NOTITIA. Make Security an Asset. Bemerkenswertes von und über AdNovum. Sommer 2015, Heft Nr. 28

Größe: px
Ab Seite anzeigen:

Download "NOTITIA. Make Security an Asset. Bemerkenswertes von und über AdNovum. Sommer 2015, Heft Nr. 28"

Transkript

1 NOTITIA Bemerkenswertes von und über AdNovum Sommer 2015, Heft Nr. 28 Make Security an Asset

2 Inhalt Gestern und heute Sicherheitslösungen im Wandel Wie HTML5 und JavaScript die virtuelle Welt aufmischen 3 Sicher ins Web statt ins Netz Drei Experten über aktuelle Gefahren und künftige Entwicklungen 8 Security Management in der Softwarefabrik Wie man BEASTs und FREAKs in Schach hält 13 Der Kontext bestimmt: Wie gut muss die Authentisierung sein? Warum sich Unternehmen der geänderten Realität anpassen müssen 18 Liebe Leserin, lieber Leser Sie finden, Poodle klinge niedlich? Seien Sie gewarnt: Dieser Pudel gehört zur selben Familie wie FREAK, Shellshock, Heartbleed und BEAST. Sie alle entstammen der virtuellen Welt und sind ganz reale Bedrohungen. Auch bekannt als Vulnerabilitäten. Deshalb ist gut beraten, wer seine IT-Systeme und Applikationen angemessen schützt. Natürlich ist Sicherheit immer auch eine Investition. Durch die richtigen Massnahmen wird aber mehr daraus, nämlich echter Mehrwert in Form eines Wettbewerbsvorteils. Wie man sich den verschafft und was man sonst noch über Web Security wissen sollte, erfahren Sie hier. Im einleitenden Artikel nehmen uns Stephan Schweizer, Nevis Product Manager, und Thomas Zweifel, Senior IT Consultant, mit auf eine Zeitreise. Wir besuchen das klassische Internetzeitalter in den Jahren um das Millennium, als die Fronten zwischen Gut und Böse im Web noch klar waren. Dann nähern wir uns technologisch wieder der Gegenwart, die uns mit HTML5 ungeahnte Möglichkeiten eröffnet. Potenziellen Angreifern aber ebenso. Wie sich die Web Security aus Sicht des Bundes, eines Industrieunternehmens und einer Sicherheitsfirma präsentiert, erläutern uns Gion Sialm vom BIT, Marc Condrau von Health Info Net (HIN) und Ivan Bütler von Compass Security im Interview. Aus drei unterschiedlichen Experten-Perspektiven vermitteln sie uns ein wirklichkeitsgetreues «Big Picture». Wie schützt nun ein einzelnes IT-Unternehmen wie AdNovum seine Kunden und sich selbst gegen virtuelles Ungemach? Beispielsweise indem es Software bereits sicher entwickelt. Was das bedeutet und welche Sicherheitsprozesse konkret bei AdNovum verankert sind, darüber berichten Marcel Vinzens, stellvertretender Chief Technology Officer, und René Rehmann, Security Officer, im Hintergrundartikel. Unser Gastautor Martin Kuppinger, Gründer und Chefanalyst von KuppingerCole, widmet sich der Authentisierung, einem zentralen Aspekt der Sicherheit. Da heute nicht nur Menschen, sondern auch Apps und Dinge auf Informationen zugreifen, ist ein sicherer Zugang wichtiger denn je. Erfahren Sie, wann warum welche Art der Authentisierung empfehlenswert ist. Mit Sicherheit werden Sie spannende Einblicke gewinnen. Wir wünschen Ihnen eine gute Lektüre. Chris Tanner CEO AdNovum Informatik AG

3 Notitia 28 / 2015 Make Security an Asset Einführung 3 Gestern und heute Sicherheitslösungen im Wandel Mit dem Siegeszug von JavaScript und HTML5 etabliert sich eine völlig neue Generation von Webapplikationen. Gleichzeitig werden Applikationen organisationsübergreifend vernetzt. Was bedeutet das für bewährte Sicherheitskonzepte? Von Stephan Schweizer und Thomas Zweifel Im klassischen Internetzeitalter Ende der 90er- und Anfang der 00er-Jahre waren die Fronten klar: Im Internet tummelten sich die «Bösen», im Intranet gingen die «Guten» ihrer Arbeit nach. Um diese zwei Welten voneinander zu trennen, wurde und wird ein sogenannter Netzwerk-Perimeter aufgebaut. Dieser besteht in der Regel aus einer äusseren und einer inneren Firewall. In der Zone dazwischen, der «demilitarisierten Zone» (DMZ), befinden sich weitere Sicherheitskomponenten wie Secure Reverse Proxys und Web Application Firewalls. Sie sorgen dafür, dass nur stark authentisierte (durch sogenannte 2-Faktor- Authentisierung) Benutzer aus dem «Reich der Bösen» auf die angebotenen Webapplikationen zugreifen können. Diese vorgelagerten Sicherheitskomponenten verhindern ausserdem eine direkte Kommunikation zwischen Client und Applikation. Überdies bieten sie neben der Single-Sign-on-Funktionalität flexible Eingriffsmöglichkeiten, um die Applikationen vor direkten Angriffen wie Denial of Service (DoS), Cross-Site Scripting und Injection-Attacken (siehe Kasten) zu schützen. Um das Millennium waren die Fronten zwischen Gut und Böse im Internet noch klar. Die Applikationslogik verlagert sich auf den Client In dieser Welt gab es keine Zweifel: Die applikatorische Logik befindet sich auf der Server-Seite. Die Aufgabe der Browser bestand primär darin, die Inhalte dem Benutzer visuell zugänglich zu machen. Nach den durchzogenen Erfahrungen aus der Client-Server-Ära in den 90er-Jahren herrschte ein breiter Konsens, dass dieser Ansatz richtig sei. Die Benutzer waren auch Denial-of-Service-(DoS-)Attacken zielen darauf ab, die Nutzung eines Dienstes durch reguläre Benutzer zu verunmöglichen. Dazu versucht der Angreifer, den Service mit einer grossen Anzahl von Anfragen zu überlasten oder durch gezielte Ausnutzung von bekannten Schwachstellen zum Absturz zu bringen. Bei Distributed-Denial-of-Service-(DDoS-)Attacken wird eine grosse Anzahl von weltweit verteilten Internet-Clients dazu verwendet, um das Zielsystem mit Anfragen zu überlasten. Meistens handelt es sich bei den Clients um Workstations, die vorgängig mit einem Trojaner infiziert wurden. Das System wird in der Folge von den Angreifern ferngesteuert, die Besitzer nehmen meist ohne ihr Wissen an der Denial-of-Service-Attacke teil. Die zahlreichen, teilweise variierenden Clients machen es für den Service-Betreiber schwieriger, die DoS-Anfragen zu filtern. Cross-Site Scripting zielt darauf ab, JavaScript-Code des Angreifers in eine Webapplikation einzuschleusen. Der Angriff erfolgt meist über unzureichend geschützte Eingabefelder der Applikation oder URL-Query-Parameter. Je nach Absicht des Angreifers nutzt der eingeschleuste Code das Runtime-Environment des Browsers, um in die Applikationslogik einzugreifen, weiteren Schadcode nachzuladen, digitale Identitäten zu stehlen oder bestehende Sicherheitslücken auf dem Client-System auszunutzen, um beispielsweise einen Trojaner zu installieren. Bei SQL-Injection-Attacken geht es darum, Daten (zum Beispiel Kreditkarteninformationen) auszuspähen, aus der applikatorischen Datenbank zu stehlen oder in seinem Sinne zu verändern. Dabei wird versucht, SQL Statements des Angreifers über ungeschützte Eingabefelder oder Query-Parameter in die Applikation einzuschleusen und ausführen zu lassen. SQL-Injection- Angriffe können durch entsprechende WAF-Filter oder datenbankseitig durch «Prepared Statements» (mit gebundenen Parametern) verhindert werden.

