Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day Dr. Amir Alsbih CISO Haufe Gruppe

Größe: px
Ab Seite anzeigen:

Download "Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe"

Transkript

1 Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014 Dr. Amir Alsbih CISO Haufe Gruppe 1

2 Agenda Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 2

3 Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 3

4 Vor Going Live die Verpflichtung Sicherheitsabnahmen durchzuführen Server Source-Code Applikation Sicherheitsanforderungen Unabhängige Verifikation der Sicherheits-Anforderungen 4

5 Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 5

6 Der Betrieb nach ISO ist kein Garant für Sicherheit Vollständiges Outsourcing von Applikationen Erwartung Realität Professioneller, standardisierter und sicherer IT-Betrieb Firewall-Rules konnten nicht begründet werden. Auch konnte nicht nachvollzogen warden, wer die Änderung beantragt Fehlende Benutzerdaten in den Protokolldaten (User / Key) Backup-Mechanismen sind unbekannt Aussage 4 Personen haben Zugriff vs. 12 Benuter hinterlegt. Datenbanken sind teilweise ohne Passwortschutz für Benutzer konfiguriert. Kein allgemeiner Patch-Prozess Keine oder nur rudimentäre Dokumentation (Betriebshandbücher, Notfallkonzepte) Fehlendes Monitoring nach dem Stand der Technik Fazit ISO ist eine Basis kein Garant!

7 Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 7

8 Das Bauchgefühl liegt oft richtig Nutzung von SaaS Diensten mit guten Referenzen Erwartung Professioneller, standardisierter und sicherere Lösung Realität Patch-Management: z.b. Heartbleed Release-Management: z.b. Debian Authentifizierung an der Cloud-Lösung Eigenes Session-Management? Keine Protokollierung von Authentifizierungsversuchen *.* it is a feature Datenschutz-Audit im RZ? Fazit Referenzen einer Homepage ohne Gespräche mit dem Referenzgeber sind nichts wert!

9 Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 9

10 Der volle Stack keine Panik! Modifikation einer On-Premise-Lösung für die Cloud Erwartung Professionalität Realität Fazit Mein persönliches Highlight aus 300+ Projekten

11 Bussines- Verantwortliche Dienstleister Projektleiter Fachbereiche Anwalt Info-Sec Ein Ausschnitt der involvierten Charaktere 11

12 Input Validation /* Beschreibung, welche Formen der Input-Validierung durchgeführt wurden */ Die Eingaben werden geprüft. Entsprechen die Eingaben nicht der Vorgabe (Zahl, Datum, etc) wird ggf. eine Fehlermeldung für den User angezeigt Cross Site Scritping /* Beschreibung der Sicherheitsmaßnahmen gegen Cross Site Scripting */ Im Normalfall werden alle Ausgaben mit c:out der JSTL ausgegeben. Dabei werden die Ausgaben maskiert. Ausnahmen bilden die Inhalte der XXX. Hier müssen die originalen Eingaben unmaskiert ausgegeben werden um die Flexibilität für die Autoren zu erhalten. Alle neue entwickelten Ansichten verwenden das JSTL Tag c:out oder ein von uns erweitertes Tag. Dazu gehören alle Ansichten für Nutzer Im Autorenbereich erfolgen die meisten Eingaben über Assistenten. In den Assistenten werden die Ausgaben ebenfalls mittels c:out gefiltert. In älteren Assistenten werden Scriptlets mit einem Filter verwendet. Diese Stellen werden Schrittweise auf das JSTL Tag c:out umgestellt Interpreter Injection /* Beschreibung der Sicherheitsmaßnahmen gegen Interpreter Injection */ SQL Injections werden durch Prepared Statements verhindert. Angaben aus dem Sicherheitskonzept 12

13 2 Wie war das nochmal mit diesen OWASP- Dingern? 13

14 Statische Code Analyse:60298 Die Realität 14

15 Was sagt der Dienstleister? Die Realität 15

16 Die Realität 16

17 Jetzt ist aber gut oder? Der Dienstleiter ist nicht berechtigt ohne vorherige ausdrückliche schriftliche Zustimmung seitens der XXX vor und während der Vertragsdurchführung geschäftliche, technische oder wirtschaftliche Vorgänge, Abläufe oder sonstige Erkenntnisse gegenüber Dritten, auch nicht der [ ] mitzuteilen Die Realität 17

