Gestern und heute Sicherheitslösungen im Wandel

Größe: px
Ab Seite anzeigen:

Download "Gestern und heute Sicherheitslösungen im Wandel"

Transkript

1 Gestern und heute Sicherheitslösungen im Wandel Mit dem Siegeszug von JavaScript und HTML5 etabliert sich eine völlig neue Generation von Webapplikationen. Gleichzeitig werden Applikationen organisationsübergreifend vernetzt. Was bedeutet das für bewährte Sicherheitskonzepte? Von Stephan Schweizer und Thomas Zweifel Im klassischen Internetzeitalter Ende der 90er- und Anfang der 00er-Jahre waren die Fronten klar: Im Internet tummelten sich die «Bösen», im Intranet gingen die «Guten» ihrer Arbeit nach. Um diese zwei Welten voneinander zu trennen, wurde und wird ein sogenannter Netzwerk-Perimeter aufgebaut. Dieser besteht in der Regel aus einer äusseren und einer inneren Firewall. In der Zone dazwischen, der «demilitarisierten Zone» (DMZ), befinden sich weitere Sicherheitskomponenten wie Secure Reverse Proxys und Web Application Firewalls. Sie sorgen dafür, dass nur stark authentisierte (durch sogenannte 2-Faktor- Authentisierung) Benutzer aus dem «Reich der Bösen» auf die angebotenen Webapplikationen zugreifen können. Diese vorgelagerten Sicherheitskomponenten verhindern ausserdem eine direkte Kommunikation zwischen Client und Applikation. Überdies bieten sie neben der Single-Sign-on-Funktionalität flexible Eingriffsmöglichkeiten, um die Applikationen vor direkten Angriffen wie Denial of Service (DoS), Cross-Site Scripting und Injection-Attacken (siehe Kasten) zu schützen. Um das Millennium waren die Fronten zwischen Gut und Böse im Internet noch klar. Die Applikationslogik verlagert sich auf den Client In dieser Welt gab es keine Zweifel: Die applikatorische Logik befindet sich auf der Server-Seite. Die Aufgabe der Browser bestand primär darin, die Inhalte dem Benutzer visuell zugänglich zu machen. Nach den durchzogenen Erfahrungen aus der Client-Server-Ära in den 90er-Jahren herrschte ein breiter Konsens, dass dieser Ansatz richtig sei. Die Benutzer waren auch Denial-of-Service-(DoS-)Attacken zielen darauf ab, die Nutzung eines Dienstes durch reguläre Benutzer zu verunmöglichen. Dazu versucht der Angreifer, den Service mit einer grossen Anzahl von Anfragen zu überlasten oder durch gezielte Ausnutzung von bekannten Schwachstellen zum Absturz zu bringen. Bei Distributed-Denial-of-Service-(DDoS-)Attacken wird eine grosse Anzahl von weltweit verteilten Internet-Clients dazu verwendet, um das Zielsystem mit Anfragen zu überlasten. Meistens handelt es sich bei den Clients um Workstations, die vorgängig mit einem Trojaner infiziert wurden. Das System wird in der Folge von den Angreifern ferngesteuert, die Besitzer nehmen meist ohne ihr Wissen an der Denial-of-Service-Attacke teil. Die zahlreichen, teilweise variierenden Clients machen es für den Service-Betreiber schwieriger, die DoS-Anfragen zu filtern. Cross-Site Scripting zielt darauf ab, JavaScript-Code des Angreifers in eine Webapplikation einzuschleusen. Der Angriff erfolgt meist über unzureichend geschützte Eingabefelder der Applikation oder URL-Query-Parameter. Je nach Absicht des Angreifers nutzt der eingeschleuste Code das Runtime-Environment des Browsers, um in die Applikationslogik einzugreifen, weiteren Schadcode nachzuladen, digitale Identitäten zu stehlen oder bestehende Sicherheitslücken auf dem Client-System auszunutzen, um beispielsweise einen Trojaner zu installieren. Bei SQL-Injection-Attacken geht es darum, Daten (zum Beispiel Kreditkarteninformationen) auszuspähen, aus der applikatorischen Datenbank zu stehlen oder in seinem Sinne zu verändern. Dabei wird versucht, SQL Statements des Angreifers über ungeschützte Eingabefelder oder Query-Parameter in die Applikation einzuschleusen und ausführen zu lassen. SQL-Injection- Angriffe können durch entsprechende WAF-Filter oder datenbankseitig durch «Prepared Statements» (mit gebundenen Parametern) verhindert werden. AdNovum Informatik AG, Auszug aus Notitia 27/ 2014 Make Security an Asset 1/5