4 Virtualiza «Private 4 Notitia 28 / 2015 Make Security an Asset Einführung sehr genügsam und gaben sich mit spartanischen, aus heutiger Sicht archaisch anmutenden Oberflächen (GUIs) zufrieden. Mit der Entwicklung anspruchsvoller Applikationen stiegen die Anforderungen an das GUI. Es folgten erste Gehversuche mit JavaScript mit dem Ziel, die GUIs benutzerfreundlicher zu gestalten. Niemand wäre aber zu jener Zeit auf die Idee gekommen, Business-Logik in JavaScript zu implementieren die in JavaScript realisierten Teile einer Applikation beschränkten sich auf Logik im Zusammenhang mit der Visualisierung. Die Zurückhaltung der Entwickler, Funktionalität im Browser zu nutzen, hatte gute Gründe: In der früheren HTML4-Welt waren die Tags zwar standardisiert, deren Semantik und Darstellungsweise wurden aber von den verschiedenen Browser-Herstellern sehr unterschiedlich interpretiert. Dies führte dazu, dass Webinhalte je nach verwendetem Browser völlig anders aussahen. Das von den Browsern bereitgestellte JavaScript API (Application Programming Interface) war ausserdem sehr spartanisch. Wer anspruchsvollere Themen mit JavaScript in Angriff nahm und dabei gleichzeitig die Browser-Vielfalt in den Griff bekommen wollte, musste richtige Knochenarbeit leisten. HTML5 läutet eine neue Ära ein Mit der Einführung von HTML5 hat sich dies grundlegend geändert. Neben einer eindeutigen Semantik und einer einheitlichen Darstellungsweise brachte HTML5 auch ein sehr umfangreiches, standardisiertes JavaScript API. Damit verringerten sich einerseits die Browser-spezifischen Unterschiede, andererseits reichten plötzlich ein paar wenige Zeilen JavaScript, um Videos vor- und rückwärtszuspulen, Grafiken zu zeichnen, Daten mittels WebStorage im Browser lokal zu speichern, auf die Kamera eines mobilen Geräts zuzugreifen oder mit diesem den geografischen Standort abzufragen. So war der Weg geebnet für Rich Internet Applications, sogenannte RIAs, mit umfangreichen, rein Client-seitigen Funktionen. Der Browser mutierte dabei von HTML5 eröffnet Entwicklern und Angreifern völlig neue Perspektiven. einem «Visualisierungsvehikel» zu einer umfassenden Laufzeitumgebung für JavaScript-basierte Applikationen. Die vielseitigen Funktionen von HTML5 eröffnen den Applikationsentwicklern völlig neue Perspektiven leider gilt dies jedoch auch für Angreifer. Auch wenn bei der Standardisierung von HTML5 Sicherheitsaspekte mit berücksichtigt wurden: Alleine der Umfang der Funktionalitäten im Browser führt dazu, dass Internet DMZ nem eatia dolesciene volorpores cimolorrum exerio entrent essi to es mo. any to Secure Reverse Proxy Amazon Web Services Intranet (unter direkter Kontrolle) 2000 Client / Server JavaScript for GUIs Perimeter Security Intranet (unter di 201 HTML5 Multi-Channel J Cloud Computing Quo vadis, Internet: Die rasante technologische Entwicklung erfordert es, Sicherheit laufend zu hinterfragen.

5 Notitia 28 / 2015 Make Security an Asset Einführung 5 durch fehlerhafte Implementierungen relativ leicht auszunutzende Sicherheitslücken entstehen. Ausserdem gilt es zu beachten, dass in relativer Stille gerade ein Paradigmenwechsel stattfindet: Die Applikationsfunktionalität wandert zunehmend auf den Client und damit ausgerechnet in Richtung des schwächsten Ist erst fremder Code eingeschleust, versagen viele Sicherheitsmechanismen. Glieds in der ganzen Security-Kette. Diese Verlagerung hin zum schwächsten Glied hat zur Folge, dass etablierte Server-seitige Sicherheitsmechanismen teilweise nicht mehr greifen und damit nur noch einen reduzierten oder im Extremfall gar keinen Schutz mehr bieten. Der Grund liegt in der Funktionsweise moderner JavaScript Frameworks: Aufgrund der Client-seitigen Logik haben Server-seitige Sicherheitskomponenten nur eine begrenzte Sicht auf den effektiv angezeigten Inhalt der Applikation. Gelingt es nun einem Angreifer, in diese Prozesse eigenen JavaScript-Code einzuschleusen und so die Kontrolle zu gewinnen, wird es schwierig: Ist erst einmal fremder Code einge- schleust, versagen viele der Browser-internen Sicherheitsmechanismen, da die bösartigen JavaScript-Fragmente als regulärer Teil der Applikation betrachtet werden. Das reichhaltige HTML5 JavaScript API steht damit auch dem Angreifer zur Verfügung und ermöglicht beispielsweise, die Kamera in Betrieb zu nehmen, auf Inhalte des HTML5 WebStorage zuzugreifen oder mit der Hilfe von Web Workers (JavaScript-Hintergrundprozesse) eine DoS-Attacke zu starten. Sicherheit ist zentraler denn je Die Beispiele verdeutlichen, dass ein konsequenter Schutz der Webapplikationen noch nie so wichtig war wie heute. Um den Sicherheitslevel der Vergangenheit halten zu können, sind jedoch neue Konzepte notwendig. Ein ganzheitliches Security- Konzept muss die Client-Seite angemessen berücksichtigen. Dazu gehört neben klaren Coding-Richtlinien für die Entwickler auch der konsequente Einsatz der vorhandenen Sicherheitsmechanismen moderner Browser. Diese können von den Serverseitigen Sicherheitskomponenten (zum Beispiel dem nevisproxy) zwar zentral aktiviert und gesteuert werden die Durchsetzung der Sicherheitspolicies verbleibt jedoch auf der Client-Seite. Damit muss man als Sicherheitsverantwortlicher darauf vertrauen, dass die Browser die vorgegebenen Policies richtig anwenden. Ebenso wichtig beziehungsweise noch wichtiger ist es, die im Google Internet of Things Identity Provider X any any to any Google Hybrid Cloud Y Full-Service Provider Z tion vs. Cloud» Salesforce Salesforce DB as a Service Private Cloud rekter Kontrolle) 0 avascript for Business Logic Responsive Design Intranet (unter direkter Kontrolle) 2020? distributed / decentralized security? API Economy OAuth RESTful Machine to Machine JSON OpenID Connect Technologies & Standards

6 6 Notitia 28 / 2015 Make Security an Asset Einführung Stephan Schweizer und Thomas Zweifel: Entwickeln Strategien für den Umgang mit neuen Gefahren im Internet. Server verfügbaren Schutzmechanismen gegen Injection- Attacken konsequent anzuwenden. Obwohl die Mechanismen bei gewissen Szenarien nicht mehr die gleiche Schutzwirkung entfalten wie früher, bilden sie nach wie vor eine nicht zu unterschätzende Hürde beim Versuch, Angriffscode in die Applikation einzuschleusen. Alle Sicherheitsmassnahmen zusammen verfolgen ein Ziel: die Einschleusung von bösartigem JavaScript-Code unter allen Umständen zu verhindern. Neue Sicherheitskonzepte sind gefragt Bei den aufgezeigten Massnahmen bleibt dennoch eine zentrale Frage offen: Wie wappne ich mich als Organisation gegen den Worst Case, also den Fall, dass es einem Angreifer gelingt, eigenen Code in die Applikation einzuschleusen? Für dieses Szenario müssen definitiv neue Lösungen entwickelt werden. Es ist davon auszugehen, dass sich eine infizierte JavaScript-Applikation anders verhalten wird als das Original ein vielversprechender Ansatz ist daher die Server-seitige Anomalieerkennung. Die grundlegende Idee besteht darin, dass es Server-seitige Intelligenz gibt, die in der Lage ist, das normale Verhalten einer Applikation zu lernen und zu modellieren. Ausgehend von dieser Annahme ist es möglich, abweichende Verhaltensweisen zu erkennen und darauf zu reagieren. Die Reaktionen auf eine solche Situation hängen vom jeweiligen Kontext ab. Denkbar sind eine Meldung an ein zentrales Monitoringsystem, der Entzug von kritischen Rechten während der Session (zum Beispiel Sperrung von kritischen Transaktionen), eine Neuauthentisierung des Benutzers oder gar eine sofortige Beendigung der Session. Die technischen Grundlagen für ein solches System bestehen bereits; Ansätze und Algorithmen aus dem Big-Data-Bereich leisten hier wertvolle Dienste. Mit einer zentralen Security- Architektur, die auf einem Entry-Gateway-Ansatz basiert, sind ausserdem die Voraussetzungen gegeben, um an zentraler Stelle auf erkannte Anomalien zu reagieren. Die neuen Aufgaben der Entry Gateways Die organisationsübergreifende Vernetzung von Applikationen erfolgt heute in aller Regel über sogenannte APIs. Darunter versteht man Web-basierte Schnittstellen, über die Datenstrukturen im XML- oder JSON-Format ausgetauscht werden. Der Begriff JSON steht dabei für JavaScript Object Notation. Wie der Name vermuten lässt, wurde der Standard für den Austausch von Datenstrukturen im JavaScript-Umfeld entwickelt. Die gute Nachricht ist, dass vernetzte Backend-Applikationen und JavaScript-basierte Rich Internet Applications die gleichen

