtig sind. - Bei einem Wasserschaden wird festgestellt, dass dieser auch den darunter liegenden Serverraum in Mitleidenschaft zieht. Durch eine unzureichende Schlüsselverwaltung kann der Wasserschaden im Serverraum allerdings nicht unmittelbar behoben werden, weil keiner darüber informiert ist, wo sich der Schlüssel zum Serverraum gerade befindet. Dadurch steigt der Schaden erheblich. IT-Grundschutz-Kataloge: 10. EL Stand

7 Maßnahmenkatalog Organisation M G 2.94 Unzureichende Planung des IIS-Einsatzes Der IIS bietet vielfältige Einsatzmöglichkeiten, z. B. als einfacher Informationsserver im Intranet. Auch als Basis für komplexe Webanwendungen im Internet ist der IIS geeignet. Aus diesen Einsatzumgebungen resultieren unterschiedliche Anforderungen an die Sicherheit des IIS. Die Absicherung eines aus dem Internet erreichbaren Servers ist in der Regel mit einem viel höheren Aufwand verbunden als die Absicherung eines Servers im LAN, auf den nur vertrauenswürdige Benutzer zugreifen. Erfolgt vor der Installation keine ausreichende Planung, z. B. in welche Systemumgebung der Server einzubinden ist, welche Protokolle verwendet werden und wie der Zugriff (Authentisierung) geregelt wird, besteht die Gefahr, dass bestehende Risiken nicht berücksichtigt werden. Die Verfügbarkeit und Performance sind für den Erfolg eines Internet-Angebots von entscheidender Bedeutung. Lange Wartezeiten werden von keinem Anwender auf Dauer akzeptiert, deshalb muss ein Internet-Server ständig verfügbar und seine Reaktionszeit möglichst kurz sein. Bei unzureichender Ressourcenplanung, die Netzkapazitäten und Systemressourcen berücksichtigen muss, kann die Akzeptanz der Benutzer für eine Web-Seite sinken. IT-Grundschutz-Kataloge: 10. EL Stand

8 Maßnahmenkatalog Organisation M G 3.56 Fehlerhafte Einbindung des IIS in die Systemumgebung Der IIS wird weltweit in unterschiedlichen Umgebungen eingesetzt. Als Einsatzumgebung wird die Netztopologie (Anordnung von weiteren Hard- und Software-Komponenten, Netzkomponenten) verstanden, in der der IIS betrieben wird. Als wesentlicher Aspekt ist dabei auch der Kommunikationsbedarf des IIS mit anderen Systemen zu berücksichtigen. Die Absicherung eines öffentlichen, aus dem Internet erreichbaren Servers ist im Vergleich zu einem im Intranet installierten Server in der Regel mit einem viel höheren Aufwand verbunden. Von entscheidender Bedeutung ist dabei der sichere Einsatz geeigneter Trenneinrichtungen. Eine unzureichend geplante Netzstruktur, z. B. ohne Demilitarisierte Zone (DMZ) oder eine fehlerhaft konfigurierte Trenneinrichtung (Firewall), kann für einen Angriff aus dem Internet bzw. Intranet ausgenutzt werden. Ein weiteres Risiko entsteht durch nicht ausreichend dimensionierte Systemressourcen (Firewall, Netzanbindung). Wenn diese Systeme nicht den Anforderungen an die Verfügbarkeit und Performance des eigentlichen Web-Servers entsprechen, besteht die Gefahr eines Single-Point-of-Failure (SPOF). Beispiel: Mit Hilfe eines IIS und eines Datenbank-Servers wird eine E-Business-Anwendung realisiert. Befindet sich der Datenbank-Server im gleichen Segment wie der IIS, auf den aus dem Internet zugegriffen werden darf, besteht die Gefahr, dass ein Unbefugter auch auf die Datenbank zugreifen und die vorhanden Datenbestände auslesen oder manipulieren kann. IT-Grundschutz-Kataloge: 10. EL Stand

9 Maßnahmenkatalog Organisation M G 3.57 Fehlerhafte Konfiguration des Betriebssystems für den IIS Voraussetzung für den sicheren Betrieb einer Applikation ist die Sicherheit des verwendeten Betriebssystems. Da der IIS sehr stark mit dem Betriebssystem verzahnt ist und z. B. die Benutzerdatenbank und Dateiberechtigungen von Windows verwendet, ist eine sichere Konfiguration von Windows NT/2000 von entscheidender Bedeutung für den sicheren Betrieb. Einige typische Fehlkonfigurationen werden im Folgenden aufgeführt: - Zu viele, nicht benötigte Dienste werden angeboten: Je mehr Dienste und Services ein Server anbietet, desto größer sind die Angriffsmöglichkeiten auf die Verfügbarkeit des Rechners und die Vertraulichkeit und Integrität der zu verarbeitenden Daten. Jeder Dienst bzw. Service kann zusätzliche Schwachstellen enthalten, die für einen Angriff ausgenutzt werden können. Insbesondere beim Netbios-Dienst besteht die Gefahr, dass ein Angreifer Informationen über vorhandene Benutzer, Freigaben usw. abfragen kann. - Großzügige Konfiguration der Netzeinstellungen: Windows ermöglicht eine Vielzahl von Netzeinstellungen in der Registry, über die z. B. Zeitbeschränkungen für eine Verbindung oder die Anzahl von gleichzeitigen Verbindungen definiert werden können. Fehlerhafte Einstellungen, insbesondere von Timer-Werten, können einen DoS-Angriff auf den Server ermöglichen. - Unzureichende Sicherung von Kennwörtern: Einen weiteren Angriffspunkt bilden leicht zu erratende oder nicht ausreichend geschützte Passwörter. Windows stellt verschiedene Werkzeuge zum Sichern der Passwörter bereit, die bei der Auswahl von Passwörtern die Einhaltung einer Sicherheitsrichtlinie erzwingen (z. B. passfilt.dll) oder den Zugriff und das Auslesen von Passwörtern erschweren (z. B. passprop, syskey). Die aufgeführten Aspekte sind Beispiele für mögliche Sicherheitsprobleme durch Fehlkonfigurationen des Betriebssystems. Abhängig vom jeweiligen Einsatzumfeld können weitere potentielle Sicherheitsprobleme hinzukommen. IT-Grundschutz-Kataloge: 10. EL Stand

