Zero-Day und Less-Than-Zero-Day Vulnerabilities und Exploits Risiken unveröffentlichter Sicherheitslücken

Größe: px
Ab Seite anzeigen:

Download "Zero-Day und Less-Than-Zero-Day Vulnerabilities und Exploits Risiken unveröffentlichter Sicherheitslücken"

Transkript

1 Zero-Day und Less-Than-Zero-Day Vulnerabilities und Exploits Risiken unveröffentlichter Sicherheitslücken Hartmut Pohl Fachhochschule Bonn-Rhein-Sieg, Fachbereich Informatik, Informationssicherheit Forschungsschwerpunkt NEGSIT Next Generation Services in Heterogeneous Network Infrastructures Gegen unveröffentlichte nur wenigen Personen bekannte Sicherheitslücken (Less-Than-Zero-Day Vulnerabilities) und diese ausnutzende Angriffsprogramme (Exploits) können IT-Systeme nicht geschützt werden. In der Vergangenheit wurden Sicherheitslücken meist dem Hersteller gemeldet; dieser stellte (allerdings nicht in allen Fällen) eine Fehlerkorrektur zur Verfügung. In jüngerer Zeit werden Sicherheitslücken systematisch (Tool-gestützt) gesucht und an Behörden, Unternehmen und an die organisierte Kriminalität verkauft und nicht oder nicht sofort dem Hersteller gemeldet. Durch Ausnutzung dieser unveröffentlichten Sicherheitslücken ist Wirtschaftsspionage und Computersabotage (auch der Steuerungsrechner des Internet) unerkannt möglich [GI 2007]. Praktizierte Anwendungen sind u.a. auch als Titan Rain dokumentiert [BfDI 2007, Keizer 2006, NSTAC 2007, Pohl 2007, Rath 2007]. Lebenslauf von Sicherheitslücken Der Lebenslauf von Sicherheitslücken kann grundsätzlich in drei Zeitabschnitte gegliedert werden vgl. die Abb.: Lebenslauf von Sicherheitslücken: Einen scheinbar Sicherheitslücken -freien Abschnitt, einen Abschnitt, in dem die Sicherheitslücken erkannt und ggf. ausgenutzt wird und einen Abschnitt, in dem die Sicherheitslücke veröffentlicht ist und der Hersteller eine Fehlerkorrektur entwickelt. Vulnerability-free Phase - seemingly Vulnerability discovered and used Vulnerability disclosed: Manufacturer Product Shipment Exploit Exploit published Patch Patched System Vulnerability discovered Zero Vulnerability Day published Black Risk Grey Risk Fix, Patch, Update, Version White Risk Sicherheitslücken Abb. Lebenslauf von Sicherheitslücken Software kann nicht fehlerfrei hergestellt werden; Sicherheitslücken eines IT-Systems (Betriebssysteme etc. bis hin zu Anwendungssoftware und Sicherheitsprogrammen wie Firewalls, Virensuchprogrammen etc.) können zufällig erkannt werden. Meist werden sie aber systematisch mit Tool-Unterstützung [Bachfeld 2006] gesucht und mit einem entsprechenden Exploit als Proof of Concept nachgewiesen [Eidenberg 2006, Martinez 2007, Metasploit 2007] und (häufig) dem Hersteller mitgeteilt. Herstelleraktivitäten Je nach Bedeutung der Vulnerability entwickelt der Hersteller eine Fehlerkorrektur (Patch) und veröffentlicht sie (ggf. zusammen mit der Vulnerability). Allerdings haben die Hersteller Microsoft, Apple, Oracle, Cisco und Sun im ersten Halbjahr 2007 für 21% der

2 veröffentlichten Sicherheitslücken keinen Patch entwickelt; andere Herstellern sogar für 60% nicht [Fox 2007, IBM 2007, Symantec 2007]. Die (wohl durchschnittliche) Entwicklungszeit für einen Patch (und die zugehörigen Tests) wird nach früher erheblich längeren Zeiten [Krebs 2006] inzwischen mit (kontinuierlich verkürzten) 21 Tagen (Microsoft), 101 (HP) und 122 Tagen (Sun) angegeben [Parson 2007]. Allerdings muss auch die (Sicherheits-)Qualität eines Patches bewertet werden [Arora et al. 2004]. Zero-Day Vulnerabilities und Exploits Der Tag der Veröffentlichung der Vulnerability wird als Zero-Day [Porter o.j., Shimel 2006] bezeichnet: Angreifer nutzen die Zeit zwischen Veröffentlichung der Vulnerability und Installation des Patches, um Systeme mit so genannten Zero-Day Exploits zu penetrieren. 25% der Exploits wurden innerhalb von 24 Stunden nach der Veröffentlichung einer Vulnerability entwickelt; 31% binnen 6 Tagen [Parson 2007]. Less-Than-Zero-Day Vulnerabilities und Exploits Das Zeitintervall zwischen dem Erkennen einer Vulnerability und ihrer Veröffentlichung [Arbaugh et al. 2000, Browne et al. 2000, Jones 2007, Schneier 2000] wird als Less- Than-Zero-Day [Arbeitskreis 2007, Ma Huijuan 2007, Shimel 2006] bezeichnet vgl. die Abb.: Lebenslauf von Sicherheitslücken. Nach Patchen des Systems beginnt der 'Lebenslauf' wieder beim Product Shipment. Andere Bezeichnungen finden sich [Browne et al. 2000, Rescorla 2004]. Less-Than-Zero-Day Vulnerabilities können mit einem zugehörigen Less-Than-Zero-Day Exploit grundsätzlich erfolgreich angegriffen werden [Anderson 2001]: Für unveröffentlichte Sicherheitslücken existieren keine spezifischen Schutzmaßnahmen; der Angegriffene kann den Angriff jedenfalls nicht (direkt) erkennen [Shimel 2006]. Sicherheitsprogramme wie z.b. Virensuchprogramme, Intrusion-Detection-, Intrusion- Protection-Systeme etc. können naturgemäß nur die Angriffe erkennen, deren Eigenschaften wie Bit-String (Signatur) oder Verhalten (Heuristik) sie kennen [idefense 2007b]. Von den im 1. Halbjahr 2007 veröffentlichten Sicherheitslücken können 90% erfolgreich über das Internet (remote) ausgenutzt werden; mehr als 50% dieser Sicherheitslücken ermöglichen Administratorrechte [IBM 2007]; entsprechendes dürfte für unveröffentlichte Sicherheitslücken gelten. Markt für Sicherheitslücken Einige Sicherheitslücken werden in Mailing- oder anderen Listen [Bugtraq 2007, Mitre 2007, SecurityFocus 2007, VulnWatch 2007, Zero Day Initiative 2007a, 2007b] veröffentlicht. Zunehmend weniger werden dem Hersteller mitgeteilt vielmehr bemühen sich Unternehmen, sie gegen Entgelt anzukaufen [IBM 2007, idefense Labs 2007a, Immunity 2007, TippingPoint 2007], um ihren Kunden Schutzmaßnahmen empfehlen zu können. Internet-Auktionen wurden vorgeschlagen [Ozment 2004] und realisiert [Heise 2006a, 2007, Wabisabilabi 2007]. Sicherheitslücken werden auch verdeckt von Behörden (Nachrichtendiensten) und Wirtschaftsspionage-Treibenden, von der Organisierten Kriminalität und auch von Botnet- Betreibern [Bächer 2005] angekauft oder sogar in deren Auftrag gesucht [McAfee 2006, Naraine 2006, Royal Canadian Mounted Police 2006, Stone 2007]. Für Sicherheitslücken existiert also ein offener und ein verdeckter Markt [Böhme 2005, 2006, Camp et al. 2004, Miller 2007]. Gerade der Untergrundmarkt entwickelt sich schnell [Danchev o.j.]. Vielfach sind Überlegungen zur Verbesserung der Marktsituation angestellt worden [Arora et al. 2004, 2005, Bonner 2002, Christey 2002, Kannan 2005, Schneier 2000, 2007] allerdings nur unter dem Aspekt des Herstellernutzens (z.b. durch geringe Preise) für do-