7 Notitia 28 / 2015 Make Security an Asset Einführung 7 Technologien für den Datenaustausch nutzen. Somit können die Gateway-Infrastrukturen prinzipiell für beide Applikationstypen verwendet werden. Dies spart einerseits Kosten und vereinfacht andererseits den Betrieb. Bei kritischen oder vertraulichen Daten müssen die Zugriffe auf die APIs selbstverständlich durch eine Authentisierung geschützt werden, die dem geforderten Sicherheitsniveau entspricht. Wenn nun Applikationen immer enger integriert und Server-seitige Intelligenz kann das normale Verhalten einer Applikation lernen. 4. Zusätzliche Funktionen: Die zentrale Verifikation der Access Token ist die ideale Grundlage für ein zentrales Accounting und damit auch für neue Verrechnungs- und Geschäftsmodelle. Die bestehenden Web Entry Gateways und Perimeter- Architekturen bilden eine ideale Basis, um diese Vorteile zu nutzen. Wir sind davon überzeugt, dass sich heutige Web-Entry- Lösungen in Richtung API Management weiterentwickeln müssen. Dazu gehören neben der Unterstützung der modernen Federation-Protokolle (OAuth und OpenID Connect) auch weitere Funktionalitäten wie Accounting, Throttling, effizientes Filtering von JSON Content sowie die selektive Einschränkung der nach aussen publizierten API-Funktionen in Abhängigkeit der Benutzerberechtigungen. verknüpft werden, sich aber nicht notwendigerweise im selben Rechenzentrum oder auf demselben Server befinden, müssen die einzelnen Applikationen zwecks Datenaustausch auf die jeweils anderen APIs im Namen des Endnutzers zugreifen können. Hierzu sollte der Endnutzer um Erlaubnis gefragt werden, im Fachjargon User Consent genannt. Das Autorisierungsprotokoll OAuth definiert hierfür verschiedene Abläufe. Die Identifikation beziehungsweise Authentisierung des Benutzers mittels eines Authorization Server gehört ebenfalls zu diesen Abläufen, ist jedoch selbst nicht standardisiert, auch um beliebige Authentisierungsmechanismen zu ermöglichen. Nach der Authentisierung stellt der Authorization Server die Access Token aus, die letztlich den Applikationen den Zugriff auf das API ermöglichen. Die Funktionalitäten zur Ausstellung der Access Token sowie deren Verifikation werden idealerweise in eine den Applikationen vorgeschaltete Ebene ausgelagert. Eine solche Architektur bietet verschiedene Vorteile: 1. Zentral: Die Unterstützung für das OAuth-Protokoll muss nicht einzeln für jede Applikation implementiert werden. Dies bedeutet einerseits eine Zeit- und Kostenersparnis und macht andererseits die Integration von Legacy-Applikationen erst möglich. 2. Entkoppelt: Eine sichere Implementierung des OAuth- Standards stellt hohe Anforderungen an die Verwaltung der ausgestellten Token. Die Bereitstellung dieser Funktionalität in einer vorgeschalteten Gateway-Infrastruktur ermöglicht eine einfache und sichere Integration der bestehenden Applikationen. 3. Modular: Der Authorization Server ist per Design eine zentrale Komponente, die alle eingebundenen Applikationen verwenden. Diese Komponente muss in der Lage sein, alle bereits vorhandenen Benutzer-Directories einzubinden und die bereits vorhandenen Authentisierungsverfahren weiterhin zu unterstützen. Eine zentrale Sicherheitsinfrastruktur stellt sicher, dass die Anbindung der notwendigen Directories nur einmal erfolgen muss. Und was bedeuten diese Trends für Nevis-Kunden? Neue Trends einzubeziehen ist für uns Herausforderung und Ansporn zugleich. Wir wollen unseren Kunden stets die technischen Mittel in die Hand geben, die notwendig sind, um ihr Business in einem dynamischen Umfeld optimal zu unterstützen. Die aufgezeigten Themen und Trends sind daher entweder bereits in neue Produktfunktionalitäten eingeflossen oder werden in der zukünftigen Produktentwicklung berücksichtigt. Beim Design der neuen Funktionen stehen die sanfte Migration auf neue Applikationsarchitekturen und der Parallelbetrieb der bestehenden Lösungen im Zentrum damit gewährleistet der Einsatz von Nevis einen maximalen Investitionsschutz und eine solide Basis für künftige Herausforderungen. (Weiterführende Informationen sind auf der neu gestalteten Nevis-Website zu finden: https://www.nevis-security.ch) Stephan Schweizer Stephan Schweizer stiess 2009 als Nevis Product Manager zur AdNovum und ist seither für die Nevis-Produktstrategie und den Vertrieb verantwortlich. In seiner Freizeit bewegt er sich gerne mit Laufschuhen an den Füssen in der freien Natur oder versucht als Tenniseinsteiger, seinen noch etwas wackligen Aufschlag zu verbessern. Thomas Zweifel Thomas Zweifel ist Dipl. Informatik-Ingenieur ETH sowie MAS ETH MTEC und seit April 2005 für AdNovum tätig. Als Senior IT Consultant berät er Kunden in Fragen der IT-Sicherheit und IT-Strategie und leitet ein Team von Ingenieuren und Beratern. In seiner Freizeit bewegt er sich gerne sowohl auf wie auch unter dem Wasser.

8 8 Notitia 28 / 2015 Make Security an Asset Interview Gion Sialm vom BIT und Ivan Bütler von Compass Security teilen mit AdNovum CTO Tom Sprenger ihre Erfahrungen mit Web-Security. Sicher ins Web statt ins Netz Die Sicherheitssituation im Web verändert sich laufend. Gion Sialm vom BIT, Marc Condrau von Health Info Net und Ivan Bütler von Compass Security diskutieren am Security-Round-Table mit unserem CTO Tom Sprenger über aktuelle Entwicklungen. Attacken sind bekanntlich der grosse Gegenspieler der Security. Welche Angriffe richten heute den grössten Schaden an? IB: Die Hauptgefährdung geht von Attacken über Trojaner aus. Firmen mit grossen Forschungsabteilungen, deren langfristiger Erfolg von eingereichten Patenten abhängt, kämpfen mit dem permanenten Versuch von Hackern, an ihr geistiges Eigentum zu gelangen. Auch Spionageaktivitäten von Staat zu Staat werden primär über den Einsatz von Trojaner-Software realisiert. Die zweite Gefahr sind Insidergeschichten. Traditionelle Phishing- Attacken sind im Web-Kontext rückläufig, da sie oft mühsam und aufwändig sind. Heute hacken sich Angreifer ins Content Management System (CMS) börsenkotierter Firmen, um beispielsweise den Quartalsabschluss ein paar Stunden vor Publikation zu bekommen. Besitzt das Hacker-Team das notwendige Know-how, um den Quartalsabschluss zu interpretieren, können an der Börse hochspekulative Geschäfte getätigt werden. MC: Phishing-Attacken und Trojaner waren und sind auch aus Sicht von HIN die relevantesten Gefahren. Zentral ist aus unserer Sicht der Schutz des Endpunkts, typischerweise des Benutzer-PCs. Wichtig ist hier die Benutzerfreundlichkeit. Denn Benutzer werden Sicherheitslösungen mit ungenügender Usability umgehen. Ein weiterer zentraler Punkt ist, das Bewusstsein der Benutzer zu schärfen. Was erwartet ein Benutzer heute von einem Online-Portal betreffend Sicherheit?