10 Maßnahmenkatalog Organisation M G 3.58 Fehlerhafte Konfiguration eines IIS Fehlkonfigurationen eines Software-Systems sind häufig die Ursache für erfolgreiche Angriffe. Aufgrund der Komplexität eines IIS und der vielfältigen Einsatzmöglichkeiten in Verbindung mit anderen Server-Systemen besteht auch hier die Gefahr, dass das System durch Fehlkonfiguration nicht den geforderten Sicherheitsansprüchen genügt. Durch die Fülle von Konfigurationseinstellungen und durch die sich gegenseitig beeinflussenden Parameter können auch viele Sicherheitsprobleme entstehen. Einige typische Fehlkonfigurationen werden im folgenden aufgeführt: - Zu viele, nicht benötigte Dienste werden angeboten: Je mehr Dienste und Services ein Server anbietet, desto größer sind die Angriffsmöglichkeiten auf die Verfügbarkeit des Rechners und die Vertraulichkeit und Integrität der zu verarbeitenden Daten. Jeder Dienst bzw. Service kann zusätzliche Schwachstellen enthalten, die für einen Angriff ausgenutzt werden können. Beispielsweise kann der FTP-Dienst zum Übertragen von Daten auf den Server ausgenutzt werden. - Vertrauliche Informationen sind nicht ausreichend geschützt, da sie sich z. B. in zugänglichen Verzeichnissen befinden: In Abhängigkeit von Aufgabe und Einsatzumgebung können auch persönliche Informationen, z. B. durch die Auswertung von Formularen, auf dem Server vorhanden sein. Sind diese Daten nicht ausreichend vor einem unberechtigten Zugriff geschützt, z. B. durch ACLs (Access Control Lists), können sie ggf. von einem Angreifer ausgelesen werden. - Eingabeparameter werden unzureichend geprüft: Viele Programmierer gehen bei der Entwicklung ihrer Anwendungen davon aus, dass vom Benutzer geforderte Eingaben, z. B. in einem Formularfeld oder eine URL, immer korrekt erfolgen. Die Prüfung der Benutzereingaben wird oft auf die für die weitere Verarbeitung erforderlichen Bedingungen beschränkt. Die Überprüfung der Syntax oder der verwendeten Zeichen wird oft vernachlässigt. Dabei besteht die Gefahr, dass Eingaben, die vom System nicht erwartet werden, z. B. Sonderzeichen oder Buchstaben anstelle von Zahlen, zu unnötigen Ressourcenbelastungen und Pufferüberläufen führen können und dadurch Sicherheitsfunktionen umgangen werden können. - Fehlerhafte Zugriffslisten (Access Control Lists, ACLs): Der IIS ist eng mit dem Betriebssystem verzahnt und nutzt auch die Sicherheitsmechanismen von Windows für den Zugriff auf Dateien und Verzeichnisse. Oft werden die Zugriffsrechte sehr großzügig vergeben. Beispielsweise gehört das Konto IUSR_Computername, das bei der Installation des IIS automatisch angelegt wird, standardmäßig der Gruppe GAST an und besitzt somit die Rechte, auf Verzeichnisse außerhalb des Webroot-Verzeichnisses zuzugreifen. Auch innerhalb von virtuellen Verzeichnissen entstehen u. U. Risiken, wenn z. B. Scripts oder ausführbare Programme verwendet werden. Sind die Zugriffsrechte nicht restriktiv vergeben, besteht die Möglichkeit, dass diese Programme ausgelesen oder verändert werden. IT-Grundschutz-Kataloge: 10. EL Stand

11 Maßnahmenkatalog Organisation M G 3.59 Unzureichende Kenntnisse über aktuelle Sicherheitslücken und Prüfwerkzeuge für den IIS Die Entwicklung in der Informationstechnik unterliegt einem stetigen Wandel. Hard- und Software- Lösungen werden immer leistungsfähiger, Anwendungen werden aktualisiert und durch neue Versionen ersetzt. Allerdings ergeben sich durch diese Veränderungen auch neue Anforderungen an die Administratoren und IT-Verantwortlichen. Sie unterliegen einer ständigen Informationspflicht, um mit dem aktuellen Stand der Technik vertraut zu sein. Bei unzureichenden Kenntnissen des Administrators besteht zum einen die Gefahr, dass ein System fehlerhaft konfiguriert wird, zum anderen können Bedrohungen in einer Situation falsch eingeschätzt werden. Insbesondere durch die Komplexität des IIS und das Zusammenwirken mit weiteren Systemen in einer heterogenen Systemumgebung können Risiken entstehen, die vom Administrator zu bewerten sind. Wichtige Informationsquellen für den Administrator bilden die Veröffentlichungen von aktuellen Schwachstellen (Bulletins) der eingesetzten Software. Obwohl Microsoft bei Bedarf neue Service Packs für Windows NT und Windows 2000 veröffentlicht, existieren für Windows und den IIS Schwachstellen, die aufgrund ihrer Aktualität noch nicht in die Service Packs aufgenommen worden sind. Aktuelle Schwachstellen werden von Microsoft oder anderen Arbeitsgruppen und Organisationen veröffentlicht. Sind dem verantwortlichen Administrator die aktuellen Sicherheitslücken nicht bekannt, kann dieser natürlich nicht die erforderlichen Sicherheitsmaßnahmen ergreifen, um das System gegen entsprechende Angriffe zu schützen. Zur Vereinfachung der Administration von Windows und des IIS bietet Microsoft eine Reihe von Prüfwerkzeugen an, die Bestandteil des Windows NT/2000 Ressource Kit sind oder direkt aus dem Internet heruntergeladen werden können. Beispielsweise besteht mit dem IIS Lockdown Tool die Möglichkeit, in sehr kurzer Zeit eine Reihe von Sicherheitseinstellungen vorzunehmen, insbesondere für die Zugriffsbeschränkung auf wichtige Dateien und Verzeichnisse. Ein weiteres Werkzeug ist das Hotfix Check Tool, mit dem der Patchstatus von Windows NT und Windows 2000 geprüft werden kann. Der Nachteil vieler Tools, die in die Administration eingreifen, besteht darin, dass sie nur einen Teil der sicherheitsrelevanten Einstellungen vornehmen und dass die einzelnen Funktionen nur unzureichend dokumentiert sind. Beispiel: Im Juli 2001 infizierte der Wurm Code Red in weniger als 14 Stunden über Computer in der ganzen Welt. Der Wurm nutzte eine Schwachstelle aus, für die seit einiger Zeit ein Patch von Microsoft verfügbar war. Selbst Monate später waren jedoch noch eine Vielzahl von Rechnern infiziert, weil keine entsprechenden Sicherheitsmaßnahmen eingeleitet wurden. IT-Grundschutz-Kataloge: 10. EL Stand