2 Virtualiza «Private sehr genügsam und gaben sich mit spartanischen, aus heutiger Sicht archaisch anmutenden Oberflächen (GUIs) zufrieden. Mit der Entwicklung anspruchsvoller Applikationen stiegen die Anforderungen an das GUI. Es folgten erste Gehversuche mit JavaScript mit dem Ziel, die GUIs benutzerfreundlicher zu gestalten. Niemand wäre aber zu jener Zeit auf die Idee gekommen, Business-Logik in JavaScript zu implementieren die in JavaScript realisierten Teile einer Applikation beschränkten sich auf Logik im Zusammenhang mit der Visualisierung. Die Zurückhaltung der Entwickler, Funktionalität im Browser zu nutzen, hatte gute Gründe: In der früheren HTML4-Welt waren die Tags zwar standardisiert, deren Semantik und Darstellungsweise wurden aber von den verschiedenen Browser-Herstellern sehr unterschiedlich interpretiert. Dies führte dazu, dass Webinhalte je nach verwendetem Browser völlig anders aussahen. Das von den Browsern bereitgestellte JavaScript API (Application Programming Interface) war ausserdem sehr spartanisch. Wer anspruchsvollere Themen mit JavaScript in Angriff nahm und dabei gleichzeitig die Browser-Vielfalt in den Griff bekommen wollte, musste richtige Knochenarbeit leisten. HTML5 läutet eine neue Ära ein Mit der Einführung von HTML5 hat sich dies grundlegend geändert. Neben einer eindeutigen Semantik und einer einheitlichen Darstellungsweise brachte HTML5 auch ein sehr umfangreiches, standardisiertes JavaScript API. Damit verringerten sich einerseits die Browser-spezifischen Unterschiede, andererseits reichten plötzlich ein paar wenige Zeilen JavaScript, um Videos vor- und rückwärtszuspulen, Grafiken zu zeichnen, Daten mittels WebStorage im Browser lokal zu speichern, auf die Kamera eines mobilen Geräts zuzugreifen oder mit diesem den geografischen Standort abzufragen. So war der Weg geebnet für Rich Internet Applications, sogenannte RIAs, mit umfangreichen, rein Client-seitigen Funktionen. Der Browser mutierte dabei von HTML5 eröffnet Entwicklern und Angreifern völlig neue Perspektiven. einem «Visualisierungsvehikel» zu einer umfassenden Laufzeitumgebung für JavaScript-basierte Applikationen. Die vielseitigen Funktionen von HTML5 eröffnen den Applikationsentwicklern völlig neue Perspektiven leider gilt dies jedoch auch für Angreifer. Auch wenn bei der Standardisierung von HTML5 Sicherheitsaspekte mit berücksichtigt wurden: Alleine der Umfang der Funktionalitäten im Browser führt dazu, dass Internet DMZ nem eatia dolesciene volorpores cimolorrum exerio entrent essi to es mo. any to Secure Reverse Proxy Amazon Web Services Intranet (unter direkter Kontrolle) 2000 Client / Server JavaScript for GUIs Perimeter Security Intranet (unter di 201 HTML5 Multi-Channel J Cloud Computing Quo vadis, Internet: Die rasante technologische Entwicklung erfordert es, Sicherheit laufend zu hinterfragen. 2/5 Auszug aus Notitia 27/ 2014 Make Security an Asset AdNovum Informatik AG,