3 kumentierte Sicherheitslücken [Böhme 2006, Ozment 2004, Rescorla 2004, Schechter 2002]. In jüngerer Zeit wird in den USA für Less-Than-Zero-Day Vulnerabilities konsequenterweise eine Mitteilungspflicht an das Department of Homeland Security (DHS) diskutiert [Rollins et al. 2007]. Entgegen öffentlichen Forderungen [GI 2007] plant das deutsche Bundesministerium des Innern jedenfalls keine Mitteilungspflicht erkannter Sicherheitslücken an die Regierung oder auch nur eine Verpflichtung der Behörden zur Veröffentlichung behördenbekannter Sicherheitslücken [BMI 2008]. Durch die Geheimhaltung von Sicherheitslücken wird also Kriminalität wie Wirtschaftsspionage gegen deutsche Unternehmen und Terrorismus direkt gefördert. Angriffsablauf Exploits Ein Exploit ist spezifisch für eine konkrete Vulnerability; daher muss die anzugreifende Software mit Version, Update, Build bekannt sein; zu einer Vulnerability können mehrere Exploits existieren. Exploits bestehen aus Programm- oder Skriptcode (Payload) einer Folge von Befehlen und sind daher spezifisch für die benutzte Prozessorarchitektur oder das jeweilige Programm sowie ggf. dem sog. Offset: Daten, die z.b. für einen Buffer Overflow übertragen werden wie der einzuschleusende Programmcode und die Rücksprungadresse [Breirer 2006]. Exploits können selbst Sicherheitslücken enthalten. Anpassung an das Zielsystem Sofern die Systemkonfiguration aus mehreren Rechnern (Mehrrechnersystem mit Servern, sequentiell angeordneten Firewalls etc.) besteht, muss zu jeder Hardware die anzugreifende Software ermittelt werden und es muss auch jeder Rechner mit einem (ggf. anderen) Exploit erfolgreich angegriffen werden; für komplexe Hardware-/Software- Konfigurationen wird ein Analyseverfahren vorgeschlagen [Schneier 1999]. Allerdings kann ein Angriff auch einen der ggf. durchgehend offenen Ports ausnutzen. Angriffsziel Angriffe zielen auf die Zuweisung von möglichst umfangreichen Zugriffsrechten (Administrator), um Daten zu lesen oder zu schreiben; dazu werden z.b. auch Rootkits eingeschleust, die eine Virtualisierungsschicht zwischen Hardware und Betriebssystem oder über dem Betriebsystem installieren, um nicht-auditierbar arbeiten zu können [Garfinkel 2007, Heise 2006b, Rutkowska 2006]. Fehlender Schutz Zwar kann Sicherheitssoftware bekannte Exploits erkennen dies gilt jedoch nicht für noch unveröffentlichte Sicherheitslücken und die zugehörigen Exploits. Ein Angreifer kann evtl. hinterlassene Angriffsspuren (auch in Protokollen) löschen und die Software zurücksetzen, so dass der Benutzer den erfolgten Angriff auch im Nachhinein nicht erkennen oder gar nachweisen kann. Tools zur Erkennung von Sicherheitslücken und zur Entwicklung von Exploits Fuzzer sind Tools zur systematischen Generierung (brute force) von Eingabewerten für Programme; durch Fehlverhalten des Programms können Sicherheitslücken entdeckt werden, die mit Code-Audits noch nicht erkannt wurden [Miller 2007]. Beispiele für Fuzzer sind AxMan, FileFuzz, FTPStress Fuzzer, OWASP JBroFuzz, Smudge und Spikefile [Bachfeld 2006]. Das Metasploit Framework [Metasploit 2007] enthält Informationen über Sicherheitslücken; es ist ein Werkzeug zur Entwicklung und Ausführung von Exploits und enthält ein Shellcode-Archiv [Beirer 2005]. Weitere Tools sind CANVAS [Immunity 2007] und Core Impact [Core Security Technology 2007]. Beispiel-Shellcode findet sich auch an anderen Stellen [shellcode.org 2007].