9 Notitia 28 / 2015 Make Security an Asset Interview 9 (Die Teilnahme von Marc Condrau erfolgte schriftlich.) IB: Mir persönlich sind der Schutz und die Integrität meiner Daten wichtig. Bei der Nutzung kostenloser Angebote wie Facebook, Twitter und Co. weiss ich, dass ich die Kontrolle aus der Hand gebe und mit meinen Daten bezahle. Von einer Business-Applikation erwarte ich jedoch, dass sie meine Daten nicht weitergibt, die Vertraulichkeit gewährleistet und die geltenden regulatorischen Bestimmungen einhält. So müssen etwa beim Online- Bezahlen mit Kreditkarte die Standards der PCI (Payment Card Industry) berücksichtigt werden. Deshalb darf zum Beispiel die Kreditkarten-CVC (dreistelliger Code) von den Anbietern nicht gespeichert werden. MC: Im Gesundheitswesen kommt dem Datenschutz enorme Bedeutung zu. Beim Datenzugriff und Datenaustausch sind höchste Vertraulichkeit und die sichere Identifikation der Kommunikationsteilnehmer zwingend. Andererseits sollen die relevanten Gesundheitsdaten den Behandelnden jederzeit umfassend zur Verfügung stehen. Dieser Balanceakt stellt bei der Gestaltung von Security-Systemen für das Gesundheitswesen eine Herausforderung dar. Daten werden zunehmend organisations- und systemübergreifend genutzt. Wie sichern Sie innerhalb des Unternehmens den Zugriff ab? GS: Beim Bund gibt es klare Bestimmungen, nicht nur beim Access Management, sondern auch beim Datenschutz. Es darf nicht möglich sein, aufgrund von Zugangsdaten Rückschlüsse auf eine Person zu ziehen. Hat zum Beispiel jemand Zugriff auf die Mehrwertsteuer, ist es wahrscheinlich, dass er ein eigenes Unternehmen besitzt. Das lässt wiederum weitere Rückschlüsse zu. Deshalb braucht es eine saubere Datentrennung. Jedes Amt sieht nur das, was es selber verwaltet. Dabei stellen wir die Datentrennung nicht nur über Vorgaben und Prozesse sicher, sondern auch technisch. Das macht die Lösungen zwar komplexer, ist aber wichtig für den Datenschutz. IB: Als Grundregel empfehle ich, die Zugriffskontrolle möglichst nahe bei den Daten vorzunehmen. Zentral ist auch die professionelle und sichere Programmierung der Webapplikation. In der Praxis können jedoch Fehler in der Implementation nicht zu 100% ausgeschlossen werden. Es ist deshalb eine weise Strategie, Webapplikationen zusätzlich durch eine vorgeschaltete Web Application Firewall (WAF) zu schützen, damit ein solcher Fehler nicht gleich zum Super-GAU führt. Dies gilt insbesondere dann, wenn man keinen Zugriff auf den Source Code der Webapplikation hat. MC: Weitere Grundvoraussetzungen für den sicheren externen Zugriff auf interne Daten und Funktionen sind die zuverlässige Authentisierung und Autorisierung der Benutzer. Hier setzt HIN als Identity und Access Service Provider für das Gesundheitswesen an: Der Einsatz validierter HIN-Identitäten entlastet Applikationsanbieter im überinstitutionellen Datenaustausch. Die HIN-Entry- Server-Infrastruktur stellt die Perimeter-Security für die angeschlossenen Applikationen sicher, beispielsweise für Radiologiesysteme von Spitälern, und übernimmt die applikatorische Autorisierung der externen Benutzer. Es ist eine weise Strategie, Webapplikationen zusätzlich durch eine vorgeschaltete Web Application Firewall zu schützen. (Ivan Bütler) Schaut man sich die Entwicklungen bei den Webapplikations- Architekturen an, stellt man einen Trend in Richtung «App in a Browser» fest. Es werden nicht mehr bei jedem Call GUIs hin- und hergeschickt, sondern die ganze Applikation läuft im Browser (zum Beispiel HTML5). Die Kommunikation mit dem Backend wandelt sich dabei zur technischen Datenkommunikation. Wie verändert das die Anforderungen an eine WAF-Lösung? IB: Die technischen Calls folgen Standards wie RESTful Services, JSON oder XML. Die WAF muss diese Protokolle und Technologien verstehen und validieren können. Probleme gibt es bei «getunnelten» Protokollen und Protokollen ohne offene Standards (wie ICA oder früher GWT), weil die WAF diese nicht validieren kann. Solange das Web proprietäre Formate zur Übermittlung von Daten zulässt, kann eine WAF auf dieser Ebene keinen umfassenden Schutz bieten.

10 10 Notitia 28 / 2015 Make Security an Asset Interview Sind die neuen HTML5-Applikationen auch ein Thema beim Bund? GS: Ja, wir nutzen HTML5-Applikationen in Kombination mit WAF und Reverse Proxy. Dadurch gewinnen wir Flexibilität und können an verschiedenen Orten bezüglich Sicherheit eingreifen. Weil Sicherheit für uns zentral ist, müssen wir bei den unterstützten Security Features immer auf dem aktuellsten Stand sein. Wir entwickeln unsere Security-Architektur laufend weiter und schauen, was wir wiederverwenden können und was neu unterstützt werden muss. Zurück zum Thema Datensicherheit: Zunehmend trifft man auf Anwendungsfälle, in denen Daten den Bereich von geschützten Systemen verlassen, da sie etwa einem Dritten zur Verfügung gestellt werden. Beispiele dafür sind Cloud-Dienste oder in der Zusammenarbeit mit Partnern genutzte kollaborative Services. Die klassische Perimeter-Security greift hier nicht mehr. Trotzdem wollen wir die Kontrolle über die Daten behalten. Was gibt es hier für Ansätze? IB: Nehmen wir als Beispiel ein E-Banking, das auch «fremde» Daten in Form von Kreditkartenabrechnungen darstellt. Die Ownership der Kreditkartenabrechnungen liegt nicht bei der Bank, sondern beim Kreditkartenunternehmen. Das E-Banking bezieht einen Feed vom Kreditkartenhersteller und generiert damit Mehrwert für den E-Banking-Kunden. Hier sehe ich zwei Security-Aspekte. Erstens: Die Daten des Anbieters (Kreditkartendaten) können schadhafte Elemente enthalten. Die Bank sollte deshalb diese Daten validieren, auch wenn sie von einem vertrauenswürdigen Partner stammen, da sonst das Risiko einer sogenannten Second-Order Injection besteht. Zweitens gibt das Kreditkartenunternehmen die Ownership über die Kreditkartendaten preis. Was die Bank damit macht, hängt von der vertraglichen Regelung ab. Der Kunde weiss nicht mehr, wo seine Daten liegen. Gibt es Instrumente, um mit dem Zielkonflikt zwischen Data Privacy und Data Exchange umzugehen? Zum Beispiel im Kontext von Government- oder E-Health-Lösungen würde die Aggregation von Nutzdaten sicher Mehrwert bringen. Doch müssten die Bürger dazu akzeptieren, dass ihre Daten den Einflussbereich der Organisation verlassen. GS: Eine Aggregation könnte durchaus Mehrwert bieten. Dies ist einfach geregelt, indem solche Datenbestände eine gesetzliche Grundlage brauchen. Wenn also Daten im Amt oder amtsübergreifend aggregiert werden, beruht dies zwangsläufig auf einer hierzu bestehenden Gesetzesgrundlage. Dies gewährt, dass Daten nicht ohne Zustimmung der Politik analysiert oder aggregiert werden. MC: Im Gesundheitswesen ist die Aggregation der besonders schützenswerten Gesundheitsdaten mit anderen Daten ein heikler Punkt. Die E-Health-Strategie des Bundes trägt diesem Umstand Rechnung, indem für das elektronische Patientendossier nicht die AHV13-Nummer als Patientenidentifikator verwendet wird, sondern ein eigener Patientenidentifikator. Bedeutet das für Unternehmen und Organisationen, dass sie ihre Identitäten und Authentisierungsmittel in einem zeitaufwändigen und teuren Vorhaben konsolidieren müssen? GS: Nicht unbedingt. Wir haben eine föderative Architektur aufgebaut und es innerhalb von weniger als einem Jahr geschafft, in der Bundesverwaltung mit PKI, Kerberos, Name /Passwort, Name / Passwort / SMS und SuisseID zu authentisieren. Mit HTML5-Applikationen und einer Second Line of Defense erreichen wir eine hohe Sicherheit und Flexibilität. (Gion Sialm) Ist es nach Ihrer Einschätzung in der Regel sinnvoll, einen Identitäts-Pool zu haben und zentral zu verwalten? MC: Ja, davon sind wir überzeugt. HIN bietet für das Gesundheitswesen Identitäten in der Cloud als Service an. Tauschen Institutionen untereinander Daten aus, braucht der Applikationsanbieter die Identitäten nicht aufwändig zu identifizieren und zu registrieren. Die Benutzer erhalten mittels Single Sign-on Zugriff auf über 50 Anwendungen. Um Föderierung zu ermöglichen, haben wir das HIN Access Gateway entwickelt. IB: Föderierte Dienste haben auch nach meiner Einschätzung ein hohes Zukunftspotenzial. Die Unternehmen werden dazu übergehen, die Identitäten ihrer User über Dienste wie Active Directory Federation Services (ADFS) im Internet nutzbar zu machen, so dass Cloud-Anbieter von diesen Identitäten profitieren können. Das spart Zeit und Geld.