3 durch fehlerhafte Implementierungen relativ leicht auszunutzende Sicherheitslücken entstehen. Ausserdem gilt es zu beachten, dass in relativer Stille gerade ein Paradigmenwechsel stattfindet: Die Applikationsfunktionalität wandert zunehmend auf den Client und damit ausgerechnet in Richtung des schwächsten Ist erst fremder Code eingeschleust, versagen viele Sicherheitsmechanismen. Glieds in der ganzen Security-Kette. Diese Verlagerung hin zum schwächsten Glied hat zur Folge, dass etablierte Server-seitige Sicherheitsmechanismen teilweise nicht mehr greifen und damit nur noch einen reduzierten oder im Extremfall gar keinen Schutz mehr bieten. Der Grund liegt in der Funktionsweise moderner JavaScript Frameworks: Aufgrund der Client-seitigen Logik haben Server-seitige Sicherheitskomponenten nur eine begrenzte Sicht auf den effektiv angezeigten Inhalt der Applikation. Gelingt es nun einem Angreifer, in diese Prozesse eigenen JavaScript-Code einzuschleusen und so die Kontrolle zu gewinnen, wird es schwierig: Ist erst einmal fremder Code einge- schleust, versagen viele der Browser-internen Sicherheitsmechanismen, da die bösartigen JavaScript-Fragmente als regulärer Teil der Applikation betrachtet werden. Das reichhaltige HTML5 JavaScript API steht damit auch dem Angreifer zur Verfügung und ermöglicht beispielsweise, die Kamera in Betrieb zu nehmen, auf Inhalte des HTML5 WebStorage zuzugreifen oder mit der Hilfe von Web Workers (JavaScript-Hintergrundprozesse) eine DoS-Attacke zu starten. Sicherheit ist zentraler denn je Die Beispiele verdeutlichen, dass ein konsequenter Schutz der Webapplikationen noch nie so wichtig war wie heute. Um den Sicherheitslevel der Vergangenheit halten zu können, sind jedoch neue Konzepte notwendig. Ein ganzheitliches Security- Konzept muss die Client-Seite angemessen berücksichtigen. Dazu gehört neben klaren Coding-Richtlinien für die Entwickler auch der konsequente Einsatz der vorhandenen Sicherheitsmechanismen moderner Browser. Diese können von den Serverseitigen Sicherheitskomponenten (zum Beispiel dem nevisproxy) zwar zentral aktiviert und gesteuert werden die Durchsetzung der Sicherheitspolicies verbleibt jedoch auf der Client-Seite. Damit muss man als Sicherheitsverantwortlicher darauf vertrauen, dass die Browser die vorgegebenen Policies richtig anwenden. Ebenso wichtig beziehungsweise noch wichtiger ist es, die im Google Internet of Things Identity Provider X any any to any Google Hybrid Cloud Y Full-Service Provider Z tion vs. Cloud» Salesforce Salesforce DB as a Service Private Cloud rekter Kontrolle) 0 avascript for Business Logic Responsive Design Intranet (unter direkter Kontrolle) 2020? distributed / decentralized security? API Economy OAuth RESTful Machine to Machine JSON OpenID Connect Technologies & Standards AdNovum Informatik AG, Auszug aus Notitia 27/ 2014 Make Security an Asset 3/5

4 Stephan Schweizer und Thomas Zweifel: Entwickeln Strategien für den Umgang mit neuen Gefahren im Internet. Server verfügbaren Schutzmechanismen gegen Injection- Attacken konsequent anzuwenden. Obwohl die Mechanismen bei gewissen Szenarien nicht mehr die gleiche Schutzwirkung entfalten wie früher, bilden sie nach wie vor eine nicht zu unterschätzende Hürde beim Versuch, Angriffscode in die Applikation einzuschleusen. Alle Sicherheitsmassnahmen zusammen verfolgen ein Ziel: die Einschleusung von bösartigem JavaScript-Code unter allen Umständen zu verhindern. Neue Sicherheitskonzepte sind gefragt Bei den aufgezeigten Massnahmen bleibt dennoch eine zentrale Frage offen: Wie wappne ich mich als Organisation gegen den Worst Case, also den Fall, dass es einem Angreifer gelingt, eigenen Code in die Applikation einzuschleusen? Für dieses Szenario müssen definitiv neue Lösungen entwickelt werden. Es ist davon auszugehen, dass sich eine infizierte JavaScript-Applikation anders verhalten wird als das Original ein vielversprechender Ansatz ist daher die Server-seitige Anomalieerkennung. Die grundlegende Idee besteht darin, dass es Server-seitige Intelligenz gibt, die in der Lage ist, das normale Verhalten einer Applikation zu lernen und zu modellieren. Ausgehend von dieser Annahme ist es möglich, abweichende Verhaltensweisen zu erkennen und darauf zu reagieren. Die Reaktionen auf eine solche Situation hängen vom jeweiligen Kontext ab. Denkbar sind eine Meldung an ein zentrales Monitoringsystem, der Entzug von kritischen Rechten während der Session (zum Beispiel Sperrung von kritischen Transaktionen), eine Neuauthentisierung des Benutzers oder gar eine sofortige Beendigung der Session. Die technischen Grundlagen für ein solches System bestehen bereits; Ansätze und Algorithmen aus dem Big-Data-Bereich leisten hier wertvolle Dienste. Mit einer zentralen Security- Architektur, die auf einem Entry-Gateway-Ansatz basiert, sind ausserdem die Voraussetzungen gegeben, um an zentraler Stelle auf erkannte Anomalien zu reagieren. Die neuen Aufgaben der Entry Gateways Die organisationsübergreifende Vernetzung von Applikationen erfolgt heute in aller Regel über sogenannte APIs. Darunter versteht man Web-basierte Schnittstellen, über die Datenstrukturen im XML- oder JSON-Format ausgetauscht werden. Der Begriff JSON steht dabei für JavaScript Object Notation. Wie der Name vermuten lässt, wurde der Standard für den Austausch von Datenstrukturen im JavaScript-Umfeld entwickelt. Die gute Nachricht ist, dass vernetzte Backend-Applikationen und JavaScript-basierte Rich Internet Applications die gleichen 4/5 Auszug aus Notitia 27/ 2014 Make Security an Asset AdNovum Informatik AG,