18 Hintergrund Beispiel Zertifizierungen Beispiel SaaS Service Beispiel Applikationsentwicklung Summary 18

19 Summary Annahmen und impliziete Vermutungen sind der Anfang vom Ende Fragen? Definition von Security SLAs Prüfen, Prüfen, Prüfen Es wird getäuscht, verschleiert, getrickst und sich «blöd» gestellt. 19

20 Vielen // 20

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian.

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel> Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Medienart: Print Medientyp: Publikumszeitschriften Auflage: 312'871 Erscheinungsweise: 26x jährlich

Medienart: Print Medientyp: Publikumszeitschriften Auflage: 312'871 Erscheinungsweise: 26x jährlich Ausschnitt Seite: 1/10 Bericht Seite: 8/28 Datum: 28.05.2010 Ausschnitt Seite: 2/10 Bericht Seite: 9/28 Datum: 28.05.2010 Ausschnitt Seite: 3/10 Bericht Seite: 10/28 Datum: 28.05.2010 Ausschnitt Seite:

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Was ist bei der Entwicklung sicherer Apps zu beachten?

Was ist bei der Entwicklung sicherer Apps zu beachten? Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Anleitung zur Einrichtung einer ODBC Verbindung zu den Übungsdatenbanken

Anleitung zur Einrichtung einer ODBC Verbindung zu den Übungsdatenbanken Betriebliche Datenverarbeitung Wirtschaftswissenschaften AnleitungzurEinrichtungeinerODBC VerbindungzudenÜbungsdatenbanken 0.Voraussetzung Diese Anleitung beschreibt das Vorgehen für alle gängigen Windows

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Peter Scheurer. Mitglied der Geschäftsleitung SOPRA EDV-Informationssysteme GmbH. Schwerpunkte: Hosting, Technologien, Softwareentwicklung

Peter Scheurer. Mitglied der Geschäftsleitung SOPRA EDV-Informationssysteme GmbH. Schwerpunkte: Hosting, Technologien, Softwareentwicklung Zukunftsfabrik Cloud Computing Was ist das? Modernes Reporting mit OLAP, SQL Server und Powerpivot Rechnungswesen / Controlling Sneak Preview: EVS 3.0 Abschluß Peter Scheurer Mitglied der Geschäftsleitung

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

FINANZOnline mit WebService

FINANZOnline mit WebService Orlando-Professional FINANZOnline mit WebService Seite 1 von 10 FINANZOnline mit WebService Die Nutzung des Webservice stellt eine wesentlich komfortablere Möglichkeit der Übertragung via FINANZ- Online

Mehr

Quality. Excellence. Navigation. Knowledge. Security. Management. Systemanforderungen für die Installation von. QLogBook2010 ab Version 2.9.

Quality. Excellence. Navigation. Knowledge. Security. Management. Systemanforderungen für die Installation von. QLogBook2010 ab Version 2.9. Systemanforderungen für die Installation von QLogBook2010 ab Version 2.9.2 Quality Security Excellence Process Risk Management Knowledge Navigation QLogBook Systemanforderungen_rev04.docx Inhaltsverzeichnis

Mehr

Release Notes für die Online-Version der Perinorm - September 2014

Release Notes für die Online-Version der Perinorm - September 2014 Release Notes für die Online-Version der Perinorm - September 2014 Mit der Ausgabe September 2014 wird die Software für die Online-Version von Perinorm aktualisiert. Einige Verbesserungen, die mit diesem

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Was eine WAF (nicht) kann. Ausgabe 2013

Was eine WAF (nicht) kann. Ausgabe 2013 Was eine WAF (nicht) kann. Ausgabe 2013 Mirko Dziadzka http://mirko.dziadzka.de/ @MirkoDziadzka OWASP Stammtisch München - 19.11.2013 1 / 27 Inhalt Worum soll es heute gehen Meine (subjektive) Meinung

Mehr

Cloud-Computing für die öffentliche Verwaltung. Fraunhofer FOKUS. Fraunhofer FOKUS