11 Notitia 28 / 2015 Make Security an Asset Interview 11 Ein interessanter Ansatz. Die Unternehmen verwalten die Identitäten und schliessen mit Cloud-Anbietern einen Vertrag ab. Wird eine neue Identität erfasst, wird sie automatisch in Richtung Cloud-Anbieter provisioniert. IB: Und umgekehrt: Verlässt ein Mitarbeiter die Firma, wird sein Account auf dem unternehmenseigenen Active Directory und im Federation Service gesperrt. Die Sperrung ist unmittelbar und sofort wirksam. Der Benutzer kann nach der Sperrung weder das Firmennetz noch die aktivierten föderierten Services nutzen. Leider sind föderierte Systeme komplex. Die Verbreitung und Nutzung braucht entsprechend noch etwas Reifezeit. MC: Die Provisionierung kann auch von der Cloud in das interne IAM erfolgen. Gerade im Gesundheitswesen mit der hohen Mobilität der Mitarbeitenden ist dieser Ansatz interessant: Validierte Identitätsdaten, einschliesslich Informationen zu den medizinisch-fachlichen Qualifikationen, können beim Eintritt in eine Organisation übernommen werden. Föderierte Dienste haben ein hohes Zukunftspotenzial. (Ivan Bütler) Es gibt hier den schönen Begriff «Dynaxität» wir erhöhen zugleich die Dynamik, indem wir die Identitäten föderiert brauchen, und die Komplexität, indem wir mehr Services ansteuern. Das verlangt nach einer strengeren Governance GS: Definitiv. Früher war die Governance schneller als die Technik. Vor allem die monolithischen Architekturen waren so komplex, dass wir jahrelang daran bauten. Heute hinkt die Governance der Technik hinterher. Und die Kunden sind «hungrig», haben Erwartungen. Wir brauchen ein gutes Gespür dafür, was wir zulassen wollen, ohne dass die Komplexität überhandnimmt. das Mobile selbst. An der SuisseID schätzen wir, dass wir den Verwaltungsaufwand auslagern können. Wie könnte eine einfache Authentisierung aussehen? IB: Die Benutzername / Passwort-Authentisierung ist so erfolgreich, weil sie einfach ist. Es braucht keine Software, man muss nichts kaufen oder installieren und jeder beherrscht sie. Allerdings erachte ich diese Art der Authentisierung als nicht besonders sicher. Die Sicherheit kann erhöht werden, indem das Verhalten und die Eigenschaften des Client Computers bei der Authentisierung analysiert werden. Ein sogenannter «Client Correlator» überprüft die Settings des Client Computers des Anwenders, beispielsweise Bildschirmauflösung, installierte Plugins, Sprache des Browsers, durchschnittliche Loginzeit bei der Authentisierung und IP Range des Providers. Solche Informationen verraten schon fast, wer an einem Computer sitzt, bevor sich der User mit Passwort einloggt. Die EFF (Electronic Frontier Foundation) hat unter dem Projekt «Panopticlick» einen Prototyp erstellt, der diese Technik vorführt. MC: Im Gesundheitswesen ist eine einfache Benutzername / Passwort-Authentisierung bei einem externen Zugriff inakzeptabel. Um das Verfahren für die Applikationsanbieter zu vereinfachen, bietet die HIN-Plattform vier verschiedene Authentisierungsverfahren an: zertifikatsbasiert mit Soft Token, mtan, Health Professional Card der FMH und SuisseID. Schlagen wir den Bogen zur Authentisierung. Das ist besonders im Mobile-Bereich ein aktuelles Thema, denn die Erwartungen an die Benutzerfreundlichkeit sind hier generell hoch. Welche Trends beobachten Sie da? MC: Bei mobilen Geräten verwenden die Benutzer von HIN- Services aktuell primär mtan und weniger die kartenbasierten Verfahren. Derzeit prüfen wir MobileID. IB: Die Authentisierung muss vor allem einfach sein. Komplizierte zertifikatsbasierte Lösungen wie SuisseID werden sich meiner Meinung nach in der Breite nicht durchsetzen. Die Chance für solche Systeme sehe ich in geschlossenen Umgebungen (zum Beispiel Bund) oder bei Anwendungen mit erhöhten Sicherheitsbedürfnissen (B2B oder Ähnliches). GS: Für E-Government sind nur zwei Dinge notwendig: eine flexible IAM-Architektur und ein gutes, einfaches Authentisierungsmittel. Wir haben zwar PKI, doch ist das Gerät so gross wie Spinnen wir den Gedanken weiter: Wären Lösungen denkbar, bei denen man sich nicht explizit einloggen muss, solange man nichts Riskantes tut? IB: Ein adaptives Sicherheitssystem das ist eine gute Idee und wäre für den Benutzer sehr bequem. Doch bei Fällen wie etwa

12 12 Notitia 28 / 2015 Make Security an Asset Interview einer Mehrwertsteuer-Rückzahlung bräuchte es einen Step-up auf ein höheres Security-Niveau. Und dieser müsste vom Aufwand her vertretbar sein. Muss der Benutzer am Ende trotzdem ein Client-Zertifikat zur Authentisierung installieren, könnte er das gleich von Anfang an tun. Werden die Attribute von einem Client Correlator gesammelt, besteht eine gewisse Unschärfe in der Einschätzung. Ist dieses Risiko aus Ihrer Sicht vertretbar? MC: Für den Zugriff auf Personendaten im Gesundheitswesen ist ein Zugriff ohne explizite Authentisierung nicht denkbar. GS: Beim Bund bräuchte es definitiv ein Umdenken. Für gewisse Fälle wie der vorher erwähnten Mehrwertsteuer-Rückzahlung kann eine solche Technik aber nur in Kombination mit einem Verfahren eingesetzt werden, das jegliche Unschärfe ausschliesst. IB: Letztlich läuft es darauf hinaus, über die Analyse der Daten aus dem Client Computer eine Vorhersage über den Benutzer zu machen. Systeme, die solche Techniken einsetzen, wissen im Prinzip schon vor der Authentisierung, wer am anderen Ende der Leitung arbeitet. Der Einsatz solcher Profiling-Systeme ist in der Kreditkartenindustrie bereits Standard. Mit jeder Kreditkartentransaktion bezahlt man ein paar Rappen in einen Schadenpool. Die Kreditkartenunternehmen wissen genau Bescheid, wann und wo eine Kreditkarte genutzt wird. Findet in Südamerika eine Belastung statt, während der Inhaber selbst in Europa sitzt, wird dies automatisch erkannt und der Inhaber bleibt schadlos. Das Kreditkartensystem lebt mit dem latenten Risiko eines Missbrauchs. Dieses Paradigma kann man auch auf andere Businessfälle anwenden. Profiling wäre denkbar, um Zugriffe bei ungewöhnlichem Nutzerverhalten zu unterbinden. (Marc Condrau) Könnte die nächste Generation von Security allenfalls ein Profiling einbeziehen? GS: Wie bereits erwähnt, bedarf ein Profiling einer gesetzlichen Grundlage. Obwohl auch Schweizer Bürger zunehmend ihre persönlichen Daten für Profiling an Unternehmen oder soziale Netzwerke abgeben, ist es noch schwer denkbar, dass dies im Verwaltungsumfeld zugelassen würde. MC: Im Gesundheitswesen wäre ein Profiling in dem Sinne denkbar, dass Zugriffe unterbunden werden, wenn das Benutzerverhalten ungewöhnlich ist. Also zum Beispiel dann, wenn ein Zugriff auf Gesundheitsdaten aus dem Ausland erfolgt. Die Sinnhaftigkeit hängt aber stark vom Anwendungsfall ab. IB: Im Profiling, also in der Erstellung und Verwendung von Profilen von Benutzern wie auch von Anwendungen, Netzwerkverkehr und Ähnlichem, sehe ich grosses Zukunftspotenzial. Die Korrelation von Daten wird für Forschung und Sicherheit zentral sein. Wie wir sehen, sind die Möglichkeiten der Datennutzung im Web noch lange nicht ausgeschöpft. Gleichzeitig werden die Benutzer immer anspruchsvoller und die Angreifer immer professioneller. Der Schutz unserer Daten bleibt damit auf absehbare Zeit ein aktuelles Thema. Ich danke Ihnen für das spannende Gespräch. Round-Table-Teilnehmer: Gion Sialm Gion Sialm ist als Leiter IAM im BIT zuständig für den Zugang zu Bundesapplikationen. Dieser zentrale Service im Bund fungiert fast ausschliesslich als Trust Broker. Auf flexible Art und Weise werden intern wie extern gehostete Applikationen mit den grössten Authentisierungsverzeichnissen inner- und ausserhalb des Bundes verbunden, wobei die Bewirtschaftung der Zugriffe jeweils in der Kontrolle und Verantwortung der beauftragenden Ämter bleibt. Marc Condrau Marc Condrau ist Lösungsarchitekt und Projektleiter bei der Health Info Net AG (HIN). HIN wurde 1996 auf Initiative des Dachverbandes der Schweizer Ärztinnen und Ärzte (FMH) und der Ärztekasse gegründet mit dem Ziel, den Schweizer Gesundheitsfachpersonen die sichere Nutzung des Internets zu ermöglichen. Kerndienst von HIN ist das Identity Providing für Leistungserbringer (aktuell zirka 17000). Auf Basis der HIN-Identitäten werden Secure-E- Mail-Dienste und Access Control Services angeboten. Nahezu alle niedergelassenen Leistungserbringer und über 420 Institutionen nutzen HIN Mail und über 50 Applikationsanbieter nutzen die Access Control Services. Ivan Bütler Ivan Bütler ist Co-Gründer und CEO der Compass Security. Das 1999 gegründete Unternehmen mit Büros in Jona, Bern und Berlin beschäftigt 35 Personen und ist spezialisiert auf Ethical Hacking, Penetration Testing und Security Reviews. Ivan Bütler ist Lehrbeauftragter an den Fachhochschulen Rapperswil und Luzern und organisiert für Swiss Cyber Storm die European Cyber Security Challenge. Er ist der geistige Vater des Hacking-Lab, eines internationalen Labors für Security Professionals.