5 Technologien für den Datenaustausch nutzen. Somit können die Gateway-Infrastrukturen prinzipiell für beide Applikationstypen verwendet werden. Dies spart einerseits Kosten und vereinfacht andererseits den Betrieb. Bei kritischen oder vertraulichen Daten müssen die Zugriffe auf die APIs selbstverständlich durch eine Authentisierung geschützt werden, die dem geforderten Sicherheitsniveau entspricht. Wenn nun Applikationen immer enger integriert und Server-seitige Intelligenz kann das normale Verhalten einer Applikation lernen. 4. Zusätzliche Funktionen: Die zentrale Verifikation der Access Token ist die ideale Grundlage für ein zentrales Accounting und damit auch für neue Verrechnungs- und Geschäftsmodelle. Die bestehenden Web Entry Gateways und Perimeter- Architekturen bilden eine ideale Basis, um diese Vorteile zu nutzen. Wir sind davon überzeugt, dass sich heutige Web-Entry- Lösungen in Richtung API Management weiterentwickeln müssen. Dazu gehören neben der Unterstützung der modernen Federation-Protokolle (OAuth und OpenID Connect) auch weitere Funktionalitäten wie Accounting, Throttling, effizientes Filtering von JSON Content sowie die selektive Einschränkung der nach aussen publizierten API-Funktionen in Abhängigkeit der Benutzerberechtigungen. verknüpft werden, sich aber nicht notwendigerweise im selben Rechenzentrum oder auf demselben Server befinden, müssen die einzelnen Applikationen zwecks Datenaustausch auf die jeweils anderen APIs im Namen des Endnutzers zugreifen können. Hierzu sollte der Endnutzer um Erlaubnis gefragt werden, im Fachjargon User Consent genannt. Das Autorisierungsprotokoll OAuth definiert hierfür verschiedene Abläufe. Die Identifikation beziehungsweise Authentisierung des Benutzers mittels eines Authorization Server gehört ebenfalls zu diesen Abläufen, ist jedoch selbst nicht standardisiert, auch um beliebige Authentisierungsmechanismen zu ermöglichen. Nach der Authentisierung stellt der Authorization Server die Access Token aus, die letztlich den Applikationen den Zugriff auf das API ermöglichen. Die Funktionalitäten zur Ausstellung der Access Token sowie deren Verifikation werden idealerweise in eine den Applikationen vorgeschaltete Ebene ausgelagert. Eine solche Architektur bietet verschiedene Vorteile: 1. Zentral: Die Unterstützung für das OAuth-Protokoll muss nicht einzeln für jede Applikation implementiert werden. Dies bedeutet einerseits eine Zeit- und Kostenersparnis und macht andererseits die Integration von Legacy-Applikationen erst möglich. 2. Entkoppelt: Eine sichere Implementierung des OAuth- Standards stellt hohe Anforderungen an die Verwaltung der ausgestellten Token. Die Bereitstellung dieser Funktionalität in einer vorgeschalteten Gateway-Infrastruktur ermöglicht eine einfache und sichere Integration der bestehenden Applikationen. 3. Modular: Der Authorization Server ist per Design eine zentrale Komponente, die alle eingebundenen Applikationen verwenden. Diese Komponente muss in der Lage sein, alle bereits vorhandenen Benutzer-Directories einzubinden und die bereits vorhandenen Authentisierungsverfahren weiterhin zu unterstützen. Eine zentrale Sicherheitsinfrastruktur stellt sicher, dass die Anbindung der notwendigen Directories nur einmal erfolgen muss. Und was bedeuten diese Trends für Nevis-Kunden? Neue Trends einzubeziehen ist für uns Herausforderung und Ansporn zugleich. Wir wollen unseren Kunden stets die technischen Mittel in die Hand geben, die notwendig sind, um ihr Business in einem dynamischen Umfeld optimal zu unterstützen. Die aufgezeigten Themen und Trends sind daher entweder bereits in neue Produktfunktionalitäten eingeflossen oder werden in der zukünftigen Produktentwicklung berücksichtigt. Beim Design der neuen Funktionen stehen die sanfte Migration auf neue Applikationsarchitekturen und der Parallelbetrieb der bestehenden Lösungen im Zentrum damit gewährleistet der Einsatz von Nevis einen maximalen Investitionsschutz und eine solide Basis für künftige Herausforderungen. (Weiterführende Informationen sind auf der neu gestalteten Nevis-Website zu finden: https://www.nevis-security.ch) Stephan Schweizer Stephan Schweizer stiess 2009 als Nevis Product Manager zur AdNovum und ist seither für die Nevis-Produktstrategie und den Vertrieb verantwortlich. In seiner Freizeit bewegt er sich gerne mit Laufschuhen an den Füssen in der freien Natur oder versucht als Tenniseinsteiger, seinen noch etwas wackligen Aufschlag zu verbessern. Thomas Zweifel Thomas Zweifel ist Dipl. Informatik-Ingenieur ETH sowie MAS ETH MTEC und seit April 2005 für AdNovum tätig. Als Senior IT Consultant berät er Kunden in Fragen der IT-Sicherheit und IT-Strategie und leitet ein Team von Ingenieuren und Beratern. In seiner Freizeit bewegt er sich gerne sowohl auf wie auch unter dem Wasser. AdNovum Informatik AG, Auszug aus Notitia 27/ 2014 Make Security an Asset 5/5