Cloud-Computing für die öffentliche Verwaltung. Fraunhofer FOKUS. Fraunhofer FOKUS Fraunhofer Institute for Open Communication Systems Kaiserin-Augusta-Allee 31 10589 Berlin, Germany www.fokus.fraunhofer.de Cloud-Computing für die öffentliche Verwaltung Peter H. Deussen, Linda Strick

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

TeleTrusT-Informationstag "Cyber Crime"

TeleTrusT-Informationstag Cyber Crime TeleTrusT-Informationstag "Cyber Crime" Berlin, 20.05.2011 Udo Adlmanninger Secaron AG ILP Information ist mehr als nur Software Agenda Was ist Information Leakage Prevention Motivation aktuelle Datenpannen

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

m.a.x. it Unterföhring, 11.05.2011 Hochverfügbarkeits-Storagelösung als Grundlage für Outsourcing-Services der m.a.x. it

m.a.x. it Unterföhring, 11.05.2011 Hochverfügbarkeits-Storagelösung als Grundlage für Outsourcing-Services der m.a.x. it best OpenSystems Day Unterföhring, m.a.x. it Hochverfügbarkeits-Storagelösung als Grundlage für Outsourcing-Services der m.a.x. it Christian Roth und Michael Lücke Gegründet 1989 Sitz in München ca. 60

Mehr

Informationen zum Datenschutzaudit durch dbc Sachverständige

Informationen zum Datenschutzaudit durch dbc Sachverständige Informationen zum Datenschutzaudit durch dbc Sachverständige Sehr geehrter Kunde, mit dieser Information möchten wir Ihnen einen Überblick über die Auditierung (=Prüfung) und Zertifizierung Ihres Unternehmens

Mehr

Dieses System kann wachsen und sich anpassen, wenn die Anwender entsprechende Anforderungen definieren.

Dieses System kann wachsen und sich anpassen, wenn die Anwender entsprechende Anforderungen definieren. cadsfm Raumbuch Übersicht CADSFM bedeutet Facility Management der Firma CADS Support GmbH und ist eine Applikation zur Pflege und Verwaltung von Metadaten für AutoCAD-Gebäude- und Flächenpläne. Die bietet

Mehr

Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre.

Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre. Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre. 14. Juli 2015. Der Tag, an dem in Ihrem Unternehmen das Licht ausgehen könnte. An diesem Tag stellt

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Cloud Computing - die Lösung der Zukunft

Cloud Computing - die Lösung der Zukunft Cloud Computing - die Lösung der Zukunft Agenda: 08:30 08:40 Begrüssung Herr Walter Keller 08:40 09:00 Idee / Aufbau der Cloud Herr Daniele Palazzo 09:00 09:25 Definition der Cloud Herr Daniele Palazzo

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

TimeSafe Leistungserfassung

TimeSafe Leistungserfassung Keep your time safe. TimeSafe Leistungserfassung Adressimport 1/8 Inhaltsverzeichnis Inhaltsverzeichnis... 2 1 Allgemeines... 3 1.1 Adressen in der TimeSafe Leistungserfassung... 3 1.2 Organisationen und/oder

Mehr

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B G DATA GOES AZURE NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B MADE IN BOCHUM Anbieter von IT-Sicherheitslösungen Gegründet 1985, 1. Virenschutz 1987 Erhältlich in

Mehr

CRM SaaS für Banken und Versicherungen Chancen und Herausforderungen

<Insert Picture Here> CRM SaaS für Banken und Versicherungen Chancen und Herausforderungen CRM SaaS für Banken und Versicherungen Chancen und Herausforderungen Erwin Sharp Oracle Deutschland BV & Co. KG Bedarfstreiber neuer CRM Projekte Sinkende Erträge Abnehmende Kundenloyalität

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

Checkliste Installation. Novaline Bautec.One

Checkliste Installation. Novaline Bautec.One Checkliste Installation Novaline Bautec.One Juli 2013 Inhaltsverzeichnis Neuinstallation Einzelplatz - Start ohne Daten... 3 Einplatz System Mit / Ohne SQL Server installieren... 3 Einplatz / Mehrplatz

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Inhaltsverzeichnis. office@gundg.at

Inhaltsverzeichnis. office@gundg.at Version 1.0.7 2011-2014 G&G research Inhaltsverzeichnis Inhaltsverzeichnis... 1 Allgemeine Eigenschaften des Softwarepakets... 2 Berechtigungen, Datenschutz, Datensicherheit... 2 Arbeitsbereiche... 3 Brandschutzkatalog...