12 Maßnahmenkatalog Organisation M G 4.13 Verlust gespeicherter Daten Der Verlust gespeicherter Daten kann erhebliche Auswirkungen auf den IT-Einsatz haben. Sind die Anwendungsdaten oder die Kundenstammdaten verloren oder verfälscht, so können privatwirtschaftliche Betriebe in ihrer Existenz bedroht sein. Der Verlust oder die Verfälschung wichtiger Dateien kann in Behörden Verwaltungs- und Fachaufgaben verzögern oder sogar ausschließen. Der Verlust gespeicherter Daten kann erhebliche Auswirkungen auf Geschäftsprozesse und damit auf die gesamte Institution haben. Wenn geschäftsrelevante Informationen egal welcher Art zerstört oder verfälscht werden, können dadurch Geschäftsprozesse und Fachaufgaben verzögert oder sogar deren Ausführung verhindert werden. Insgesamt kann der Verlust gespeicherter Daten neben dem Produktionsausfall und den Kosten für die Wiederbeschaffung der Daten vor allem zu langfristigen Konsequenzen wie Vertrauenseinbußen bei Kunden und Partnern sowie einem negativen Eindruck in der Öffentlichkeit führen. Durch die durch Datenverluste verursachten direkten und indirekten Schäden können Institutionen sogar in ihrer Existenz bedroht sein. Dabei können die Gründe für den Verlust gespeicherter Daten vielfältiger Art sein: - Entmagnetisierung von magnetischen Datenträgern durch Alterung oder durch ungeeignete Umfeldbedingungen (Temperatur, Luftfeuchte), - Störung magnetischer Datenträger durch äußere Magnetfelder, - Zerstörung von Datenträgern durch höhere Gewalt wie Feuer oder Wasser, - versehentliches Löschen oder Überschreiben von Dateien, - vorsätzliches oder versehentliches Setzen von Löschmarkierungen in Archivsystemen (siehe auch G Unberechtigtes Überschreiben oder Löschen von Archivmedien), - technisches Versagen von Peripheriespeichern (Headcrash), - fehlerhafte Datenträger, - unkontrollierte Veränderungen gespeicherter Daten (Integritätsverlust) und - Datenzerstörung durch Schadprogramme IT-Grundschutz-Kataloge: 10. EL Stand

13 Maßnahmenkatalog Organisation M G 4.22 Software-Schwachstellen oder -Fehler Wie für jede Software gilt auch für Standardsoftware: je komplexer sie ist, desto häufiger treten Programmierfehler auf. Es ist zu beobachten, dass hohe Erwartungen der Anwender und zeitlich zu knapp bemessene Erscheinungstermine bei Standardsoftwareprodukten auch dazu führen, dass die Hersteller ihre Produkte teilweise unausgereift oder nicht fehlerfrei anbieten. Werden diese Softwarefehler nicht erkannt, können die bei der Anwendung entstehenden Fehler zu weitreichenden Folgen führen. Beispiele: - Ein Software-Fehler in der Sicherheits-Software RACF des z/os-betriebssystems kann bedeuten, dass nicht nur RACF den Dienst einstellt, sondern dadurch das ganze System nicht mehr funktionsfähig ist und neu gestartet werden muss. - Die Stärke der in Standardsoftware implementierten Sicherheitsfunktionalitäten (wie Passwörter oder Verschlüsselungsalgorithmen) wird vom Anwender häufig zu hoch eingeschätzt. Häufig können diese Sicherheitsfunktionalitäten einem sachkundigen Angriff nicht dauerhaft standhalten. Dies gilt z. B. für die Verschlüsselungsfunktionen, die in vielen Textverarbeitungsprogrammen integriert sind. Für fast alle davon gibt es im Internet zahlreiche Tools, um diese Verschlüsselung zu überwinden. - Nachweislich führte das Auftreten eines bestimmten Wortes in der Rechtschreibprüfung eines Textverarbeitungsprogrammes immer zu dessen Absturz. - Vielfach enthält Standardsoftware nicht dokumentierte Funktionen, wie sog. "Ostereier" oder "Gagscreens", mit denen sich die Entwickler des Produktes verewigt haben. Zum einen werden hierdurch zusätzliche IT-Ressourcen verbraucht, zum anderen wird dadurch auch deutlich, dass im Softwaretest die gesamte Funktionalität des Produktes nicht bis ins letzte geklärt werden kann. - Die meisten Warnmeldungen der Computer Emergency Response Teams in den letzten Jahren bezogen sich auf sicherheitsrelevante Programmierfehler. Dies sind Fehler, die bei der Erstellung von Software entstehen und dazu führen, dass diese Software von Angreifern missbraucht werden kann. Der größte Teil dieser Fehler wurde durch Speicherüberläufe (Buffer Overflow) hervorgerufen. Hierbei handelt es um Fehler, bei denen eine Routine zum Einlesen von Zeichen nicht prüft, ob die Länge der eingegebenen Zeichenkette mit der Länge des dafür vorgesehenen Speicherbereiches übereinstimmt. Dadurch ist es Angreifern möglich, eine überlange Zeichenfolge zu übertragen, so dass hinter dem für die Eingabe reservierten Speicherbereich zusätzliche Befehle gespeichert werden können, die zur Ausführung gebracht werden. Diese Befehle können z. B. beliebige Programme sein. - Eine weitere große Anzahl von Warnmeldungen wurde durch Verfügbarkeitsangriffe (Denial of Service, DoS) verursacht, bei denen durch Fehler in einzelnen Routinen, die für die Netzdatenverarbeitung eingesetzt werden, der gesamte Rechner zum Absturz gebracht werden kann (siehe z. B. CERT Advisory zu IP Denial-of-Service Attacks: Teardrop and Land-Attack). IT-Grundschutz-Kataloge: 10. EL Stand