NOTITIA. Make Security an Asset. Bemerkenswertes von und über AdNovum. Sommer 2015, Heft Nr. 28

NOTITIA. Make Security an Asset. Bemerkenswertes von und über AdNovum. Sommer 2015, Heft Nr. 28 NOTITIA Bemerkenswertes von und über AdNovum Sommer 2015, Heft Nr. 28 Make Security an Asset Inhalt Gestern und heute Sicherheitslösungen im Wandel Wie HTML5 und JavaScript die virtuelle Welt aufmischen

Mehr

Entwicklung und Integration mobiler Anwendungen. Oracle Deutschland B.V. & Co. KG

Entwicklung und Integration mobiler Anwendungen. <Speaker> Oracle Deutschland B.V. & Co. KG Entwicklung und Integration mobiler Anwendungen Oracle Deutschland B.V. & Co. KG Global Users (Millions) Der Trend ist eindeutig. Trend zu mobilen Endgeräten Wachstum des mobilen Datenverkehrs

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Autorisierung zentral steuern

Autorisierung zentral steuern Autorisierung zentral steuern AdNovum hatte jüngst Gelegenheit, ein Autorisierungs-Management-System für ein Gesundheits-Enterprise-Portal zu bauen. Welche Form der Autorisierung soll auf welcher Stufe

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL Einführung Globales Filesharing ist ein Megatrend Sync & Share ist eine neue Produktkategorie

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH Identity und Access Management im Kontext der Cloud Horst Bratfisch Raiffeisen Informatik GmbH Raiffeisen Informatik Konzern Länder: 29 Standorte: 100 Mitarbeiter: 2.800 Umsatz 2011: 1,4 Mrd. Raiffeisen

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Entwicklung von Web-Anwendungen auf JAVA EE Basis

Entwicklung von Web-Anwendungen auf JAVA EE Basis Entwicklung von Web-Anwendungen auf JAVA EE Basis Java Enterprise Edition - Überblick Prof. Dr. Bernhard Schiefer Inhalt der Veranstaltung Überblick Java EE JDBC, JPA, JNDI Servlets, Java Server Pages

Mehr

Softwareentwicklung mit Enterprise JAVA Beans

Softwareentwicklung mit Enterprise JAVA Beans Softwareentwicklung mit Enterprise JAVA Beans Java Enterprise Edition - Überblick Was ist J2EE Java EE? Zunächst mal: Eine Menge von Spezifikationen und Regeln. April 1997: SUN initiiert die Entwicklung

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung GecMeGUI Eine SSO-enabled WebGUI mit clientseitiger Schlüsselgenerierung Hochschule Furtwangen Frank Dölitzscher 04.04.2011 Agenda Web GUI 1. Einführung 2. Absicherung des Service Zugangs 3. Web GUI Sicherung

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD Dr. Detlef Hühnlein, Johannes Schmölz ecsec GmbH, Sudetenstraße 16, D96247 Michelau Zusammenfassung 1 Einleitung che Schwachstellen enthalten. 44 FraunhoferGesellschaft

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Jörg Thomas Scholz Leiter Professional Services Public Sector Deutschland, Siemens AG Führungskräfteforum,

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Architekturen. Von der DB basierten zur Multi-Tier Anwendung. DB/CRM (C) J.M.Joller 2002 131

Architekturen. Von der DB basierten zur Multi-Tier Anwendung. DB/CRM (C) J.M.Joller 2002 131 Architekturen Von der DB basierten zur Multi-Tier Anwendung DB/CRM (C) J.M.Joller 2002 131 Lernziele Sie kennen Design und Architektur Patterns, welche beim Datenbankzugriff in verteilten Systemen verwendet

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Hardy Klömpges Public Sector Deutschland Führungskräfteforum, Bonn 14.10.2010 Copyright Siemens AG 2010.