4 Angriffe erkennende und erschwerende Maßnahmen In jüngerer Zeit wird in den USA diskutiert, den durch unzureichende Sicherheitsmaßnahmen entstandenen Verlust 'sensitiver Daten' unter Strafe zu stellen [Rollins et al. 2007] und ein gesetzlich vorgeschriebenes Mindest-Sicherheitsniveau für Unternehmen und Behörden durchzusetzen. Zugriffskontrolle Administratoren und Benutzern dürfen nur die unverzichtbar benötigten Zugriffsrechte zugeteilt werden. Firewalls (packet filter, stateful inspection, application level), Proxies und Verschlüsselung kontrollieren Zugriffe. Virensuchprogramme und Intrusion Detection (IDS) und Intrusion Protection Systeme (IPS) können alle vom Hersteller berücksichtigten Sicherheitslücken und Exploits erkennen. Verbindungspolitik und Datenübertragungsrate Zu den begrenzenden Faktoren gehört in erster Linie eine restriktive Verbindungspolitik des Zielsystems zum Internet oder physisches Abschalten bei Nicht-Nutzung (der Sleep- Modus ist unzureichend); weiterhin wirkt die zur Verfügung stehende Datenübertragungsrate des Zielsystems begrenzend. Gegen unberechtigte Zugriffe aus lokalen Netzen, Intranets, Extranets und dem Internet sind Stand-Alone-Systeme besser geschützt: Physisch von Netzen getrennt. Sicherheitsqualität eingesetzter Software Grundsätzlich kann bei Software (insbesondere Sicherheitssoftware) und Hardware durch die Evaluierung und Zertifizierung nach ISO/IEC (Common Criteria) ein höheres Sicherheitsniveau erreicht werden; dies gilt insbesondere für das Evaluation Assurance Level EAL 4 ('methodisch entwickelt, getestet und durchgesehen') und höher [ISO 15408]. Fehlerkorrekturen Bekannte Sicherheitslücken oder Exploits sollten durch überprüfte Fehlerkorrekturen (Bypass, Fix, Hotfix, Patch) behoben werden (Patch-Management). Automatische Fernwartung und automatisches Updating muss allerdings verhindert werden. Arbeitsumgebung Mit dem Booten von und Abspeichern der Nutzdaten auf portablen (ggf. read-only) Datenträgern wie CD-ROM, Festplatten, USB-Sticks o.ä. kann eine festgelegte Arbeitsumgebung (Sandbox) geschaffen werden; diese Arbeitsumgebung ist schwerer manipulierbar. Hardware-Komponenten Die Geschwindigkeit der Komponenten Prozessor, Hauptspeicher und periphere Geräte etc. kann begrenzend wirken. Prüfsummen und Protokollierung Änderungen an Programmen und Nutzdaten können mit wiederholtem Einsatz von Prüfsummenverfahren erkannt werden. Mit forensischen Maßnahmen wie Protokollierung der Rechnernutzung und Auswertung können Angriffe erkannt werden. Quellcode-Analyse Anwendungssoftware kann Tool-gestützt getestet werden und der Quellcode auf sicherheitsrelevante Fehler überprüft werden [debian 2007, Gerkis 2007, OWASP 2007]. Acknowledgments Mein großer Dank gebührt allen engagierten Studierenden, die sich im Rahmen des Software Development Lifecycle intensiv mit der Bewertung des Sicherheitsniveaus von Software mit Hilfe von Exploiting Frameworks, Fuzzern, Threat Modeling, Source Code Analysis etc. beschäftigt haben.

5 Für die kritische Durchsicht danke ich Herrn Dipl.-Inform. Gerd Hofemann. Literatur Anderson, R.: Why Information Security is Hard. An Economic Perspective. London users/rja14/econ.pdf Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Hrsg.): Technische Aspekte der Online-Durchsuchung. O.O Arbaugh, W.A.; Fithen, W.L.; McHugh, J.: Windows of Vulnerability: A Case Study Analysis. IEEE Computer 12, 52 59, 2000 Arora, A., Telang, R., Xu, H.: Optimal Policy for Software Vulnerability Disclosure, Arbeitsbericht der H. John Heinz III School of Public Policy and Management, Carnegie Mellon University, Pittsburgh Arora, A.; Telang, R.: Economics of Software Vulnerability Disclosure. IEEE Security and Privacy, 3 (1), 20-25, 2005 Bachfeld, D.: Die Axt im Walde. Einführung in Fuzzing-Tools. Heise Security 18. Aug Bächer, P.; Holz, T.; Kötter, M.; Wichersky, G.: Know your Enemy: Tracking Botnets. Using Honeynets to learn more about Bots Beirer, S.: Metasploit Framework v3.0. In: GAI NetConsult GmbH (Hrsg.): Security Journal. Berlin 12/2006 security/secjournal/secjournal_0628.pdf BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.): 21. Tätigkeitsbericht Bonn 2007 BMI Bundesministerium des Innern (Hrsg.): Entwurf eines IT-Sicherheitsgesetzes. Berlin 30. Mai 2008 Böhme, R.: Vulnerability Markets. What is the economic value of a zero-day exploit? In: Proc. of 22C3. Berlin fahrplan/attachments/542- Boehme2005_22C3_VulnerabilityMarkets.pdf Böhme, R.: A comparison of market approaches to software vulnerability disclosure. In G. Müller (Hrsg.): Proc. of ETRICS, Freiburg, Juni , Berlin link.asp?id=428k87mr2h Bonner, E.: Streit um Bugtraq-Eintrag: Aufklären oder schweigen. PC Welt 21. Nov Browne, H.K.; McHugh, J.: A Trend analysis of Exploitations. CS-TR-4200, UMIACS-TR , 2000 Camp, L.J.; Wolfram, C.D.: Pricing Security: Vulnerabilities as Externalities. Economics of Information Security 12, 2004 Christey, S.; Wysopal, C.: Responsible Vulnerability Disclosure Process. Internet-Draft. MITRE Bedford 2002 Clinton, N.: How Windows Update Keeps Itself Up-to-Date. Microsoft TechNet Core Security Technology (Ed.): Core Impact. Boston Coverity Inc. (Ed.): [Homepage] San Francisco Danchev, D.: Malware future trends. o.o Debian (Hrsg.): Werkzeuge für Sicherheit-Audits. Eidenberg, A.: Exploits für alle. Heise Security Fox, D. (Hrsg.): Secorvo Security News Juli Karlsruhe Garfinkel, T.; Adams, K.; Warfield, A.; Franklin, J.: Compatibility is Not Transparency: VMM Detection Myths and Realities. 11thWorkshop on Hot Topics in Operating Systems San Diego, CA May 7 9, papers/hotos07/vmm-detection-hotos07.pdf Gerkis, A.; Danahy, J.: Software Security Governance in the Development Lifecycle. Boston 2007 GI Gesellschaft für Informatik (Hrsg.): GI fordert Veröffentlichung von Sicherheitslücken in Software. Bonn Heise Security (Hrsg.): Untergrundauktionen: Vista-Exploit $, ebay-konto 7 $. Hannover 2006a heise.de/security/news/meldung/82679 Heise Security (Hrsg.): Rootkit verschiebt Windows in virtuelle Maschine. Hannover 2006b security/news/meldung/79676 Heise Security (Hrsg.): Betreiber von Exploit-Auktionen spricht auf Microsofts Hacker-Konferenz. Hannover security/news/meldung/96800 IBM Internet Security Systems (Ed.): Cyber Attacks On The Rise: IBM 2007 Midyear Report. Somers documents/whitepapers/x-force_threat_executive_brief_aug_07.pdf idefense Labs (Ed.): Vulnerability Contributor Program. Sterling Va. 2007a idefense Labs (Ed.): Major Threats and Trends Impacting the 2007 Cyber Security Landscape. Sterling Va. 2007b com/static/ pdf Immunity (Ed.): CANVAS. Miami Beach ISO/IEC 15408: Information technology -- Security techniques -- Evaluation criteria for IT security -- Parts 1, 2, 3 Genf 2005 Jones, J.R.: Estimating Software Vulnerabilities. IEEE Security & Privacy 5, 4, 28 32, 2007 Kannan, K.; Telang, R.: Market For Software vulnerabilities? Think Again. Management Science, 51(5), MS_market.pdf Keizer, G.: UCLA admits Massive Data Hack. Informationweek Dec. 12, 2006