14 Maßnahmenkatalog Organisation M G 4.39 Software-Konzeptionsfehler Bei der Planung von Programmen und Protokollen können sicherheitsrelevante Konzeptionsfehler entstehen. Häufig sind diese Fehler historisch gesehen durchaus verständlich. So ist sicherlich keiner der Entwickler der im Internet verwendeten Protokolle Ende der 60er-Jahre davon ausgegangen, dass diese Protokolle einmal die Grundlage für ein weltumspannendes und kommerziell höchst bedeutendes Computer-Netz werden würden. Beispiele: - Beispiele für Konzeptionsfehler sind die offene Übertragung der Daten im Internet, so dass Daten (z. B. Passwörter) mitgelesen oder verändert werden können, oder die Möglichkeit, Pakete mit Internet-Adressen zu versenden, die einem anderen Rechner zugeteilt worden sind. Ein Spezialfall hiervon ist die so genannte FTP-Bounce-Attacke, bei der ausgenutzt wird, dass die Verbindung, die beim FTP-Protokoll für die Datenübertragung eingesetzt wird, zu einem beliebigen Rechner aufgebaut werden kann. Im ungünstigen Fall können auf diese Weise sogar Firewalls mit dynamischen Paketfiltern überwunden werden (siehe CERT Advisory 97-27). Weitere Fehler in den Internet-Protokollen sind sicherlich vorhanden und werden zukünftig publiziert werden. - Ein weiteres Beispiel für einen Konzeptionsfehler ist das so genannte DNS-Spoofing (siehe auch G 5.78 DNS-Spoofing und Pharming). Das Domain Name System ist der zentrale Auskunftsdienst im Internet, der die Übersetzung der leicht merkbaren Rechnernamen wie in die zugehörige Internet-Adresse ermöglicht. Bei DNS-Spoofing versucht ein Angreifer, einem Rechnernamen einen falschen Rechner zuzuweisen, so dass Auskunftsuchende fehlgeleitet werden. - Ein weiteres Beispiel für einen Konzeptionsfehler ist die Möglichkeit, anonym sehr viele Werbe-E- Mails zu versenden (Mail-Spamming). Hierbei werden häufig fremde Mailserver als so genannte R er eingesetzt, so dass Gegenaktionen durch den Empfänger ins Leere laufen. Die Ursache für diese Angriffe liegt eindeutig in den mangelhaften Authentisierungsmöglichkeiten, die das Internet zur Zeit bietet. IT-Grundschutz-Kataloge: 10. EL Stand

15 Maßnahmenkatalog Organisation M G 5.2 Manipulation an Informationen oder Software Informationen oder Software können auf vielfältige Weise manipuliert werden: durch falsches Erfassen von Daten, Änderungen von Zugriffsrechten, inhaltliche Änderung von Abrechnungsdaten oder von Schriftverkehr, Änderungen in der Betriebssystem-Software und vieles mehr. Grundsätzlich betrifft dies nicht nur digitale Informationen, sondern beispielsweise auch Dokumente in Papierform. Ein Täter kann allerdings nur die Informationen und Software-Komponenten manipulieren, auf die er Zugriff hat. Je mehr Zugriffsrechte eine Person auf Dateien und Verzeichnisse von IT-Systemen besitzt bzw. je mehr Zugriffsmöglichkeiten auf Informationen sie hat, desto schwerwiegendere Manipulationen kann sie vornehmen. Falls die Manipulationen nicht frühzeitig erkannt werden, kann der reibungslose Ablauf von Geschäftsprozessen und Fachaufgaben dadurch empfindlich gestört werden. Manipulationen an Informationen oder Software können unter anderem aus Rachegefühlen, um einen Schaden mutwillig zu erzeugen, zur Verschaffung persönlicher Vorteile oder zur Bereicherung vorgenommen werden. Beispiele: - In einem Schweizer Finanzunternehmen wurde durch einen Mitarbeiter die Einsatzsoftware für bestimmte Finanzdienstleistungen manipuliert. Damit war es ihm möglich, sich illegal größere Geldbeträge zu verschaffen. - Sehr häufig werden Kundendatenbanken von Mitarbeitern beim Verlassen der Firma kopiert, um die Kundendaten für andere Zwecke gewinnbringend einsetzen zu können. Solche illegal beschafften Daten von Privatkunden sind beispielsweise benutzt worden, um Vertragsabschlüsse vorzutäuschen. Mitarbeiter, die im Unfrieden eine Behörde oder ein Unternehmen verlassen, könnten auch Informationen oder IT-Systeme mutwillig zerstören oder den Zugriff auf wichtige Informationen oder IT-Systeme verhindern. - Archivierte Dokumente stellen meist besonders schützenswerte Informationen dar. Die Manipulation solcher Dokumente ist besonders schwerwiegend, da sie unter Umständen erst nach Jahren bemerkt wird und eine Überprüfung dann oft nicht mehr möglich ist. - Eine Mitarbeiterin hat sich über die Beförderung ihrer Zimmergenossin in der Buchhaltung dermaßen geärgert, dass sie sich während einer kurzen Abwesenheit der Kollegin unerlaubt Zugang zu deren Rechner verschafft hat. Hier hat sie durch einige Zahlenänderungen in der Monatsbilanz enormen negativen Einfluss auf das veröffentlichte Jahresergebnis des Unternehmens genommen. - Ein Mitarbeiter ärgert sich darüber, dass sein Vorgesetzter ihm keine Gehaltserhöhung gegeben hat. Aus Wut sendet er an einige seiner Arbeitskollegen per ein Dokument, das einen Makro- Virus enthält und als Geschäftsbrief getarnt ist. Beim Öffnen dieses Dokuments werden unterschiedliche Dateien auf den betroffenen Systemen verändert. unterschiedliche Motive IT-Grundschutz-Kataloge: 10. EL Stand