Mehr

HVS32 Datenbank Archivierungs Dienst

HVS32 Datenbank Archivierungs Dienst HVS32 Datenbank Archivierungs Dienst Features: HVS32 - vollautomatisierte, zeitgesteuerte Datenbank Archivierung Der HVS32- Datenbank Archivierungs Dienst bietet die Möglichkeit zu bestimmen, wann und

Mehr

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Magento Application Security. Anna Völkl / @rescueann

Magento Application Security. Anna Völkl / @rescueann Magento Application Security Anna Völkl / @rescueann Anna Völkl @rescueann Magento Certified Developer PHP seit 2004 Magento seit 2011 IT & Telekommunikation (BSc), IT-Security (MSc) LimeSoda (Wien, AT)

Mehr

Application Performance Management. Auch eine Frage des Netzwerkes?

Application Performance Management. Auch eine Frage des Netzwerkes? Application Performance Management Auch eine Frage des Netzwerkes? Agenda Architektur von Webanwendungen Lange Applikationsantwortzeiten Application Performance Management (APM) Netzwerkbasiertes APM Serverbasiertes

Mehr

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved Agenda Web-Anwendungen als schwächstes Glied für Angriffe aus dem Internet Bewertung gängiger Standards und Normen von Web-Anwendungen BSI-Standards 100-1, 100-2 und IT-Grundschutz BSI-Studie ISi-Web:

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

Sicht eines Technikbegeisterten

Sicht eines Technikbegeisterten Cloud und Mobile Apps Quo Vadis? Bernhard Bauer Institut für Software und Systems Engineering Universität Augsburg Oder... IT Arbeitsplatz der Zukunft Sicht eines Technikbegeisterten IT Arbeitsplatz der

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Services aus der Cloud

Services aus der Cloud Services aus der Cloud Chancen und Wege für mein Unternehmen Mario Kretzschmar T-Systems Multimedia Solutions GmbH Kurzprofil der T-Systems MMS. Deutschlands Internetagentur Nummer 1*. Eigenständige, innovative

Mehr

Aktuelle Bedrohungslage

Aktuelle Bedrohungslage Aktuelle Bedrohungslage Seite 1 Seite 2 Waltenhofen Neuss Wiesbaden Waltenhofen Neuss Wiesbaden Security Webinar Der Weg zu Ihrem ganzheitlichen Security-Konzept in 6 Schritten Die nachfolgende Ausarbeitung

Mehr

a.sign Client Lotus Notes Konfiguration

a.sign Client Lotus Notes Konfiguration a.sign Client Lotus Notes Konfiguration Version: 1.0 Datum: 02.03.05 Autor: Franz Brandl, a.trust GmbH Inhalt 1. Allgemeines... 3 2. Dokumentänderungen... 3 3. Vorbedingungen... 4 3.1. Lotus Notes... 4

Mehr

smartpoint Meetings. SharePoint Produktlösungen SharePoint Produktlösung Einfach eingespielt. Einfach verwendbar. Einfach produktiv.

smartpoint Meetings. SharePoint Produktlösungen SharePoint Produktlösung Einfach eingespielt. Einfach verwendbar. Einfach produktiv. SharePoint Produktlösungen Einfach eingespielt. Einfach verwendbar. Einfach produktiv. smartpoint Meetings. SharePoint Produktlösung smartpoint IT consulting GmbH Version 1b Richard Pfeiffer, MA richard.pfeiffer@smartpoint.at

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

ArcGIS for Server: Administration und Neuerungen in 10.2

ArcGIS for Server: Administration und Neuerungen in 10.2 2013 Europe, Middle East, and Africa User Conference October 23-25 Munich, Germany ArcGIS for Server: Administration und Neuerungen in 10.2 Matthias Schenker, Marcel Frehner Map Cache Status Windows and