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server AJAX Agenda Ingo Ebel (ie007) Was ist AJAX? Wozu benötigt Client/Server Sicherheit Vor- und Nachteile Benjamin Müller (bm032) AJAX Frameworks GWT ATF Ingo Ebel - ie007 2 Web 2.0 Ingo Ebel - ie007 3 Ingo

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Nevis Sichere Web-Interaktion

Nevis Sichere Web-Interaktion Nevis Sichere Web-Interaktion Enterprise Security: Wachsende Gefahren und Anforderungen Moderne Unternehmen sehen sich immer neuen Gefahren durch Online- und In-House-Angriffe ausgesetzt. Gleichzeitig

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen.

DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen. DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen. Your data. Your control User A User B Die Datenaustauschplattform mit moderner Software Architektur Datenaustausch

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Sicht eines Technikbegeisterten

Sicht eines Technikbegeisterten Cloud und Mobile Apps Quo Vadis? Bernhard Bauer Institut für Software und Systems Engineering Universität Augsburg Oder... IT Arbeitsplatz der Zukunft Sicht eines Technikbegeisterten IT Arbeitsplatz der

Mehr

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. Java Connection Architecture Teil 3

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. Java Connection Architecture Teil 3 UNIVERSITÄT LEIPZIG Mainframe Internet Integration Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013 Java Connection Architecture Teil 3 CICS Transaction Gateway el0100 copyright W. G. Spruth,

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Mobile Security. Live-Hacking. Thomas Haase Laurenz Hommel

Mobile Security. Live-Hacking. Thomas Haase Laurenz Hommel Mobile Security Live-Hacking Thomas Haase Laurenz Hommel EINFÜHRUNG Verbreitung #1 Smartphone-Benutzer: [1] Weltweit: 1,76 Mrd. Deutschland: 40,4 Mio. Große Nutzerbasis und Potentiale zur Ausnutzung von

Mehr

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Pressemeldung Frankfurt, 01. August 2011 IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Die Bedrohungsszenarien

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

egov aus dem Baukasten

egov aus dem Baukasten 1 egov aus dem Baukasten Am Beispiel von ZEMIS Hans Burger Senior IT Consultant 4. November 2014 Agenda AdNovum egov-baukasten ZEMIS Übersicht Nutzungsbeispiele Baukasten Fazit 3 AdNovum Swiss Quality

Mehr

Mobile Datensicherheit Überblick ios und Android

Mobile Datensicherheit Überblick ios und Android Mobile Datensicherheit Überblick ios und Android Aldo Rodenhäuser Tom Sprenger Senior IT Consultant CTO 5. November 2013 Agenda Präsentation AdNovum Smartphone Daten Kommunikationskanäle Risikolandschaft

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014. Dr. Amir Alsbih CISO Haufe Gruppe Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day 2014 Dr. Amir Alsbih CISO Haufe Gruppe 1 Agenda Hintergrund Zertifizierungen SaaS Service Applikationsentwicklung Summary 2

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Social Login mit Facebook, Google und Co.

Social Login mit Facebook, Google und Co. IAM EXCELLENCE OAuth 2.0 und OpenID Connect Social Login mit Facebook, Google und Co. Stefan Bohm www.ic-consult.com Geschützte Ressourcen = Userattribute + Steuerung des Logins + Information über Login

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Trend Micro DeepSecurity

Trend Micro DeepSecurity Trend Micro DeepSecurity Umfassende Sicherheit für physische, virtuelle und Server in der Cloud Christian Klein Senior Sales Engineer CEUR Trend Micro marktführender Anbieter von Sicherheitslösungen für

Mehr

USP Managed Security Services. Copyright 2012 United Security Providers AG April 2012. Whitepaper SERVICE PORTFOLIO

USP Managed Security Services. Copyright 2012 United Security Providers AG April 2012. Whitepaper SERVICE PORTFOLIO Whitepaper SERVICE PORTFOLIO Inhaltsverzeichnis Übersicht 3 Basisservices 4 Kontakt Martin Trachsel Cyril Marti United Security Providers United Security Providers Stauffacherstrasse 65/15 Stauffacherstrasse

Mehr

Erfolgsgeschichten phion airlock ICAP Module

Erfolgsgeschichten phion airlock ICAP Module Erfolgsgeschichten phion airlock ICAP Module Complex Content Rewriting & Identity Mapping V1.3 2009 by keyon. About keyon 1 Agenda Internet Content Adaptation Protocol (ICAP) airlock & ICAP 1 Complex Content

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Was ist Windows Azure? (Stand Juni 2012)