16 Maßnahmenkatalog Organisation M G 5.20 Missbrauch von Administratorrechten Eine missbräuchliche Administration liegt vor, wenn man vorsätzlich recht- oder unrechtmäßig erworbene Super-User- (root-) Privilegien ausnutzt, um dem System oder dessen Benutzern zu schaden. Beispiele: - Da root auf Unix-Anlagen keinerlei Beschränkungen unterliegt, kann der Administrator keine Beschränkungen für root unabhängig von Zugriffsrechten jede Datei lesen, verändern oder löschen. Außerdem kann er die Identität jedes Benutzers seines Systems annehmen, ohne dass dies von einem anderen Benutzer bemerkt wird, es ist ihm also z. B. möglich unter fremden Namen Mails zu verschicken oder fremde Mails zu lesen und zu löschen. - Es gibt verschiedene Möglichkeiten, missbräuchlich Super-User-Privilegien auszunutzen. Dazu gehören der Missbrauch von falsch administrierten Super-User-Dateien (Dateien mit Eigentümer root und gesetztem s-bit) und des Befehls su. - Die Gefährdung kann auch durch automatisches Mounten von austauschbaren Datenträgern entstehen: Sobald das Medium in das Laufwerk gelegt wird, wird es gemountet. Dann hat jeder Zugriff auf die dortigen Dateien. Mit sich auf dem gemounteten Laufwerk befindenden s-bit-programmen kann jeder Benutzer Super-User-Rechte erlangen. - In Abhängigkeit von der Unix-Variante und der zugrunde liegenden Hardware kann bei Zugangsmöglichkeit zur Konsole der Monitor-Modus aktiviert oder in den Single-User- Modus gebootet werden. Das ermöglicht die Manipulation der Konfiguration. Super-User-Dateien automatisches Mounten Zugang zur Konsole - Durch Softwarefehler kann es möglich sein, dass eine Anwendung nur eine begrenzt große Softwarefehler Menge an Daten verarbeiten kann. Werden dieser Anwendung übergroße Datenmengen oder Parameter übergeben, können Bereiche im Hauptspeicher mit fremden Code überschrieben werden. Dadurch können Befehle mit den Rechten der Anwendung ausgeführt werden. Dies war u. a mit dem Befehl eject unter SunOS 5.5 möglich, der mit SetUID-Rechten ausgestattet ist, also bei der Ausführung Super-User-Rechte besitzt. IT-Grundschutz-Kataloge: 10. EL Stand

17 Maßnahmenkatalog Organisation M G 5.28 Verhinderung von Diensten Ein solcher Angriff, auch "Denial of Service" genannt, zielt darauf ab, die Benutzer daran zu hindern, Funktionen oder Geräte zu verwenden, die ihnen normalerweise zur Verfügung stehen. Dieser Angriff steht häufig im Zusammenhang mit verteilten Ressourcen, indem ein Angreifer diese Ressourcen so stark in Anspruch nimmt, dass andere Benutzer an der Arbeit gehindert werden. Es können z. B. die folgenden Ressourcen künstlich verknappt werden: Prozesse, CPU-Zeit, Plattenplatz, Inodes, Verzeichnisse. Dies kann z. B. geschehen durch - das Starten von beliebig vielen Programmen gleichzeitig, - das mehrfache Starten von Programmen, die viel CPU-Zeit verbrauchen, - das Belegen aller freien Inodes in einem Unix-System, so dass keine neuen Dateien mehr angelegt werden können, - unkoordiniertes Belegen von Bandstationen in z/os-systemen, so dass Anwendungen auf freie Bandstationen warten müssen und die Online-Verarbeitung eingeschränkt ist, - bewusste Falscheingabe von Passwörtern (auch Skript-gesteuert) mit dem Ziel der Sperrung aller Kennungen eines z/os-systems, - das Versenden bestimmter konstruierter Datenpakete, die beim Empfänger aufgrund von Software-Schwachstellen zu Fehlfunktionen führen können, - die gezielte Überlastung des Netzes, - das Kappen von Netzverbindungen. Sperren von Bandstationen am z/os- System DoS-Attacke auf z/os Kennungen IT-Grundschutz-Kataloge: 10. EL Stand

18 Maßnahmenkatalog Organisation M G 5.71 Vertraulichkeitsverlust schützenswerter Informationen Vertraulichkeit ist die Anforderung, dass eine Information nur den zur Kenntnisnahme berechtigten Personen zugänglich gemacht werden darf. Neben der Integrität und der Verfügbarkeit gehört die Vertraulichkeit zu den Grundwerten der Informationssicherheit. Für Informationen, die einen Schutzbedarf bezüglich ihrer Vertraulichkeit besitzen (wie Passwörter, personenbezogene Daten, firmen- oder amtsvertrauliche Informationen, Entwicklungsdaten), besteht die inhärente Gefahr, dass die Vertraulichkeit durch technisches Versagen, Unachtsamkeit oder auch durch vorsätzliche Handlungen beeinträchtigt wird. Dabei kann auf diese vertraulichen Informationen an unterschiedlichen Stellen zugegriffen werden, beispielsweise - auf Speichermedien innerhalb von Rechnern (Festplatten), - auf austauschbaren Speichermedien (USB-Sticks, CDs oder DVDs), - in gedruckter Form auf Papier (Ausdrucke, Akten) und - auf Übertragungswegen während der Datenübertragung. Auch die Art und Weise, wie die vertraulichen Informationen gewonnen werden, kann sehr unterschiedlich sein, zum Beispiel: - Auslesen von Dateien, - Kopieren von Dateien, - Wiedereinspielen von Datensicherungsbeständen, - Diebstahl des Datenträgers und anschließendes Auswerten, - Abhören von Übertragungsleitungen, - Infektion mit Schadprogrammen, - Mitlesen am Bildschirm. Werden Informationen unberechtigt gelesen oder preisgegeben, kann dies schwerwiegende Folgen für eine Institution haben. Unter anderem kann der Verlust der Vertraulichkeit zu folgenden negativen Auswirkungen für eine Institution führen: - Verstoß gegen Gesetze, zum Beispiel Datenschutz, Bankgeheimnis - Negative Innenwirkung, zum Beispiel Demoralisierung der Mitarbeiter - Negative Außenwirkung, zum Beispiel Beeinträchtigung der Beziehungen zu Geschäftspartnern, verlorenes Vertrauen von Kunden - Finanzielle Auswirkungen, zum Beispiel Schadensersatzansprüche, Bußgelder, Prozesskosten - Beeinträchtigung des informationellen Selbstbestimmungsrechtes Zu beachten ist außerdem, dass ein Verlust der Vertraulichkeit nicht immer sofort bemerkt wird. Oft stellt sich erst später heraus, dass Unbefugte sich Zugang zu vertraulichen Informationen verschafft haben und dadurch Schäden entstanden sind. IT-Grundschutz-Kataloge: 10. EL Stand