6 Krebs, B.: A Time to Patch. com/securityfix/2006/01/a_time_to_patch.html 2006 Ma Huijuan: Handling Less Than Zero Day Attack A Case Study. Seville conference/2007/papers/huijuan-ma-slides.pdf Martinez, V.: PandaLabs Report: Mpack uncovered. O.O articulares McAfee (Hrsg.): Virtual Criminology Report. North American Study into Organized Crime and the Internet. Hamburg corporate/2006/ _124141_v.html Metasploit (Ed.): Bustin shells since Miller, B.P.: Fuzz testing of Application Reliability. Madison Miller, C.: The legitimate vulnerability market: The secretive world of 0-day exploit sales Mitre (Ed.): Common Vulnerabilities and Exposures (CVE). The Standard for Information Security Vulnerability Names Naraine, R.: Researcher: WMF Exploit Sold Underground for $4,000. February 2, NSTAC - The Presidents National Security Telecommunications Advisory Committee (Ed.): NSTAC Report to the President on International Communications. Washington 2007 Ozment, A.: Bug Auctions: Vulnerability Markets Reconsidered. In Workshop of Economics and Information Security, Minneapolis OWASP - Open Web Application Security Project (Ed.): Source Code Analysis Tools. Source_Code_Analysis_Tools Parson, G.; Thorne, G.: Internet Security Threat Report Vol. XI. O.O storage/ original/ application/ 6c785bbe879fc3ddd2c af6.ppt Pohl, H.: Zur Technik der heimlichen Online-Durchsuchung. Datenschutz und Datensicherung 31, 9, , Porter, B.: Approaching Zero. A Study in Zero-Day Exploits. Origin, Cases, and Trends. Norwich o.j. current/ 2_2_art01.pdf Rath, C.: Der Zoll ist schon drin. In: Kölner Stadt-Anzeiger 7. Okt shtml Rescorla, E.: Is finding security holes a good idea? In: Workshop on Economics and Information Security. Minneapolis Rollins, J.; Wilson, C.: Terrorist Capabilities for Cyberattack: Overview and Policy Issues. CRS Report for Congress. Washington 2007 Royal Canadian Mounted Police (Ed.): Future Trends in Malicious Code 2006 Report. Ottawa 2006 Rutkowska, J.: Subverting Vista Kernel for Fun and Profit. Black Hat Aug Schechter, S.E.: How to buy better testing: Using competition to get the most security and robustness for your dollar. In: Proceedings of the Infrastructure Security Conference. Bristol 2002 Schneier, B.: Attack Trees. Dr. Dobb's Journal December Schneier, B.: Full Disclosure and the Window Exposure. Sept. 15, Schneier, B.: Business Models for Discovering Security Vulnerabilities. Mountain View SecurityFocus (Ed.): Bugtraq shellcode.org (Ed.): [Homepage] Shimel, A.: Less Than Zero Threat. Oct. 19, Stone, B.: Moscow company scrutinizes computer code for flaws. International Herald Tribune January 29, articles/2007/01/29/business/bugs.php Symantec (Ed.): Symantec Internet Security Threat Report. Trends for January June 07. Vol. XII. Cupertino TippingPoint (Ed.): Zero Day Initiative VulnWatch (Ed.): [Homepage] Wabisabilabi (Ed.): Closer to zero risk. London Zero Day Initiative (Ed.): Published ZDI Advisories. Austin 2007a advisories.html Zero Day Initiative (Ed.): Upcoming ZDI Advisories. Austin 2007b upcoming_advisories.html

Heimliche Online-Durchsuchung

Heimliche Online-Durchsuchung Heimliche Online-Durchsuchung Anlass, Technik und Folgen 24. September 2009 EDV-Gerichtstag Saarbrücken Prof. Dr. Hartmut Pohl Online-Durchsuchung Remote Forensic Software: verdeckte Suche nach verfahrensrelevanten

Mehr

1 Ziele der Sicherheitsbehörden

1 Ziele der Sicherheitsbehörden Aufsätze Zur Technik der heimlichen Hartmut Pohl Zur Durchführung der (heimlichen) so genannten existieren eine ganze Reihe falscher Vermutungen wie universell einsetzbare Würmer oder Viren, die der (ebenfalls

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Informationssicherheit 2010

Informationssicherheit 2010 Informationssicherheit 2010 CONNECT 19. Jahreskonferenz zur praktischen IT-Sicherheit Donnerstag, 12. November 2009, IHK Neuss Prof. Dr. Hartmut Pohl Prof. Dr. Hartmut Pohl BSc. Peter Sakal Penetration

Mehr

IBM Security Systems: Intelligente Sicherheit für die Cloud

IBM Security Systems: Intelligente Sicherheit für die Cloud : Intelligente Sicherheit für die Cloud Oliver Oldach Arrow ECS GmbH 2011 Sampling of Security Incidents by Attack Type, Time and Impact Conjecture of relative breach impact is based on publicly disclosed

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Sicherheit dank Durchblick. Thomas Fleischmann Sales Engineer, Central Europe