Was ist Windows Azure? (Stand Juni 2012) Was ist Windows Azure? (Stand Juni 2012) Windows Azure Microsofts Cloud Plattform zu Erstellung, Betrieb und Skalierung eigener Cloud-basierter Anwendungen Cloud Services Laufzeitumgebung, Speicher, Datenbank,

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Carl Friedrich von Weizsäcker Friedensvorlesung. Cyber Security Cyber War Cyber Peace. Soziale Sicht. Prof. Dr. Tobias Eggendorfer

Carl Friedrich von Weizsäcker Friedensvorlesung. Cyber Security Cyber War Cyber Peace. Soziale Sicht. Prof. Dr. Tobias Eggendorfer Carl Friedrich von Weizsäcker Friedensvorlesung Cyber Security Cyber War Cyber Peace Soziale Sicht Cyber Internet? Computer? 2 Cyber-War Kriegsführung durch Angriffe auf IT-Systeme Cyber-Security Schutz

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte

Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte Andreas Gremm, CA Deutschland GmbH 21. Mai 2014 40% der IT Manager sagen, dass sie ihren Benutzern Zugriff auf Unternehmensinformationen

Mehr

Integrating Architecture Apps for the Enterprise

Integrating Architecture Apps for the Enterprise Integrating Architecture Apps for the Enterprise Ein einheitliches Modulsystem für verteilte Unternehmensanwendungen Motivation und Grundkonzept Inhalt Problem Ursache Herausforderung Grundgedanke Architektur

Mehr

Von ODBC zu OLE DB. Neue Möglichkeiten der Datenintegration. Harald Gladytz, Team Vertrieb ESRI Niederlassung Leipzig

Von ODBC zu OLE DB. Neue Möglichkeiten der Datenintegration. Harald Gladytz, Team Vertrieb ESRI Niederlassung Leipzig Von ODBC zu OLE DB Neue Möglichkeiten der Datenintegration Harald Gladytz, Team Vertrieb ESRI Niederlassung Leipzig Von ODBC zu OLE DB Begriffsbestimmung ODBC, OLE DB, COM, ADO... Unterschiede zwischen

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Partnertag 2014 Visionen und Trends Die Contrexx Roadmap

Partnertag 2014 Visionen und Trends Die Contrexx Roadmap Visionen und Trends Die Contrexx Roadmap Ivan Schmid Inhalt 1. Rückblick 2013 o Lessons learned o Massnahmen 2. Ausblick o Gartner Trends 2014-2016 o Die Rolle von Contrexx 3. Contrexx Roadmap Rückblick

Mehr

Hochschule Prof. Dr. Martin Leischner Bonn-Rhein-Sieg Netzwerksysteme und TK Modul 7: SNMPv3 Netzmanagement Folie 1

Hochschule Prof. Dr. Martin Leischner Bonn-Rhein-Sieg Netzwerksysteme und TK Modul 7: SNMPv3 Netzmanagement Folie 1 Modul 7: SNMPv3 18.06.2014 14:42:33 M. Leischner Netzmanagement Folie 1 SNMP-Versionen Party-Based SNMP Version 2 (SNMPv2p) User-Based SNMP Version 2 (SNMPv2u) SNMP Version 3 1988 1989 1990 1991 1992 1993

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

MailStore Service Provider Edition (SPE)

MailStore Service Provider Edition (SPE) MailStore Solutions MailStore Service Provider Edition (SPE) E-Mail-Archivierung für Service Provider Mit Hilfe der MailStore Service Provider Edition können Sie Ihren Kunden moderne E-Mail-Archivierung

Mehr

ELCA Forum 2014 Sollten Sie Ihr kollaboratives Intranet in die Cloud bringen?

ELCA Forum 2014 Sollten Sie Ihr kollaboratives Intranet in die Cloud bringen? ELCA Forum 2014 Sollten Sie Ihr kollaboratives Intranet in die Cloud bringen? Dominique Hügli, Manager SharePoint & ECM Jean-Jacques Pittet, Senior Business Consultant September 2014 REFERENTEN Dominique

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Der Höllenhund schützt auch Web- Anwendungen

Der Höllenhund schützt auch Web- Anwendungen Software Web Application Firewall bietet Schutz durch Kerberos-Zertifikate Der Höllenhund schützt auch Web- Anwendungen Klaus Jotz 09. Juli 2009, 15:34 Uhr In allen Rechenzentren nimmt die Anzahl der Microsoft-Systeme

Mehr

Eine Taxonomie und Bewertung von Cloud Computing Diensten aus Entwicklersicht

Eine Taxonomie und Bewertung von Cloud Computing Diensten aus Entwicklersicht Eine Taxonomie und Bewertung von Cloud Computing Diensten aus Entwicklersicht Universität der Bundeswehr München Mario Golling und Michael Kretzschmar Fakultät für Informatik E-Mail: mario.golling@unibw.de