19 Maßnahmenkatalog Organisation M G 5.84 Gefälschte Zertifikate Zertifikate dienen dazu, einen öffentlichen kryptographischen Schlüssel an eine Person zu binden. Diese Bindung des Schlüssels an den Namen der Person wird wiederum kryptographisch mittels einer digitalen Signatur einer vertrauenswürdigen dritten Stelle abgesichert. Diese Zertifikate werden von Dritten dann verwendet, um digitale Signaturen der im Zertifikat ausgewiesenen Person zu prüfen bzw. um dieser Person Daten mit dem im Zertifikat aufgezeichneten Schlüssel verschlüsselt zuzusenden. Ist ein solches Zertifikat gefälscht, werden digitale Signaturen fälschlicherweise als korrekt geprüft und der Person im Zertifikat zugeordnet oder es werden Daten mit einem ggf. unsicheren Schlüssel verschlüsselt und versandt. Beide Angriffsmöglichkeiten können einen Täter bewegen, gefälschte Zertifikate in Umlauf zu bringen. Gefälschte Zertifikate können auf verschiedene Weise erzeugt werden: - Ein Innentäter der vertrauenswürdigen Stelle erstellt mit dem eigenen Signaturschlüssel ein Zertifikat mit gefälschten Angaben. Dieses Zertifikat ist authentisch und wird bei einer Prüfung als korrekt verifiziert. - Ein Täter gibt sich als eine andere Person aus und beantragt ein Zertifikat, welches auf diese andere Person ausgestellt wird, obwohl der Täter im Besitz des geheimen Schlüssels ist, der mit dem öffentlichen Schlüssel im Zertifikat korrespondiert. - Ein Täter erzeugt ein Zertifikat und signiert es mit einem eigenen Schlüssel. Die Fälschung fällt nur auf, wenn das Zertifikat geprüft wird und dabei festgestellt werden kann, dass das Zertifikat von einer nichtvertrauenswürdigen Stelle ausgestellt wurde. Wenn ein Täter erst einmal ein Zertifikat mit falschen Angaben auf irgendeinem Weg erhalten hat, kann er sich gegenüber Kommunikationspartnern jederzeit als eine andere Person ausgegeben, und zwar sowohl beim Versand als auch beim Empfang von Nachrichten. IT-Grundschutz-Kataloge: 10. EL Stand

20 Maßnahmenkatalog Organisation M G 5.88 Missbrauch aktiver Inhalte Während des Surfens im Internet können WWW-Seiten mit aktiven Inhalten auf den Anwenderrechner geladen werden (z. B. ActiveX oder Java-Applets). Diese Software kann gezielt zu dem Zweck erstellt worden sein, dass sie vertrauliche Daten des Benutzers ausspioniert und anschließend so ausgespähte Informationen an den Angreifer über das Internet zurückgibt. Ein Java-fähiger Browser erlaubt es dem Benutzer, Java-Applets vom Netz zu laden und auszuführen, ohne dass der Benutzer das Applet erkannt hat. Dies stellt Java-Benutzer vor bedeutende Sicherheitsrisiken: - Ein Java-Applet kann Standardnetzprotokolle (wie zum Beispiel SMTP) benutzen, um Daten vom Rechner des Benutzers aus zu verschicken. - Ein Java-Applet kann das Java-System angreifen, indem es dessen Speicher korrumpiert, oder es kann das darunterliegende Betriebssystem angreifen, indem es Dateien fälscht oder wichtige Prozesse beendet. - Ein Java-Applet kann den gesamten Speicher des Systems belegen oder hochprioritäre Nachrichten erzeugen. Der Verfügbarkeitsangriff ist auch bei der korrekten Interpretation des Java- Sicherheitsmodells möglich. Bei ActiveX ist anders als bei Java die Funktionsvielfalt kaum eingeschränkt: Bis hin zur Formatierung der Festplatte kann ein ActiveX-Programm alle Befehle enthalten. Diese kleinen ausführbaren Codes nennt man Controls. Die meist zur Illustration oder Unterhaltung verteilten Controls können auch böswillige Elemente besitzen, die dann Zugriff auf den Datenspeicher des Anwenderrechners haben oder andere Programme - für den Benutzer unbemerkt - fernsteuern. ActiveX-Controls können die Festplatte löschen, einen Virus oder ein Trojanisches Pferd enthalten oder die Festplatte nach bestimmten Informationen durchsuchen. All dies kann passieren, ohne dass der Nutzer bzw. Betrachter des Controls dies bemerkt. Während der Betrachter ein durch Controls übertragenes Spiel ausführt, kann im Hintergrund dieses Control die nach bestimmten Informationen durchsuchen. Bei entsprechender Voreinstellung seines WWW-Browsers kann ein Benutzer zwar dafür sorgen, dass nur digital signierte ActiveX-Controls ausgeführt werden. Eine solche digitale Signatur beweist allerdings nur, dass der Hersteller des ActiveX-Controls bei einer Zertifizierungsstelle bekannt ist und dass das von diesem Hersteller bereitgestellte Control unverändert geladen wurde. Hierdurch wird nichts über die Funktionsweise oder Schadensfreiheit eines solchen Controls ausgesagt und auch keine Gewähr dafür übernommen. IT-Grundschutz-Kataloge: 10. EL Stand

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Microsoft Internet Information Server Sicherheitsstudie

Microsoft Internet Information Server Sicherheitsstudie Bundesamt für Sicherheit in der Informationstechnik Isabel Münch (Hg.) Microsoft Internet Information Server Sicherheitsstudie SecuMedia Inhaltsverzeichnis 1 Einleitung 11 2 Der Microsoft Internet Information

Mehr

Online-Banking. 45 Tipps für das sichere Online-Banking

Online-Banking. 45 Tipps für das sichere Online-Banking Online-Banking 45 Tipps für das sichere Online-Banking Notwendige Sicherheitsvorkehrungen am PC Versuchen Sie, möglichst wenige Personen an 1 dem PC arbeiten zu lassen, an dem Sie auch das Online-Banking

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

News: Aktuelles aus Politik, Wirtschaft und Recht

News: Aktuelles aus Politik, Wirtschaft und Recht News: Aktuelles aus Politik, Wirtschaft und Recht Januar/2013 Internet-Sicherheitsexperten führten auf drei Testpersonen einen gezielten Angriff durch. Das beunruhigende Fazit des Tests im Auftrag von

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

IMBA. Installationsanleitung. SQL Server-Datenbankadapter. Das Instrument für den fähigkeitsgerechten Personaleinsatz

IMBA. Installationsanleitung. SQL Server-Datenbankadapter. Das Instrument für den fähigkeitsgerechten Personaleinsatz Das Instrument für den fähigkeitsgerechten Personaleinsatz IMBA SQL Server-Datenbankadapter Installationsanleitung gefördert durch das Bundesministerium für Gesundheit und Soziale Sicherung Vorbereitung

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Gute Beratung wird verstanden