Sicherheit dank Durchblick. Thomas Fleischmann Sales Engineer, Central Europe Sicherheit dank Durchblick Thomas Fleischmann Sales Engineer, Central Europe Threat Landscape Immer wieder neue Schlagzeilen Cybercrime ist profitabel Wachsende Branche 2013: 9 Zero Day Vulnerabilities

Mehr

Malware in Deutschland

Malware in Deutschland Malware in Deutschland Wie Internetkriminelle den Markt sehen >>> Foto: www.jenpix.de / pixelio.de Agenda Über die NetUSE AG und mich Zeitliche Entwicklung von Malware Wachstum bei neuer Malware Infektionspunkte

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION

KASPERSKY SECURITY FOR VIRTUALIZATION KASPERSKY SECURITY FOR VIRTUALIZATION SCHUTZ FÜR SERVER, DESKTOPS & RECHENZENTREN Joachim Gay Senior Technical Sales Engineer Kaspersky Lab EXPONENTIELLER ANSTIEG VON MALWARE 200K Neue Bedrohungen pro

Mehr

Deep Discovery. Udo Schneider Trend Micro Udo_Schneider@trendmicro.de. 03.07.2012 Copyright 2012 Trend Micro Inc.

Deep Discovery. Udo Schneider Trend Micro Udo_Schneider@trendmicro.de. 03.07.2012 Copyright 2012 Trend Micro Inc. Deep Discovery Udo Schneider Trend Micro Udo_Schneider@trendmicro.de 03.07.2012 Copyright 2012 Trend Micro Inc. 1 1 APTs und zielgerichtete Angriffe -- The New Norm - IDC A Cyber Intrusion Every 5 Minutes

Mehr

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES 2 59 markets and 36 languages 76 markets and 48 languages 200+ CLOUD SERVICES Informations-Sicherheit Risiken kennen Informations-Sicherheit ist eine Risiko-Management Disziplin des Geschäftsbereich und

Mehr

Advanced Persistent Threat

Advanced Persistent Threat Advanced Persistent Threat Ivan Bütler Compass Security AG, Schweiz Ivan.buetler@csnc.ch Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel.+41 55-214 41 60 Fax+41 55-214 41 61

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Enterprise Security mit Alcatel-Lucent. PreSales Seminare Juni 2009

Enterprise Security mit Alcatel-Lucent. PreSales Seminare Juni 2009 Enterprise Security mit Alcatel-Lucent PreSales Seminare Juni 2009 Agenda 1. Was ist Sicherheit? 10:00 10:30 2. Sichere (Daten)infrastruktur 10:30 13:00 3. Mittagspause 13:00 14:00 4. Application Securtiy

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013 Reverse Cloud Michael Weisgerber Channel Systems Engineer DACH September 2013 Öffentliche Wahrnehmung - heute Flame Duqu Stuxnet Page 2 2011 Palo Alto Networks. Proprietary and Confidential. Öffentliche

Mehr

Überblick zu den aktuellen Sicherheitsrisiken und Schwachstellen im IT-Bereich

Überblick zu den aktuellen Sicherheitsrisiken und Schwachstellen im IT-Bereich Fakultät Informatik, Institut für Systemarchitektur, Professur für Datenschutz und Datensicherheit (DuD) Überblick zu den aktuellen Sicherheitsrisiken und Schwachstellen im IT-Bereich Ivan Gudymenko ivan.gudymenko@mailbox.tu-dresden.de

Mehr

Industrial Control Systems Security

Industrial Control Systems Security Industrial Control Systems Security Lerneinheit 4: Risk Assessment Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/2014 20.1.2014 Einleitung Einleitung Das Thema dieser

Mehr

Know your Enemy behind you. Information Security Society Switzerland ISSS2010XZ643293 2

Know your Enemy behind you. Information Security Society Switzerland ISSS2010XZ643293 2 Cyber Underground St.Galler Tagung 29. April 2010, St.Gallen Ivan Bütler E1 Compass Security AG Vorstand ISSS Information Security Society Switzerland 1 Know your Enemy behind you Information Security

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems (IDS)

Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems (IDS) Technische Universität Ilmenau Fakultät für Informatik und Automatisierung Institut für Praktische Informatik und Medieninformatik Fachgebiet Telematik Prof. Dr. Dietrich Reschke Klassifikation und Einsatzmöglichkeiten

Mehr

Kostensparen durch frühzeitige Identifizierung von Sicherheitslücken mit Threat Modeling und Fuzzing

Kostensparen durch frühzeitige Identifizierung von Sicherheitslücken mit Threat Modeling und Fuzzing Kostensparen durch frühzeitige Identifizierung von Sicherheitslücken mit Threat und Fuzzing Prof. Dr. Hartmut Pohl Hochschule Bonn-Rhein-Sieg Mit dem Einsatz von Tools zum Threat (Designphase) und Fuzzing

Mehr

Ein kurzer Überblick über das Deutsche Honeynet Projekt

Ein kurzer Überblick über das Deutsche Honeynet Projekt Dependable Distributed Systems Ein kurzer Überblick über das Deutsche Honeynet Projekt Thorsten Holz Laboratory for Dependable Distributed Systems holz@i4.informatik.rwth-aachen.de Thorsten Holz Laboratory

Mehr

Informationen zu Schwachstellen

Informationen zu Schwachstellen 40 DFN Mitteilungen Ausgabe 77 November 2009 SICHERHEIT Informationen zu Schwachstellen Das neue DFN-CERT Portal (Teil 2) Text: Gerti Foest (DFN-Verein), Torsten Voss (DFN-Cert Services GmbH) Foto: moodboard,

Mehr

IT-Sicherheit - zwischen Euphorie und Hoffnungslosigkeit

IT-Sicherheit - zwischen Euphorie und Hoffnungslosigkeit IT-Sicherheit - zwischen Euphorie und Hoffnungslosigkeit Prof. Dr.-Ing. Damian Weber Hochschule für Technik und Wirtschaft des Saarlandes Hochschule für Technik und Wirtschaft 7 Fachbereiche 4 Standorte

Mehr

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Thomas Stein Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Diplomica Verlag GmbH Inhaltsverzeichnis Abbildungsverzeichnis 7 Tabellenverzeichnis 9 Listingverzeichnis

Mehr

Penetrationstests mit Metasploit

Penetrationstests mit Metasploit Michael Kohl Linuxwochenende 2011 24 September 2011 Outline 1 Einleitung 2 Penetration Testing 3 Metasploit 4 Demo 5 Ressourcen Über mich Früher: Linux/Unix Admin / Systems Engineer Jetzt: Rails-Entwickler,

Mehr

Security. 2013 IBM Corporation

Security. 2013 IBM Corporation Security 1 2013 IBM Corporation IBM X-Force 2013 Mid-Year Trend and Risk Report Carsten Dietrich 2 2013 IBM Corporation X-Force bildet die Basis für Advanced Security and Threat Research für das IBM Security

Mehr

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia 3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia Alexander Meisel HP OpenView 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Wie virtuell ist Ihre Sicherheit?