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Schritt für Schritt zur IT-Spitzenleistung

Schritt für Schritt zur IT-Spitzenleistung Schritt für Schritt zur IT-Spitzenleistung IT-Service und Security Management wirksam gestalten Oliver van de Kamp Security Eye, 14.09.2006, Köln w w w. t u v. c o m Wegbegleiter TÜV Rheinland Secure it

Mehr

Der lange Weg vom SSO-Server zu SAML und Identity Federation

Der lange Weg vom SSO-Server zu SAML und Identity Federation Der lange Weg vom SSO-Server zu SAML und Identity Federation Marc Brenkmann SüdLeasing GmbH Mannheim Dr. Joachim Reising PROMATIS software GmbH Ettlingen Schlüsselworte: Oracle Fusion Middleware 11g, Identity

Mehr

Fachtagung Industrie 4.0 Demonstration und Umsetzung am Beispiel Condition Monitoring

Fachtagung Industrie 4.0 Demonstration und Umsetzung am Beispiel Condition Monitoring R. Petera 26.10.2015 Fachtagung Industrie 4.0 Demonstration und Umsetzung am Beispiel Condition Monitoring HAVER & BOECKER Agenda Grundlegende Problematik / Erste Ziele Vorgehensweise Online Portal Augmented

Mehr

Die Corporate Eventmanagement Software. Made in Germany.

Die Corporate Eventmanagement Software. Made in Germany. Die Corporate Eventmanagement Software. Made in Germany. 1 FUNKTIONALE ÜBERSICHT EVENTMANAGEMENT Professionelle Planung, Durchführung und Nachbereitung von Veranstaltungen aller Art. 3 TEILNEHMERMANAGEMENT

Mehr

Process Intelligence oder: wie durchleuchtet man ein IT-System mit Hilfe von IBO

Process Intelligence oder: wie durchleuchtet man ein IT-System mit Hilfe von IBO Process Intelligence oder: wie durchleuchtet man ein IT-System mit Hilfe von IBO Markus Witschi Betriebsverantwortlicher KMU Swisscom (Schweiz) AG Wien, 25. Juni 2014 Zürich, 7. Juli 2014 Inhalt Ausgangslage

Mehr

Risikofragebogen Cyber-Versicherung

Risikofragebogen Cyber-Versicherung - 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung

Mehr

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein

Befindet sich das Rechenzentrum in einem gefährdeten Gebiet (Überflutung, Erdbeben)? >> Nein Gültig ab dem 01.03.2015 FACTSHEET HCM CLOUD Sicherheit, technische Daten, SLA, Optionen 1. Sicherheit und Datenschutz Wo befinden sich meine Daten? Zugegeben - der Begriff Cloud kann Unbehagen auslösen;

Mehr

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH Security-Webinar Jahresrückblick Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen HS-Anhalt (FH) Fachbereich EMW Seite 1 von 8 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003 Voraussetzungen Es ist keinerlei Zusatzsoftware erforderlich.

Mehr

Benutzerdokumentation für Studierende. Self Service (PW-Recovery Tool) Verwaltungsdirektion Informatikdienste Marc Feer

Benutzerdokumentation für Studierende. Self Service (PW-Recovery Tool) Verwaltungsdirektion Informatikdienste Marc Feer Verwaltungsdirektion Informatikdienste Marc Feer Benutzerdokumentation für Studierende (PW-Recovery Tool) Frohburgstrasse 3 Postfach 4466 6002 Luzern T +41 (0)41 229 50 10 F +41 (0)41 229 50 20 helpdesk@unilu.ch

Mehr

Windows 8 Business-App-Entwicklung

Windows 8 Business-App-Entwicklung Windows 8 Business-App-Entwicklung SDX AG experts für Microsoft Showcase: SDX Privatbilanz Wissen transferieren ALM LOB/Business Wissen erlangen Herzlich Willkommen! ALM Days 2012 Professionelle Windows

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Rembo/mySHN. Version 2.0 Kurzanleitung. das selbstheilende Netzwerk. Stand: 01.05.2006. my selfhealing network