Mehr

CISCO Next-Generation Firewalls

CISCO Next-Generation Firewalls CISCO Next-Generation Firewalls S&L INFOTAG 2013 Trends, Technologien und existierende Schwachstellen BESCHLEUNIGUNG DER INNOVATIONSZYKLEN VON GERÄTEN OFFENE ANWENDUNGEN UND SOFTWARE-AS-A-SERVICE EXPLOSIONSARTIGER

Mehr

JEAF Cloud Plattform Der Workspace aus der Cloud

JEAF Cloud Plattform Der Workspace aus der Cloud JEAF Cloud Plattform Der Workspace aus der Cloud Juni 2014 : Aktuelle Situation Heutige Insellösungen bringen dem Nutzer keinen Mehrwert Nutzer sind mobil Dateien und Applikationen sind über Anbieter und

Mehr

Identity as a Service

Identity as a Service Identity as a Service Michael Seeger Siemens IT Solutions and Services CISM. Identity as a Service Geschichtlicher Abriss Technik oder the gory details Voraussetzungen Business case Referenzen und Links

Mehr

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch Flug in die Wolke Instrumentenflug in die Cloud mit Unic Wallisellen, 25. Januar 2012 Christoph Camenisch Flug in die Wolke Hosting by Unic Unic - Seite 2 Flug in die Wolke Cloud Computing in a nutshell

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Sicherheits- & Management Aspekte im mobilen Umfeld

Sicherheits- & Management Aspekte im mobilen Umfeld Sicherheits- & Management Aspekte im mobilen Umfeld Einfach war gestern 1 2012 IBM Corporation Zielgerichtete Angriffe erschüttern Unternehmen und Behörden 2 Source: IBM X-Force 2011 Trend and Risk Report

Mehr

Fraunhofer Institute for Secure Information Technology

Fraunhofer Institute for Secure Information Technology Fraunhofer Institute for Secure Information Technology Entwicklung sichere Unternehmens-Apps: gut gemeint oder gut gemacht? Dr. Jens Heider Head of Department Testlab Mobile Security Amt für Wirtschaft

Mehr

Tier-Konzepte. Vertiefungsarbeit von Karin Schäuble

Tier-Konzepte. Vertiefungsarbeit von Karin Schäuble Vertiefungsarbeit von Karin Schäuble Gliederung 1. Einführung 3. Rahmenbedingungen in der heutigen Marktwirtschaft 3.1 Situation für Unternehmen 3.2 Situation für Applikationsentwickler 4. Lösungskonzepte

Mehr

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1.

Enterprise PHP 5. Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz. von Johann-Peter Hartmann, Björn Schotte. 1. Enterprise PHP 5 Serviceorientierte und webbasierte Anwendungen für den Unternehmenseinsatz von Johann-Peter Hartmann, Björn Schotte 1. Auflage Hanser München 2008 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Software-Technologie der Zukunft. Webbasierte ERP-Software

Software-Technologie der Zukunft. Webbasierte ERP-Software Software-Technologie der Zukunft Webbasierte ERP-Software webbasierte erp software Die Generation internet abacus vi ist vollständig neu in internet-architektur entwickelt. die Verson vi der erp-software

Mehr

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Dr. Ralf Stodt Senior Consultant Business Development, CISSP Endpoint Security & IAM www.integralis.com Absicherung

Mehr

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte

AJAX Security: Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte : Alte und neue Risiken bei Web 2.0 Webmontag Köln 22.1.2007 Björn Schotte Zur Person GF Mayflower GmbH (35 MA, Webschmiede, Premium-/High-Performance Development) PHP Pionier (1999: phpcenter.de) Internet

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Mobile ERP Business Suite

Mobile ERP Business Suite Greifen Sie mit Ihrem ipad oder iphone jederzeit und von überall auf Ihr SAP ERP System zu. Haben Sie Up-To-Date Informationen stets verfügbar. Beschleunigen Sie Abläufe und verkürzen Sie Reaktionszeiten

Mehr

Software as a Service

Software as a Service Software as a Service Andreas Von Gunten http://www.ondemandnotes.com http://www.andreasvongunten.com SaaSKon 2008 11. November 2008 Das Problem - Komplexität Software selber zu betreiben, bedeutet zunehmende

Mehr

Einführung in Web-Security

Einführung in Web-Security Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme

Mehr

Authentication as a Service (AaaS)

Authentication as a Service (AaaS) Authentication as a Service (AaaS) Abendseminar «Innovative Alternativen zum Passwort» 26.10.2010, Hotel Novotel, Zürich Anton Virtic CEO, Clavid AG Information Security Society Switzerland 1 Agenda Cloud

Mehr