Wie virtuell ist Ihre Sicherheit? Wie virtuell ist Ihre Sicherheit? Virtualisierungskonzepte neue Herausforderungen für Ihre IT-Sicherheit Gebrüder-Himmelheber-Str. 7 76135 Karlsruhe 29.03.2007 Fon: Fax: E-Mail: WWW: 0721 / 20 120 0 0721

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

Secure Business Austria

Secure Business Austria Secure Business Austria Science for better Security Secure Business Austria Forschungszentrum für IT-Sicherheit und Prozessmanagement (dzt noch K-Ind) Kooperation von Unternehmen und wissenschaftlichen

Mehr

SCAP im Security Process

SCAP im Security Process SCAP im Security Process Security Transparent Lukas Grunwald 2015-05-06 Version 2014062101 Die Greenbone Networks GmbH Fokus: Vulnerability Management Erkennen von und schützen vor Schwachstellen Fortlaufende

Mehr

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Risikomanagement für IT-Netzwerke mit Medizinprodukten FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Agenda Ausgangssituation Herausforderungen Der erste Schritt als

Mehr

Informationssicherheit in Unternehmen

Informationssicherheit in Unternehmen Informationssicherheit in Unternehmen Erfahrungen aus 5 Praxisprojekten mit mittleren und großen Unternehmen IT-Showcase 21. Juni 2001 Prof. Dr. Hartmut Pohl Hartmut.Pohl@fh-bonn-rhein-sieg.de Forschungsstelle

Mehr

Überwachung der Sicherheit von IT-Services im Einsatz

Überwachung der Sicherheit von IT-Services im Einsatz Überwachung der Sicherheit von IT-Services im Einsatz Franz Lantenhammer Oberstleutnant Dipl.-Ing., CISSP Leiter CERTBw IT-Zentrum der Bundeswehr franzlantenhammer@bundeswehr.org franz.lantenhammer@certbw.de

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Seminar für Wirtschaftsinformatiker (Master/Diplom) Sommersemester 2012

Seminar für Wirtschaftsinformatiker (Master/Diplom) Sommersemester 2012 Seminar für Wirtschaftsinformatiker (Master/Diplom) Sommersemester 2012 Lehrstuhl für Wirtschaftsinformatik, insb. Systementwicklung Julius-Maximilians-Universität Würzburg 07.02.2012 Erwerb von Kompetenzen

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

Hubert Schweinesbein Tel. 0911 / 749 53-626 e-mail: Hubert.Schweinesbein@suse.de

Hubert Schweinesbein Tel. 0911 / 749 53-626 e-mail: Hubert.Schweinesbein@suse.de Hubert Schweinesbein Tel. 0911 / 749 53-626 e-mail: Hubert.Schweinesbein@suse.de Die nächsten 60 Minuten Der Linux Markt Was ist Linux - was ist Open Source Was macht SuSE SuSE Linux Server Strategie SuSE

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Next Generation Firewall: Security & Operation Intelligence

Next Generation Firewall: Security & Operation Intelligence Next Generation Firewall: Security & Operation Intelligence Umfassend über unterschiedliche Infrastrukturbereiche (P, DC, RA) Flexible Umsetzung: unterschiedliche Topologien & Plattformen Eine Richtlinie:

Mehr

Software Security. Software Vulnerability Management (SVIM) Prof. Dr. Hartmut Pohl

Software Security. Software Vulnerability Management (SVIM) Prof. Dr. Hartmut Pohl Software Security Software Vulnerability Management (SVIM) Prof. Dr. Hartmut Pohl Software Security Threat Modeling, Static Analysis, Fuzzing: Identifying undetected Vulnerabilities Prof. Dr. Hartmut Pohl

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

Neues aus dem DFN-CERT. 57. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2012 Tilmann Haak

Neues aus dem DFN-CERT. 57. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2012 Tilmann Haak Neues aus dem DFN-CERT 57. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2012 Tilmann Haak Agenda Neues aus dem DFN-CERT Schwachstellen Automatische Warnmeldungen Aktuelle Vorfälle 57. DFN-Betriebstagung,

Mehr

Sophos Complete Security. Trainer und IT-Academy Manager BFW Leipzig

Sophos Complete Security. Trainer und IT-Academy Manager BFW Leipzig Sophos Complete Trainer und IT-Academy Manager BFW Leipzig Mitbewerber Cisco GeNUA Sonicwall Gateprotect Checkpoint Symantec Warum habe ICH Astaro gewählt? Deutscher Hersteller Deutscher Support Schulungsunterlagen

Mehr

Oracle Datenbank Security Lösungen

Oracle Datenbank Security Lösungen Und was kommt nach Heartbleed und ShellShock? Ein kritischer Überblick über die Security Produkte rund um die Oracle Datenbank Themenübersicht Herausforderungen im Security Bereich im letzten Jahr Security

Mehr

Managing Security Information in the Enterprise

Managing Security Information in the Enterprise Swiss Security Summit 2002 Managing Security Information in the Enterprise Zurich Financial Services Urs Blum, CISSP urs.blum@zurich.com Zurich Financial Services Introduction Strategie Umsetzung Betrieb

Mehr

Visualisierung & Absicherung von Anwendungen, Benutzern und Inhalten. Sichtbarkeit & Transparenz: Entscheidungsqualität?

Visualisierung & Absicherung von Anwendungen, Benutzern und Inhalten. Sichtbarkeit & Transparenz: Entscheidungsqualität? Visualisierung & Absicherung von Anwendungen, Benutzern und Inhalten Operations Intelligence mit der Next Generation Firewall Achim Kraus Palo Alto Networks Inc. 11.2013 Sichtbarkeit & Transparenz: Entscheidungsqualität?