Rembo/mySHN. Version 2.0 Kurzanleitung. das selbstheilende Netzwerk. Stand: 01.05.2006. my selfhealing network Rembo/mySHN Version 2.0 Kurzanleitung das selbstheilende Netzwerk my selfhealing network Stand: 01.05.2006 Postanschrift: SBE network solutions GmbH Edisonstrasse 21 74076 Heilbronn IV Inhalt Kurzanleitung...i

Mehr

Cloud Computing Realitätscheck und Optionen für KMUs

Cloud Computing Realitätscheck und Optionen für KMUs Cloud Computing Realitätscheck und Optionen für KMUs 6. Stuttgarter Sicherheitskongress Michael Wilfer, Fichtner IT Consulting AG Vorsitzender ITK Ausschuss, IHK Region Stuttgart Oktober 04 Cloud Computing

Mehr

CLOUD COMPUTING ARBEITEN UND KOMMUNIZIEREN

CLOUD COMPUTING ARBEITEN UND KOMMUNIZIEREN CLOUD COMPUTING ARBEITEN UND KOMMUNIZIEREN Veranstaltung Cloud Computing: Dienstleistungen aus der Wolke ICB GmbH / www.icb-gmbh.de Cloud Computing IHK Gießen-Friedberg, Agenda 1 2 3 4 5 6 Vorstellung

Mehr

Arbeiten in getrennten Welten sicheres, integriertes Arbeiten in unterschiedlichen Sicherheitszonen

Arbeiten in getrennten Welten sicheres, integriertes Arbeiten in unterschiedlichen Sicherheitszonen Arbeiten in getrennten Welten sicheres, integriertes Arbeiten in unterschiedlichen Sicherheitszonen Dr. Magnus Harlander Geschäftsführender Gesellschafter genua mbh Agenda Vorstellung genua Problemskizzen

Mehr

Veröffentlichung und Absicherung von SharePoint Extranets

Veröffentlichung und Absicherung von SharePoint Extranets Veröffentlichung und Absicherung von SharePoint Extranets Denis Holtkamp, ITaCS GmbH Senior Consultant IT-Infrastruktur Goldsponsor: Partner: Silbersponsoren: Veranstalter: Agenda Intranet Extranet-Szenarien

Mehr

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010 Webapplikations-Sicherheit: Erfahrungen aus der Praxis Stefan Hölzner, Jan Kästle 26.01.2010 Agenda Schwachstellen: die Ursachen Angriffstechniken aus der Praxis root-access in 20 Schritten 2 Schwachstellen:

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud praktische Erfahrungen BSI Grundschutztag am 26.6.2014 IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne

Mehr

Sage 200 BI Häufige Fehler & Lösungen. Version 15.10.2014

Sage 200 BI Häufige Fehler & Lösungen. Version 15.10.2014 Sage 200 BI Häufige Fehler & Lösungen Version 15.10.2014 Inhaltverzeichnis Sage 200 BI Häufige Fehler & Lösungen Inhaltverzeichnis 2 1.0 Häufige Probleme & Lösungen 3 1.1 Keine Grafiken in SSRS-Auswertungen

Mehr

Die Bedeutung des NSA Prism Programms für deutsche Unternehmen Leitfaden für Entscheider und Führungskräfte

Die Bedeutung des NSA Prism Programms für deutsche Unternehmen Leitfaden für Entscheider und Führungskräfte Information Security Management Die Bedeutung des NSA Prism Programms für deutsche Unternehmen Leitfaden für Entscheider und Führungskräfte 10. Juni 2013 Security by Culture AGENDA 1 NSA Prism im Überblick

Mehr

FIRMENPROFIL. ViSaaS - Virtual Software as a Service

FIRMENPROFIL. ViSaaS - Virtual Software as a Service FIRMENPROFIL ViSaaS - Virtual Software as a Service WER WIR SIND ECKDATEN Die ViSaaS GmbH & Co. KG ist Ihr professioneller Partner für die Bereiche Virtual Software as a Service (SaaS) und Desktop as a

Mehr

Die Gebührenkasse für den kommunalen und öffentlich-rechtlichen Sektor

Die Gebührenkasse für den kommunalen und öffentlich-rechtlichen Sektor Die Gebührenkasse für den kommunalen und öffentlich-rechtlichen Sektor 1 QUITTIERER - SOFTWARELÖSUNG FEATURES Der Quittierer ist eine leistungsstarke Gebührenkasse für den kommunalen und öffentlich-rechtlichen

Mehr

ORA.LogMiner. Nach Bestelleingang erhalten Sie eine Rechnung mit ausgewiesener Mehrwertsteuer und Informationen über die Zahlungsweise.