13 Notitia 28 / 2015 Make Security an Asset Hintergrund 13 Security Management in der Softwarefabrik Ein durchdachtes Security Management in der Softwarefabrik bietet echten Mehrwert sowohl dem Kunden als auch der Entwicklung. Von Marcel Vinzens und René Rehmann Sie heissen FREAK, Shellshock, Poodle, Heartbleed und BEAST schwerwiegende Sicherheitslücken in bekannten Standards und Produkten, die in den letzten Jahren regelmässig für Schlagzeilen gesorgt haben. Das National Institute of Standards and Technology (NIST) führt in seiner Datenbank über Softwarefehler, sogenannte Common Vulnerabilities and Exposures (CVEs), unterschiedlicher Schwere auf. Seit 2000 hat sich die gemeldete Anzahl dieser Vulnerabilitäten von rund 1000 pro Jahr auf pro Jahr erhöht. Was bedeuten diese Schwachstellen und Zahlen nun für ein Unternehmen wie AdNovum, das Individualsoftware und Softwareprodukte herstellt und dabei oft auch Open-Source-Software-(OSS-)Komponenten sowie bei Bedarf lizenzierte Closed- Source-Komponenten für seine Lösungen einsetzt? Diese Zahlen und Fakten machen deutlich, dass es eines wesentlichen Aufwands bedarf, um sichere Software zu entwickeln, und dass grundsätzlich alle am Software Development Lifecycle (SDLC) beteiligten Parteien für die Entwicklung sicherer Software mitverantwortlich sein müssen. Entscheidend ist deshalb, alle Phasen des SDLC mit dem richtigen Security Mindset in Angriff zu nehmen. Dazu gehört auch, beim Entwurf, bei der Entwicklung und der Ausbreitung sowie der Überwachung qualitätssichernde Massnahmen und Sicherheitsmechanismen vorzusehen, die die Wahrscheinlichkeit einer Gefährdung sowie die Auswirkungen bei einem Exploit minimieren. Im Folgenden zeigen wir, wie das Security Management in unserer Softwarefabrik greift, in der jährlich über 100 Kundenprojekte abgewickelt werden und über 2000 Softwarelieferungen an Kunden erfolgen. Sichere Softwareentwicklung als Basis Grundsätzlich muss Software bereits sicher entworfen und entwickelt werden. Dazu tragen bei AdNovum zahlreiche Massnahmen bei: Architektur- und Security-Sign-offs, Qualitätssicherung in Form von manuellen Code-Reviews und automatischen Code-Analysen während der Entwicklungsphase sowie Schulungen, Richtlinien und Best Practices für die Entwickler. Diese Massnahmen sollen insbesondere verhindern, dass Sicherheit nachträglich «eingearbeitet» werden muss, weil sich die Entwickler beim Bau der Software ausschliesslich auf Features und Usability konzentrieren. Unser Security Engineering Team steuert die Massnahmen und entwickelt sie weiter. Dabei wird es von anderen Engineering Teams unterstützt und bezieht laufend das Feedback aus der Softwarefabrik mit ein. AdNovum prüft neue Komponenten auf ihren Mehrwert und ihr Risiko. Als zentrales Element für die sichere Softwareentwicklung betreibt AdNovum ein striktes Technologie- und ein zentrales Dependency Management und verwendet gemanagte Repositories, um Software-Artefakte abzulegen. Was bedeutet dies nun konkret? Bevor AdNovum neue Softwarekomponenten in Projekten einsetzt, wird ihr Mehrwert be zie hungs wei se ihr Risiko in sogenannten Technical Investigations, die Teil des Technology-Approval-Prozesses bilden, kritisch bewertet. So wählen wir sorgfältig Third-Party-Komponenten (OSS- und proprietäre Libraries) aus und legen diese falls positiv bewertet in zentral gemanagten Repositories ab. Diesem Technology Management unterliegen sämtliche Komponenten jeder Kundenlösung und jedes Produkts. Zusätzlich definieren wir auf operativer Ebene für jede Komponente pro Version einen Lifecycle-Status. Im Wesentlichen unterscheiden wir zwischen freigegebenen Komponenten («approved»), zu untersuchenden Komponenten («investi-gating»), überholten Komponenten, die abgelöst werden sollen («deprecated»), und für die Verwendung nicht mehr zugelassenen Komponenten («forbidden»). Beim Bauen einer Anwendung überprüfen wir, welche Komponenten mit welcher Version verwendet werden. Bei Komponenten mit Status «forbidden» oder solchen mit Status «restricted»/«investigating», die für ein Projekt nicht freigegeben

14 14 Notitia 28 / 2015 Make Security an Asset Hintergrund Marcel Vinzens und René Rehmann: Überwachen und gewährleisten die Sicherheit von AdNovum Software.

15 Notitia 28 / 2015 Make Security an Asset Hintergrund 15

16 16 Notitia 28 / 2015 Make Security an Asset Hintergrund sind, wird dem Entwickler sofort ein Fehler angezeigt. So weiss der Entwickler auf einen Blick, welche Komponenten er beispielsweise aufgrund einer bekannten Schwachstelle nicht mehr verwenden darf. Gleichzeitig erhält er auch einen Hinweis, auf welche neuere, von Schwachstellen befreite Version er wechseln muss. Unser sogenannter NightlyBuild baut jede Nacht jede interne Komponente, jede Kundenlösung und jedes Produkt. Für Vorhaben im Wartungsmodus, das heisst zum Beispiel Kundenlösungen ohne aktive Weiterentwicklung, überprüfen wir so, welche Komponenten und welche Versionen verwendet werden (Dependency Management). Zusätzlich führt der NightlyBuild selbstverständlich auch automatisch alle für ein Kundenprojekt oder Produkt definierten Tests aus. Somit erkennen wir jederzeit, wenn ein Vorhaben aufgrund von Lifecycle-Statusänderungen in Third-Party-Komponenten nicht mehr aktuell und sicher ist. AdNovum übernimmt für Halbfabrikate und Libraries die Wartungsverantwortung gegenüber ihren Kunden. Bei den heutigen Kundenprojekten und Produkten ist es aus Effizienzgründen das Ziel, wo immer möglich und sinnvoll bereits vorhandene Halbfabrikate und Libraries einzusetzen und «nur» diejenigen Teile selber zu entwickeln, die entweder sehr spezifisch sind (Fachfunktionalität) oder bei Produkten einen Wettbewerbsvorteil bringen. AdNovum übernimmt für diese Halbfabrikate und Libraries gegenüber ihren Kunden die Wartungsverantwortung. Dazu gehört beispielsweise auch, dass wir die Kunden informieren, welche OSS wir in einer Kundenlösung einsetzen. Zudem benachrichtigen wir die Kunden, wenn Software von AdNovum oder darin verwendete OSS von einer Sicherheitslücke betroffen ist. Unser Security Management hat die Aufgabe, diese Komponenten zu überwachen und bei Bedarf einen Alerting-Prozess zu starten. Dieser Alerting-Prozess regelt, wie mit gefundenen Schwachstellen umgegangen wird, und sorgt dafür, dass die internen Richtlinien eingehalten werden. Ein Alerting-Prozess regelt den Umgang mit Schwachstellen. Aktives Vulnerability Monitoring und Alerting Da Software von AdNovum wie beschrieben wo immer möglich und sinnvoll auf vorhandenen Halbfabrikaten und Libraries aufbaut, insbesondere sehr stark auf OSS, ist es wichtig, dass allfällige Korrekturen von Vulnerabilitäten dieser Komponenten ebenfalls in die von uns gelieferten Anwendungen einfliessen. Dafür zeichnen der AdNovum Security Officer, das Security Engineering Team sowie weitere Engineering- und Produkteteams verantwortlich. Um Vulnerabilitäten zu erkennen, führen wir täglich ein aktives Monitoring der verfügbaren und bekannten Mailing-Listen beziehungsweise Security Alerts durch. Erfolgt nun ein Security Alert für eine verwendete OS-Komponente (zum Beispiel OpenSSL oder Apache HTTP Server) oder OS-Version bei Appliances, analysieren die verantwortlichen Ingenieure in einem ersten Schritt, ob Software von AdNovum von dieser Vulnerabilität direkt oder indirekt betroffen ist. Auf Basis der Analyse schätzen sie das Risiko und die Kritikalität der Vulnerabilität ein. Ist tatsächlich Software von AdNovum betroffen und liegt vom Anbieter der betroffenen Komponenten bereits ein Patch oder ein neuer Release vor, der die Vulnerabilität behebt, stellen wir ihn sofort oder für den nächsten Release bereit. Das hängt von der Kritikali- Mailing-Listen (extern) Direkte Meldungen (intern und extern) Newsgroups (extern) Security Alert Beurteilung Rating high oder medium Software Update Security Bulletin Bereitstellung für Kunden Versand an Kunden Gefährdete SW auf «forbidden» oder «restricted» setzen Security Officer Fachstellen Treten Vulnerabilitäten auf, reagiert AdNovum nach einem etablierten Prozess.