Mehr

Digital Rights Management : Sony Episode. Thomas Meilleroux & Fabian Schneider TU Berlin 2007

Digital Rights Management : Sony Episode. Thomas Meilleroux & Fabian Schneider TU Berlin 2007 Digital Rights Management : Sony Episode 1 Thomas Meilleroux & Fabian Schneider TU Berlin 2007 Überblick Einführung Wie funktioniert es im Prinzip? Was war das Problem bei Sony? Was meinen die Experten?

Mehr

Cloud Computing in der öffentlichen Verwaltung

Cloud Computing in der öffentlichen Verwaltung Cloud Computing in der öffentlichen Verwaltung Willy Müller - Open Cloud Day 19.6.2012 2 Plug and Cloud? 3 The plug tower BPaaS Software SaaS Platform PaaS Storage/ Computing IaaS Internet Power grid 4

Mehr

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Intrusion Detection und Prevention Systeme IT-Sicherheitssysteme wie ein Intrusion Detection System bzw. Intrusion Prevention System

Mehr

Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance

Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance SWG Partner Academy Rational Mehr Sicherheit für Ihre Webanwendungen und Hacker haben keine Chance 3. Tag, Donnerstag den 09.10.2008 Michael Bleichert Rational Channel Manager Germany Michael.Bleichert@de.ibm.com

Mehr

Advanced Exploiting. tk, tk@trapkit.de IT-DEFENSE 2005

Advanced Exploiting. tk, tk@trapkit.de IT-DEFENSE 2005 Advanced Exploiting tk, tk@trapkit.de IT-DEFENSE 2005 Stand der Dinge Schutzmechanismen werden ausgereifter (Netz/Host) Trend zu mehr Komplexität ( ( CP AI/WI, Parser, ) Logische Konsequenzen für Angreifer:

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Intelligente und machbare Schutzkonzepte für mittelständische Unternehmen Next Generation Netzwerksicherheit. Don T. Kalal main.it 2014 @ 25.09.

Intelligente und machbare Schutzkonzepte für mittelständische Unternehmen Next Generation Netzwerksicherheit. Don T. Kalal main.it 2014 @ 25.09. Intelligente und machbare Schutzkonzepte für mittelständische Unternehmen Next Generation Netzwerksicherheit Don T. Kalal main.it 2014 @ 25.09.14 Warum was neues? 91% Attackers are more increase in targeted

Mehr

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH Trend Micro Deep Security Tobias Schubert Pre-Sales Engineer DACH Trends in Datenzentren Schutz von VMs VMsafe Der Trend Micro Ansatz Roadmap Virtual Patching Trends in Datenzentren Schutz von VMs VMsafe

Mehr

Sicherheit von Open Source Software

Sicherheit von Open Source Software Sicherheit von Open Source Software Wie sicher ist Open Source Software? Lukas Kairies Gliederung 1. Begriffseinführung 1. Freie Software 2. Open Source Software 2. Sicherheitsphilosophien 1. Open Source

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

IDS: Trends und Herausforderungen 2007

IDS: Trends und Herausforderungen 2007 Zürcher Tagung für Informationssicherheit IDS: Trends und Herausforderungen 2007 Bernhard Tellenbach Überblick Gegenwärtige Sicherheitslage Herausforderungen an IDS/IPS Das EU Projekt NoAH: Ein Entwurf

Mehr

Total Security Intelligence. Die nächste Generation von Log Management and SIEM. Markus Auer Sales Director Q1 Labs.

Total Security Intelligence. Die nächste Generation von Log Management and SIEM. Markus Auer Sales Director Q1 Labs. Total Security Intelligence Die nächste Generation von Log Management and SIEM Markus Auer Sales Director Q1 Labs IBM Deutschland 1 2012 IBM Corporation Gezielte Angriffe auf Unternehmen und Regierungen

Mehr

Carl Friedrich von Weizsäcker Friedensvorlesung. Cyber Security Cyber War Cyber Peace. Soziale Sicht. Prof. Dr. Tobias Eggendorfer

Carl Friedrich von Weizsäcker Friedensvorlesung. Cyber Security Cyber War Cyber Peace. Soziale Sicht. Prof. Dr. Tobias Eggendorfer Carl Friedrich von Weizsäcker Friedensvorlesung Cyber Security Cyber War Cyber Peace Soziale Sicht Cyber Internet? Computer? 2 Cyber-War Kriegsführung durch Angriffe auf IT-Systeme Cyber-Security Schutz

Mehr

Cyber Attack Information System - CAIS

Cyber Attack Information System - CAIS Cyber Attack Information System - CAIS Vorstellung im Beirat für Informationsgesellschaft am 28. Juni 2013 AIT Austrian Institute of Technology Department Safety & Security H. Leopold, H. Schwabach, T.

Mehr

12 Jahre lang immer wieder alles anders

12 Jahre lang immer wieder alles anders 12 Jahre lang immer wieder alles anders Wieland Alge, GM EMEA (vormals CEO phion) Wien, 21. November 2011 Agenda Für einen Erfahrungsbericht ist die Redezeit ein Witz Deshalb nur ein kleiner Überblick

Mehr

2. Automotive SupplierS Day. Security

2. Automotive SupplierS Day. Security 2. Automotive SupplierS Day Security Cyber security: Demo Cyberangriffe Steigen rasant An BEDROHUNGEN VERÄNDERN SICH: Heutige Angriffe durchdacht und erfolgreich Damage of Attacks DISRUPTION Worms Viruses

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Open Source Security Tools

Open Source Security Tools Open Source Security Tools Berlin, 17.03.2014 Daniel Hallen, Malte Leek Kontakt: dhallen@dahamoo.com, mleek@dahamoo.com Dahamoo GmbH Adenauerallee 104, 53113 Bonn/Germany Tel.: +49 228 929 82560 Web: www.dahamoo.com

Mehr

Matthias Schorer 14 Mai 2013

Matthias Schorer 14 Mai 2013 Die Cloud ist hier was nun? Matthias Schorer 14 Mai 2013 EuroCloud Deutschland Conference 2013 Matthias Schorer Accelerate Advisory Services Leader, CEMEA 29.05.13 2 29.05.13 3 The 1960s Source: http://www.kaeferblog.com/vw-bus-t2-flower-power-hippie-in-esprit-werbung