ORA.LogMiner. Nach Bestelleingang erhalten Sie eine Rechnung mit ausgewiesener Mehrwertsteuer und Informationen über die Zahlungsweise. ORA.LogMiner ORA.LogMiner kann die Inhalte von archivierten Redo-Log-Files im Klartext darstellen. Jedes gegen die Oracle-Datenbank abgesetzte SQL ob Insert, Delete, Update oder DDL wir als wieder verwendbares

Mehr

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Polizeipräsidium Mittelfranken Security by Design Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Referent: Matthias Wörner (MW IT-Businesspartner) gepr. IT Sachverständiger Matthias

Mehr

Web Application Security und der Einsatz von Web Application Firewalls

Web Application Security und der Einsatz von Web Application Firewalls Web Application Security und der Einsatz von Web Application Firewalls Philipp Etschel, BSc opennetworks.at fhstp.ac.at 2 Agenda: Warum überhaupt eine WAF einsetzen? Funktionsweise einer WAF Welche Web-

Mehr

Cloud Computing Datenschutz und richtig gute Cloud-Verträge

Cloud Computing Datenschutz und richtig gute Cloud-Verträge Cloud Computing Datenschutz und richtig gute Cloud-Verträge Dr. Jörg Alshut iico 2013 Berlin, 13.05.2013 Rechtsberatung. Steuerberatung. Luther. Überblick. Cloud Computing Definition. Datenschutz Thesen.

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

QuiXilver Präsentation. Von Vigience LTD

QuiXilver Präsentation. Von Vigience LTD QuiXilver Präsentation Von Vigience LTD Die Theorie Produktivität ist das wertvollste Kapital Die wertvollsten Vermögenswerte eines Unternehmens aus dem 20. Jahrhundert waren die Produktionsanlagen. Das

Mehr

Cloud Computing im Mittelstand

Cloud Computing im Mittelstand Cloud Computing im Mittelstand Mehr Sicherheit durch ganzheitliche Lösungen Darmstadt, 25. November 2010 IT-Grundschutz-Tag Dr. Clemens Plieth Managing Director Service Delivery cplieth@pironet-ndh.com

Mehr

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG lfd. Nr. neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 15 Abs. 2 Satz 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme

Mehr

SemTalk Services. SemTalk UserMeeting 29.10.2010

SemTalk Services. SemTalk UserMeeting 29.10.2010 SemTalk Services SemTalk UserMeeting 29.10.2010 Problemstellung Immer mehr Anwender nutzen SemTalk in Verbindung mit SharePoint Mehr Visio Dokumente Viele Dokumente mit jeweils wenigen Seiten, aber starker

Mehr

Inhaltsverzeichnis. Beschreibung. Hintergrund

Inhaltsverzeichnis. Beschreibung. Hintergrund SiGS Web SGD Online Produktinformation Inhaltsverzeichnis Beschreibung... 1 Hintergrund... 1 Voraussetzungen... 2 Benutzung... 2 Startmaske... 2 Ansicht SGD... 3 Ansicht Kurzinfo... 3 Ansicht Baum... 4

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

Arbeiten in getrennten Welten sicheres, integriertes Arbeiten in unterschiedlichen Sicherheitszonen

Arbeiten in getrennten Welten sicheres, integriertes Arbeiten in unterschiedlichen Sicherheitszonen Arbeiten in getrennten Welten sicheres, integriertes Arbeiten in unterschiedlichen Sicherheitszonen Dr. Magnus Harlander Geschäftsführender Gesellschafter genua mbh Agenda Vorstellung genua Problemskizze

Mehr