17 Notitia 28 / 2015 Make Security an Asset Hintergrund 17 tät ab. Ist diese Kritikalität hoch und es liegt noch kein Fix vor, erstellen wir einen eigenen oder erarbeiten zumindest einen Workaround, damit die Vulnerabilität nicht ausgenutzt werden kann. Dazu schalten wir zum Beispiel spezifische Teile der betroffenen Komponenten aus, die die Software von AdNovum nicht zwingend verwendet. Der neue Release wird automatisiert im NightlyBuild getestet oder, je nach Kritikalität, in einem Continuous / DailyBuild. Und mit ergänzenden manuellen Tests stellen wir sicher, dass der neue Release von der Vulnerabilität nicht mehr betroffen ist und so die Erwartungen unserer Kunden an die Qualität erfüllt werden. Insbesondere ist darauf zu achten, dass der Fix sich nicht nur auf die Vulnerabilität selber beschränkt, sondern auch deren Ursache beseitigt. Bei Security Alerts mit hoher oder mittlerer Kritikalität senden wir ein Security Bulletin an unsere Kunden. Es enthält unsere Risikoeinschätzung sowie Empfehlungen zu den Update- Prioritäten. Ebenso kommunizieren wir die Termine der Release- Lieferungen der einzelnen betroffenen Softwareprodukte. Handelt es sich um besonders exponierte Komponenten wie OpenSSL oder Apache HTTP Server, die oft auch in der Access Zone eingesetzt werden, versenden wir auch bei tiefer oder nicht vorhandener Kritikalität ein Security Bulletin. Der Fix darf sich nicht auf die Vulnerabilität beschränken, sondern muss auch deren Ursache beseitigen. Security Bulletin, sondern zusätzlich und unmittelbar auch über den Nevis-Blog. Fazit Software ohne Fehler und Sicherheitsprobleme gilt es anzustreben, lässt sich aber in der realen Welt nicht garantieren. Das Ziel jeder seriösen Softwareschmiede muss es sein, diese Schwachstellen und Fehler durch die Grundsätze, Tools und Prozesse sicherer Softwareentwicklung zu minimieren. Zusätzlich muss ein Softwareunternehmen einerseits wissen, welche Komponenten für welche Kundenlösungen verbaut wurden, und andererseits, welche Schwachstellen aktuell diese Komponenten betreffen. Wenn Sicherheitsprobleme auftreten oder bekannt werden, bieten professionelles Verhalten und klar definierte Richtlinien für den Umgang mit Schwachstellen den besten Schutz. Hierfür müssen die Unternehmen klären, wer für Sicherheitsprobleme verantwortlich ist, zum Beispiel ein Security Officer. Dies ist speziell wichtig für Softwareunternehmen. Zudem braucht es ein Security Monitoring und einen definierten und etablierten Alerting-Prozess mit konsistenter Kommunikation nach aussen. Dazu müssen die Prozesse für das Erstellen neuer Releases von Kundenprojekten und Produkten sowie das (automatische) Testen dieser Releases gut und schnell funktionieren. Von diesen Kernelementen des Security Management profitieren bei AdNovum zum einen Produkte wie die Nevis Suite und zum andern sämtliche Kundenprojekte. Deshalb bringt das Security Management in der Softwarefabrik Kunden mit Software-Maintenance-Vertrag nicht nur Kosten, sondern auch echten Mehrwert. Kunden überwachen die bekannteren OSS-Produkte häufig selber mit Hilfe der gleichen Quellen. Dabei treten immer wieder Fragen zur Beurteilung der Kritikalität auf. Aus diesem Grund koordiniert unser Security Officer die Kommunikation gegenüber den Kunden, damit sie konsistent erfolgt. Für die projektspezifische Kommunikation sind die jeweiligen Projektleiter von AdNovum verantwortlich. Sind nun die neuen Releases der betroffenen Komponenten bereitgestellt worden, setzen wir die Komponenten, die die Vulnerabilität enthalten, intern auf «forbidden». Damit ist gewährleistet, dass kein Kundenprojekt und kein Produkt diese Komponente irrtümlicherweise wieder verwendet. In Ausnahmefällen setzen wir die betroffenen Versionen der Komponente für bestimmte Projekte und Produkte auf «approved restricted», wenn klar ist, dass diese weder direkt noch indirekt von der Vulnerabilität betroffen sind. Dies kann der Fall sein, wenn der fehlerhafte Teil der betroffenen Komponente in diesen Projekten und Produkten nicht verwendet wird und es aus Kundensicht nicht opportun ist, die Komponente zu diesem Zeitpunkt zu aktualisieren. Kunden mit Komponenten von AdNovums Security Suite Nevis informieren wir bei Vulnerabilitäten nicht nur mit dem René Rehmann René Rehmann, Dr. phil. nat., ist seit 2012 als Business Project Manager und Security Officer bei AdNovum tätig. Sein Fokus liegt auf Security- und Identity-Management-Projekten. Seine privaten Vorhaben führen ihn mit Vorliebe auf die Golfplätze dieser Welt. Marcel Vinzens Marcel Vinzens, seit 2002 bei AdNovum, ist Dipl. Informatik-Ingenieur ETH und CISSP-zertifiziert. Als technischer Projektleiter und Lösungsarchitekt befasste er sich mehrere Jahre mit der Konzeption, dem Engineering und der Integration von Sicherheits- und Middleware-Systemen. Seit 2013 überwacht er als Stellvertreter des CTO den Lebenszyklus der Produkte und Frameworks, die AdNovum intern, aber auch in Kundenprojekten einsetzt, berät und unterstützt Kunden in Sicherheits- und Architekturfragen und leitet seit Anfang 2015 das Security Engineering Team. Seine Freizeit geniesst er mit seiner Familie oder bei kulinarischen Highlights und beim Spielen.

18 18 Notitia 28 / 2015 Make Security an Asset Partner Der Kontext bestimmt: Wie gut muss die Authentisierung sein? Heute greifen nicht nur Menschen, sondern auch Apps und Dinge auf Informationen zu. Das Thema Sicherheit ist deshalb aktueller denn je. Von Martin Kuppinger Über KuppingerCole KuppingerCole, gegründet 2004, ist ein globales Analystenunternehmen mit Schwerpunkt auf Information Security und Identity & Access Management (IAM). Einen weiteren Kernbereich des KuppingerCole Research bildet Governance, Risk Management and Compliance (GRC). Als unabhängige Analystengruppe organisiert KuppingerCole Konferenzen, Seminare, Workshops und Webcasts im Bereich Informationssicherheit, IAM sowie GRC und ist Ausrichter der European Identity & Cloud Conference, die sich als leitende Veranstaltung für Meinungsführerschaft und Best Practices für Identity & Access Management, Cloud und Digital Risk in Europa etabliert hat. Die IT-Sicherheitsrichtlinien in vielen Unternehmen schreiben vor, dass Inhalte mit höherer Klassifizierung wie «vertraulich» nur mit einer 2-Faktor-Authentisierung genutzt werden dürfen. Solche pauschalen Vorgaben sind aber in einer Welt, in der immer mehr Benutzer mit unterschiedlichsten Geräten auf Anwendungen, Systeme und damit Inhalte zugreifen, längst nicht mehr ausreichend. von unterschiedlichsten Standorten und vielfach über öffentlich zugängliche WLANs. Zunehmend werden auch Apps verwendet, die über Anwendungsschnittstellen sogenannte APIs (Application Programming Interfaces) arbeiten. Diese APIs werden bei der Einbindung von Dingen im Internet of Things (IoT), aber auch für die Vernetzung von Geschäftsprozessen zwischen Unternehmen immer wichtiger. Sicherheit ist kein rein firmen-internes Thema mehr Der traditionelle Fokus der Informationssicherheit war auf die Zugriffe von Mitarbeitern auf interne Systeme ausgerichtet. In den vergangenen Jahren hat sich das Szenario aber grundlegend verändert. Anwendungen laufen nicht mehr nur im internen Rechenzentrum, sondern auch in der Cloud. Immer mehr Anwendungen werden nicht nur für Geschäftspartner, sondern auch für Kunden geöffnet. Zugriffe erfolgen längst nicht mehr nur vom Desktop-PC aus, sondern mit einer Vielzahl von Geräten Immer mehr Anwendungen werden nicht nur für Geschäftspartner, sondern auch für Kunden geöffnet. Mit anderen Worten: Es gibt je länger, je mehr Zugriffe, nicht nur von Menschen, sondern auch von Dingen, Apps und anderen