Gute Beratung wird verstanden Gute Beratung wird verstanden Sehr geehrte Damen und Herrn! Wüssten Sie gern, ob die in Ihrem Unternehmen angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Wenn Sie sicher sein

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal 1. HANDLUNGSSCHRITT Aufgabe 13 Betriebssystem Prozessortakt RAM empfohlen RAM maximal Installationsgröße SMP Anzahl Prozessoren Windows 7 Ultimate 2008 Web 2008 Standard 2008 Enterprise 2008 Datacenter

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Teil 3: Kurztest zur Einschätzung der eigenen Bedrohungslage Änderungshistorie Datum Änderung.01.007 Version

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Sicherheits- Anwendungsprogramm. Benutzerhandbuch V2.13-T04

Sicherheits- Anwendungsprogramm. Benutzerhandbuch V2.13-T04 Sicherheits- Anwendungsprogramm LOCK Benutzerhandbuch V2.13-T04 Inhaltsverzeichnis A. Einführung... 2 B. Allgemeine Beschreibung... 2 C. Leistungsmerkmale... 3 D. Vor der Verwendung des LOCK-Sicherheits-Anwendungsprogramms...

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

TECHNISCHE PRODUKTINFORMATION CARUSO

TECHNISCHE PRODUKTINFORMATION CARUSO 1111 TECHNISCHE PRODUKTINFORMATION CARUSO TECHNISCHE PRODUKTINFORMATION Seite 0/7 Inhalt 1 Systemdefinition............2 2 Technische Details für den Betrieb von CARUSO......2 2.1 Webserver... 2 2.2 Java

Mehr

Die Sicherheit Ihres Praxisverwaltungssystems

Die Sicherheit Ihres Praxisverwaltungssystems Die Sicherheit Ihres Praxisverwaltungssystems Was Sie im Umgang mit EDV-Anlagen und Onlinediensten beachten sollten Gefahren bei Sicherheitslücken Ihr Praxisbetrieb ist in hohem Maße abhängig von Ihrem

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client 1. Einleitung Für die rechnerübergreifende Kommunikation zwischen OPC Client und OPC Server wird bei OPC DA

Mehr

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Avira Professional / Server Security. Date

Avira Professional / Server Security. Date Date Agenda Wozu benötige ich einen Virenschutz für Workstations/Server? Systemanforderungen der Avira Professional Security Was bietet die Avira Professional Security? Systemanforderungen der Avira Professional

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

GRUNDSCHUTZBAUSTEIN CLIENT UNTER WINDOWS 8

GRUNDSCHUTZBAUSTEIN CLIENT UNTER WINDOWS 8 BSI-GRUNDSCHUTZTAG 2015 GRUNDSCHUTZBAUSTEIN CLIENT UNTER WINDOWS 8 Frank Rustemeyer 1 Was bisher geschah Client B 3.205 Client unter Windows NT B 3.206 Client unter Windows 95 B 3.207 Client unter Windows

Mehr

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. 4 Domänenkonzepte Ziele des Kapitels: Sie verstehen den Begriff Domäne. Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. Sie verstehen die Besonderheiten der Vertrauensstellungen

Mehr

Userhandbuch. Version B-1-0-2 M

Userhandbuch. Version B-1-0-2 M Userhandbuch Version B-1-0-2 M Inhaltsverzeichnis 1.0 Was bietet mir SERVRACK?... 3 1.1 Anmeldung... 3 1.2 Passwort vergessen?... 3 1.3 Einstellungen werden in Realtime übernommen... 4 2.0 Die SERVRACK

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

eytron VMS Webanwendung Fehlersuche und -Behebung

eytron VMS Webanwendung Fehlersuche und -Behebung eytron VMS Webanwendung Fehlersuche und -Behebung 2009 ABUS Security-Center GmbH & Co. KG, Alle Rechte vorbehalten Diese Anleitung soll Ihnen Unterstützung für den Fall geben, dass die Webanwendung nach

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

Grundlegende Systemadministration unter Apple Mac OSX. 15.06.2010 Dr. Ronald Schönheiter

Grundlegende Systemadministration unter Apple Mac OSX. 15.06.2010 Dr. Ronald Schönheiter Grundlegende Systemadministration unter Apple Mac OSX Systemadministration umfasst 1. Benutzerkonten / Berechtigungen 2. Netzanbindung 3. IT Sicherheit 4. Netzdienste 1. Dateizugriff (Freigaben / NetApp)

Mehr

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet. 1. Schritt: Firewall aktivieren Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet. Klicken Sie auf Start > Systemsteuerung > Sicherheit > Windows-Firewall

Mehr

Anleitung zur Aktualisierung

Anleitung zur Aktualisierung CONTREXX AKTUALISIERUNG 2010 COMVATION AG. Alle Rechte vorbehalten. Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte, auch die der Modifikation, der Übersetzung, des Nachdrucks und der Vervielfältigung,

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen

IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen IT-Sicherheit im Zeitalter von E-Business- und Web-Applikationen Sicherheit auf Anwendungsebene Angriffsmöglichkeiten auf Webserver sind vor allem Probleme der Anwendungsebene. Sie beruhen auf Fehlern

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012

Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012 Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012 ADNOVA finance Checkliste für die Neuinstallation in einem Windows-Netzwerk Bitte prüfen Sie auf unseren Webseiten www.landdata.de

Mehr

6.1.2 Beispiel 118: Kennwort eines Benutzers ändern

6.1.2 Beispiel 118: Kennwort eines Benutzers ändern Herzlich willkommen zum Kurs "Windows XP Home & Professional" 6 Windows XP und die Sicherheit Sicherheit beim Arbeiten am Computer ist einer der wichtigsten Themen. Windows XP wurde von Microsoft mit zahlreichen

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2009: Gefährdungen der IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit Aufgabe: Die mehrseitige IT-Sicherheit bestimmt sich anhand

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

MVB3. Einrichten eines Servers für MVB3 ab Version 3.5. Admin-Dokumentation. Inhalt V3.05.001

MVB3. Einrichten eines Servers für MVB3 ab Version 3.5. Admin-Dokumentation. Inhalt V3.05.001 V3.05.001 MVB3 Admin-Dokumentation Einrichten eines Servers für MVB3 ab Version 3.5 Inhalt Organisatorische Voraussetzungen... 1 Technische Voraussetzungen... 1 Konfiguration des Servers... 1 1. Komponenten

Mehr

Online-Banking Zahlungsverkehr effizient und sicher

Online-Banking Zahlungsverkehr effizient und sicher Online-Banking Zahlungsverkehr effizient und sicher Referent: Simon Lücke Leiter IT-Systeme, Electronic Banking, Zahlungsverkehr Volksbank Marl-Recklinghausen eg Volksbank Marl-Recklinghausen eg Agenda

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Installation Anleitung für JTheseus und MS SQL Server 2000

Installation Anleitung für JTheseus und MS SQL Server 2000 Installation Anleitung für JTheseus und MS SQL Server 2000 Inhaltsverzeichnis 1 Installation der Datenbank 3 1.1 Erstellen der Datenbank 3 1.2 Tabellen und Minimal Daten einlesen 4 1.3 Benutzer JTheseus

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

DSB CPD.CH DER SICHERE UMGANG MIT INFORMATIONS- UND KOMMUNIKATIONSGERÄTEN. Die Schweizerischen Daentschutzbeauftragten www.dsb-cpd.