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Patchmanagement. Jochen Schlichting jochen.schlichting@secorvo.de. Jochen Schlichting 15.-17.11.2011

Patchmanagement. Jochen Schlichting jochen.schlichting@secorvo.de. Jochen Schlichting 15.-17.11.2011 IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzungen jochen.schlichting@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt

Mehr

Vulnerability Scanning + Penetration Testing

Vulnerability Scanning + Penetration Testing Vulnerability Scanning + Penetration Testing Seminar IT-Sicherheit Felix Riemann felixriemann@student.uni-kassel.de 29. Januar 2011 Gliederung Vulnerability Scanning Was ist das? Scanner Demo: Nessus Penetration

Mehr

3D City Model Berlin Spatial Data Infrastructure Berlin: The 3D City Model ERDF Project Strategic Goal 3D City Model Berlin Strategic Goal Use of 3D City Model for: City and Urban Planning, Political Issues

Mehr

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet DesktopSecurity Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet Ralf Niederhüfner PROLINK internet communications GmbH 1 Desktop Security Szenarien

Mehr

Operational Excellence - ASOC 2.0

Operational Excellence - ASOC 2.0 Operational Excellence - ASOC 2.0 Kai Grunwitz Vice President Professional Services Central Europe München 19.05.2015 Agenda Kurzvorstellung NTT Com Security Security Operations: Aufgaben und Herausforderungen

Mehr

IBM Security Systems Live Hacking Demo

IBM Security Systems Live Hacking Demo IBM Security Systems Live Hacking Demo Christian Meßmer Client Technical Professional IBM Security Systems Division Phone: +49-(0)172-6226165 E-Mail: christian.messmer@de.ibm.com IBM Threat Protection

Mehr

Sicherung unternehmenskritischer Werte mit Intrusion Prevention der nächsten Generation

Sicherung unternehmenskritischer Werte mit Intrusion Prevention der nächsten Generation Sicherung unternehmenskritischer Werte mit Intrusion Prevention der nächsten Generation Volker Marschner CISSP, Security Consultant Sourcefire GmbH, now part of Cisco Alle waren wurden smart sicher gehackt

Mehr

Secure Linux Praxis. ein How-To Vortrag am 11.05.2006. Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe

Secure Linux Praxis. ein How-To Vortrag am 11.05.2006. Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe Secure Linux Praxis ein How-To Vortrag am 11.05.2006 Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe Workshop Agenda "IT-Sicherheit" - Grundlagen - Gefährdungen Linux Absicherung

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Veräußerung von Emissionsberechtigungen in Deutschland

Veräußerung von Emissionsberechtigungen in Deutschland Veräußerung von Emissionsberechtigungen in Deutschland Monatsbericht September 2008 Berichtsmonat September 2008 Die KfW hat im Zeitraum vom 1. September 2008 bis zum 30. September 2008 3,95 Mio. EU-Emissionsberechtigungen

Mehr

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015 Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise Matthias Kaempfer April, 20 2015 Ganzheitlicher SAP Sicherheitsansatz Detect attacks Secure infrastructure Security processes and awareness

Mehr

NEXT GENERATION ENDPOINT SECURITY IN ZEITEN VON APT'S

NEXT GENERATION ENDPOINT SECURITY IN ZEITEN VON APT'S NEXT GENERATION ENDPOINT SECURITY IN ZEITEN VON APT'S Wie unbekannte Bedrohungen erkannt und proaktiv verhindert werden können Markus Kohlmeier, Senior Cyber Security Engineer DTS Systeme Rund 140 Mitarbeiter

Mehr

mobile Geschäftsanwendungen

mobile Geschäftsanwendungen Virenschutz & mobile Geschäftsanwendungen Roman Binder Security Consultant, Sophos GmbH Agenda Die Angreifer Aktuelle Bedrohungen Malware-Trends Die Zukunft Schutzmaßnahmen Die Angreifer Professionalisierung

Mehr

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager)

Radware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager) Radware revolutioniert den DDOS Schutz Markus Spahn: markuss@radware.com (Sales Manager) Über Radware Über 10000 Kunden Stetiges Wachstum 144 167 189 193 5 14 38 43 44 55 68 78 81 89 95 109 98 99 00 01

Mehr

Dr. Uwe Köhler E-Commerce Sicherheit Die drei e-mythen über Sicherheit Inhalt Definition IT-Sicherheit Zustand eines lt-systems, in dem die Risiken,

Dr. Uwe Köhler E-Commerce Sicherheit Die drei e-mythen über Sicherheit Inhalt Definition IT-Sicherheit Zustand eines lt-systems, in dem die Risiken, Dr. Uwe Köhler Practice Manager ATS Security & intermedia Oracle Consulting E-Commerce Sicherheit Mit Linux Die drei e-mythen über Sicherheit 1. Hacker verursachen den größten Schaden. Fakt: 80% der Datenverluste

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

Sicherheit in der Kreditkartenindustrie Vorteile der Payment-Application Data Security Standard (PA-DSS) Zertifizierung

Sicherheit in der Kreditkartenindustrie Vorteile der Payment-Application Data Security Standard (PA-DSS) Zertifizierung Sicherheit in der Kreditkartenindustrie Vorteile der Payment-Application Data Security Standard (PA-DSS) Zertifizierung Andreas Duchmann, 10. Poseidon ZVT Informationsforum, Oktober 2010 CERT Computer

Mehr

IT Security Audits. IT Security Audits. net workers AG

IT Security Audits. IT Security Audits. net workers AG net workers AG Networkers ist eines der in Deutschland führenden Unternehmen für die Planung, den Aufbau und den Betrieb von sicheren und leistungsfähigen Applikations- und Netzwerkinfrastrukturen. Unternehmen

Mehr

Wir befinden uns inmitten einer Zeit des Wandels.

Wir befinden uns inmitten einer Zeit des Wandels. Wir befinden uns inmitten einer Zeit des Wandels. Geräte Apps Ein Wandel, der von mehreren Trends getrieben wird Big Data Cloud Geräte Mitarbeiter in die Lage versetzen, von überall zu arbeiten Apps Modernisieren

Mehr

Getestete Programme. Testmethode

Getestete Programme. Testmethode PDF-EXPLOIT XPLOIT V Welche Folgen hat das Öffnen einer PDF Datei, die ein Exploit enthält? Als Antwort ein kleiner Test mit sieben Programmen und einem typischen PDF-Exploit. Getestete Programme AVG Identity

Mehr