DSB CPD.CH DER SICHERE UMGANG MIT INFORMATIONS- UND KOMMUNIKATIONSGERÄTEN. Die Schweizerischen Daentschutzbeauftragten www.dsb-cpd. DER SICHERE UMGANG MIT INFORMATIONS- UND KOMMUNIKATIONSGERÄTEN DSB CPD.CH Einleitung...2 Schutz gegen Zugriff Unberechtigter...3 Passwort... 3 Verlassen des Arbeitsplatzes... 3 Löschen, Weitergeben und

Mehr

Handbuch Version 1.02 (August 2010)

Handbuch Version 1.02 (August 2010) Handbuch Version 1.02 (August 2010) Seite 1/27 Inhaltsverzeichnis 1. Einleitung 1.1. Begrüßung 03 1.2. Was ist PixelX Backup FREE / PRO 03 1.3. Warum sollten Backups mittels einer Software erstellt werden?

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

DNS-Baustein. Thomas Ledermüller, BSc Grundschutztag Bochum 19. November 2009

DNS-Baustein. Thomas Ledermüller, BSc Grundschutztag Bochum 19. November 2009 DNS-Baustein, BSc Grundschutztag Bochum 19. November 2009 2 Zu meiner Person Thomas Ledermueller, BSc Masterstudium Sichere Informationssysteme (FHOOE/Campus Hagenberg) KPMG Financial Advisory Services

Mehr

Sicheres Surfen im Internet so schützen Sie sich!

Sicheres Surfen im Internet so schützen Sie sich! Sicheres Surfen im Internet so schützen Sie sich! Inhalt Inhaltsverzeichnis 3 Neue Web-Technologien 5 Gefahren im Internet 6 Schutzmaßnahmen für sicheres Surfen 8 Seien Sie achtsam! Geben Sie Hackern keine

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

Payment Card Industry Data Security Standard (PCI DSS)

Payment Card Industry Data Security Standard (PCI DSS) Payment Card Industry Data Security Standard (PCI DSS) Verfahren für Sicherheitsscans Version 1.1 Veröffentlichung: September 2006 Inhaltsverzeichnis Zweck... 1 Einführung... 1 Umfang von PCI-Sicherheitsscans...

Mehr

Installation und Lizenz

Installation und Lizenz Das will ich auch wissen! Kapitel 2 Installation und Lizenz Inhaltsverzeichnis Überblick über dieses Dokument... 2 Diese Kenntnisse möchten wir Ihnen vermitteln... 2 Diese Kenntnisse empfehlen wir... 2

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

1. Download und Installation

1. Download und Installation Im ersten Teil möchte ich gerne die kostenlose Software Comodo Backup vorstellen, die ich schon seit einigen Jahren zum gezielten Backup von Ordnern und Dateien einsetze. Diese Anleitung soll auch Leuten,

Mehr

Klein Computer System AG. Portrait

Klein Computer System AG. Portrait Klein Computer System AG Portrait Die Klein Computer System AG wurde 1986 durch Wolfgang Klein mit Sitz in Dübendorf gegründet. Die Geschäftstätigkeiten haben sich über die Jahre stark verändert und wurden

Mehr

Ihr Laptop mit Sicherheit?

Ihr Laptop mit Sicherheit? Ihr Laptop mit Sicherheit? Agenda Was bedroht Sie und Ihren Laptop? Legen Sie Ihren Laptop an die Kette Ihr Laptop mit Sicherheit! 2 Was bedroht Sie und Ihren Laptop? Was bedroht Sie und Ihren Laptop?

Mehr

emails digital signieren und verschlüsseln mit Zertifikaten

emails digital signieren und verschlüsseln mit Zertifikaten emails digital signieren und verschlüsseln mit Zertifikaten Martin Heinold, Andreas Hirsch Werdenfels-Gymnasium, Garmisch-Partenkirchen GAPONLINE Bürgernetzverein für den Landkreis Garmisch-Partenkirchen

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

White Paper. Domänenübergreifende Lizenzprüfung. 2013 Winter Release

White Paper. Domänenübergreifende Lizenzprüfung. 2013 Winter Release White Paper Domänenübergreifende Lizenzprüfung 2013 Winter Release Copyright Fabasoft R&D GmbH, A-4020 Linz, 2012. Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder

Mehr

E-Mails versenden aber sicher!

E-Mails versenden aber sicher! E-Mails versenden aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische

Mehr

Computerviren, Würmer, Trojaner

Computerviren, Würmer, Trojaner Computerviren, Würmer, Trojaner Computerviren, Würmer und Trojaner zählen zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Diese Programme können sich selbst verbreiten und

Mehr

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns

Mehr

Samsung Drive Manager-FAQs

Samsung Drive Manager-FAQs Samsung Drive Manager-FAQs Installation F: Meine externe Samsung-Festplatte ist angeschlossen, aber nichts passiert. A: Ü berprüfen Sie die USB-Kabelverbindung. Wenn Ihre externe Samsung-Festplatte richtig

Mehr

Kapitel. Sicherheit. Seite. Kapitel. Sicherheit. Workplace & WebSphere Domino & Notes

Kapitel. Sicherheit. Seite. Kapitel. Sicherheit. Workplace & WebSphere Domino & Notes Sicherheit 99 9 Sicherheit 7. Ergänzungslieferung 02/2007 Ein ITP-Handbuch 9 Sicherheit 9 Moderne Anwendungen müssen einer Vielzahl von Anforderungen gerecht werden. Mit dem Siegeszug der IT in die Geschäftswelt

Mehr