19 Notitia 28 / 2015 Make Security an Asset Partner 19 Systemen. Informationen müssen auch in dieser komplexen IT-Realität geschützt werden. Zugriffe müssen in angemessener Weise authentisiert und autorisiert werden. Bei der Authentisierung geht es darum festzustellen, ob der Kommunikationspartner der Mensch, das System oder das Ding ist, der / das zu sein er / es vorgibt. Bei der Autorisierung geht es um die Entscheidung darüber, welcher System- und Informationszugriff konkret zugelassen wird. Die grobe Unterscheidung zwischen weniger kritisch mit einfacher Authentisierung, typischerweise mit Benutzername und Kennwort, und kritisch mit 2-Faktor-Authentisierung reicht in diesem veränderten Umfeld offensichtlich nicht mehr aus. Dinge können und müssen sich anders authentisieren als Menschen, bei denen wiederum das verwendete Endgerät mit entscheidend dafür ist, wie die Authentisierung eigentlich erfolgen kann. Es gibt nicht die richtige oder falsche, sondern nur eine angemessene Authentisierung. werden und sich am konkreten Risiko orientieren, zu dessen Feststellung es praktikable Verfahren geben muss. Es müssen unterschiedliche Authentisierungsverfahren ermöglicht werden, um die unterschiedlichen Geräte flexibel zu unterstützen. Die Autorisierung muss variabel werden. Je nach Authentisierung kann mal mehr, mal weniger zugelassen werden. Das erfordert neue Richtlinien und Konzepte, aber auch Anwendungen, die flexibel unterschiedliche Authentisierungsverfahren und -standards integrieren und eine breite Palette an Anwendungsfällen unterstützen. Es erfordert überdies, dass Anwendungen im Kontext arbeiten können und ihre Autorisierungsentscheidungen auch abhängig von der Stärke der Authentisierung treffen. Es ist höchste Zeit, Ansätze zu überdenken und zu modernisieren, um Informationen optimal zu schützen. Die Balance zweier Aspekte ist entscheidend Wie stark oder schwach die Authentisierung sein darf, hängt von der Balance zwischen zwei Aspekten ab. Der eine Aspekt ist der Kontext, in dem der Zugriff erfolgt: Welches Gerät wird verwendet? Wo wird es verwendet? Hat die installierte Anti- Malware einen aktuellen Status? Welche Netzwerke werden genutzt? Gibt es Anzeichen für Missbrauch? Es geht also um das Risiko, mit dem der Zugriff behaftet ist. Je nach Kontext kann dieses Risiko mal grösser, aber auch mal kleiner sein. Der andere Aspekt ist das Risiko, das bei einer Interaktion oder Transaktion akzeptabel ist. Dazu braucht es ein differenziertes Risikoverständnis, das über die Klassifizierung von Dokumenten, Daten oder Anwendungen hinausgeht. Hinzu kommt, dass je nach Zugriffsweg ganz andere Verfahren unterstützt werden müssen. Greift ein Benutzer über eine App auf einen Cloud-Dienst zu, kommen andere Verfahren und Standards zum Tragen als beim Zugriff eines Mitarbeiters von seinem Notebook auf interne Business-Anwendungen. Authentisierung muss den Kontext einbeziehen. Es gibt nicht die richtige oder falsche, die starke oder schwache Authentisierung, es gibt nur eine angemessene Authentisierung. Für besonders kritische Transaktionen kann auch die gängige 2-Faktor- Authentisierung über Smartcards oder OTP Token zu wenig sein. Höchste Zeit, Ansätze zu überdenken Unternehmen müssen ihre Strategien, Regelungen und Implementierungen für die Authentisierung und Autorisierung der geänderten Realität anpassen. Richtlinien müssen flexibler Es ist höchste Zeit, bestehende Ansätze zu überdenken und zu modernisieren, um Informationen optimal zu schützen. Das gilt umso mehr, als das Angriffsrisiko in den vergangenen Jahren massiv gestiegen ist und kein Ende dieser Entwicklung in Sicht ist. Wohin die Reise bei der adaptiven Authentisierung und Autorisierung unter Einbezug der Kontextinformationen geht, war ein rege diskutiertes Thema auf der European Identity Conference 2015 im Mai in München (www.id-conf.com). Impressum Herausgeber: AdNovum Informatik AG Corporate Communication Röntgenstrasse Zürich Telefon Verantwortung und Redaktion: Andrea Duttwiler Feedback: Gestaltung und Realisation: Comuniq, Zürich Fotografie: Gerry Nitsch, Zürich Gedruckt auf Balance Pure

20 Das beste Projekt ist wertlos, wenn es nicht fertig wird. Kennen Sie das? Man verspricht Ihnen eine grossartige Software-Lösung und am Schluss bleibt nichts als eine grossartige Baustelle. Eine Erfahrung, die Sie mit uns garantiert nicht machen werden. Wir entwickeln seit über 25 Jahren umfangreiche Software-Lösungen und Security-Produkte. Wie komplex Ihr Projekt auch ist, wir schliessen es erfolgreich ab. Nehmen Sie uns beim Wort: AdNovum Informatik AG, Röntgenstrasse 22, 8005 Zürich, Tel , Vollendete Software-Projekte.

Security Management in der Softwarefabrik

Security Management in der Softwarefabrik Security Management in der Softwarefabrik Ein durchdachtes Security Management in der Softwarefabrik bietet echten Mehrwert sowohl dem Kunden als auch der Entwicklung. Von Marcel Vinzens und René Rehmann

Mehr

Gestern und heute Sicherheitslösungen im Wandel

Gestern und heute Sicherheitslösungen im Wandel Gestern und heute Sicherheitslösungen im Wandel Mit dem Siegeszug von JavaScript und HTML5 etabliert sich eine völlig neue Generation von Webapplikationen. Gleichzeitig werden Applikationen organisationsübergreifend

Mehr

Sicher ins Web statt ins Netz

Sicher ins Web statt ins Netz Gion Sialm vom BIT und Ivan Bütler von Compass Security teilen mit AdNovum CTO Tom Sprenger ihre Erfahrungen mit Web-Security. Sicher ins Web statt ins Netz Die Sicherheitssituation im Web verändert sich

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Entwicklung und Integration mobiler Anwendungen. Oracle Deutschland B.V. & Co. KG

Entwicklung und Integration mobiler Anwendungen. <Speaker> Oracle Deutschland B.V. & Co. KG Entwicklung und Integration mobiler Anwendungen Oracle Deutschland B.V. & Co. KG Global Users (Millions) Der Trend ist eindeutig. Trend zu mobilen Endgeräten Wachstum des mobilen Datenverkehrs

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Authentication as a Service (AaaS)

Authentication as a Service (AaaS) Authentication as a Service (AaaS) Abendseminar «Innovative Alternativen zum Passwort» 26.10.2010, Hotel Novotel, Zürich Anton Virtic CEO, Clavid AG Information Security Society Switzerland 1 Agenda Cloud

Mehr

Nevis Sichere Web-Interaktion

Nevis Sichere Web-Interaktion Nevis Sichere Web-Interaktion Enterprise Security: Wachsende Gefahren und Anforderungen Moderne Unternehmen sehen sich immer neuen Gefahren durch Online- und In-House-Angriffe ausgesetzt. Gleichzeitig

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland ivan.buetler@csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60

Mehr

Mobile Datensicherheit Überblick ios und Android

Mobile Datensicherheit Überblick ios und Android Mobile Datensicherheit Überblick ios und Android Aldo Rodenhäuser Tom Sprenger Senior IT Consultant CTO 5. November 2013 Agenda Präsentation AdNovum Smartphone Daten Kommunikationskanäle Risikolandschaft

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Mobile Backend in der

Mobile Backend in der Mobile Backend in der Cloud Azure Mobile Services / Websites / Active Directory / Kontext Auth Back-Office Mobile Users Push Data Website DevOps Social Networks Logic Others TFS online Windows Azure Mobile

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland ivan.buetler@csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

Identity as a Service

Identity as a Service Identity as a Service Michael Seeger Siemens IT Solutions and Services CISM. Identity as a Service Geschichtlicher Abriss Technik oder the gory details Voraussetzungen Business case Referenzen und Links

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Ticket Center Quick Start

Ticket Center Quick Start AdNovum Informatik AG. Juli 13 2 Wozu dient das? Indem Sie Ihre Fehlermeldungen, Anfragen und Vorschläge zur Software stets im erfassen, helfen Sie uns, die Informationen zur einzelnen Meldung konsistent

Mehr

Methoden und Tools zur effizienten Integration in Anwendungen und Geschäftsprozesse

Methoden und Tools zur effizienten Integration in Anwendungen und Geschäftsprozesse Methoden und Tools zur effizienten Integration in Anwendungen und Geschäftsprozesse 04.03.2010 Marc Albrecht marc.albrecht@de.ibm.com 199x / 200x / 201x von der Vision über die Diskussionen zur Realisierung

Mehr

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH Identity und Access Management im Kontext der Cloud Horst Bratfisch Raiffeisen Informatik GmbH Raiffeisen Informatik Konzern Länder: 29 Standorte: 100 Mitarbeiter: 2.800 Umsatz 2011: 1,4 Mrd. Raiffeisen

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Partnertag 2014 Visionen und Trends Die Contrexx Roadmap

Partnertag 2014 Visionen und Trends Die Contrexx Roadmap Visionen und Trends Die Contrexx Roadmap Ivan Schmid Inhalt 1. Rückblick 2013 o Lessons learned o Massnahmen 2. Ausblick o Gartner Trends 2014-2016 o Die Rolle von Contrexx 3. Contrexx Roadmap Rückblick

Mehr

Moderne Benutzeroberflächen für SAP Anwendungen

Moderne Benutzeroberflächen für SAP Anwendungen Seite 1 objective partner für SAP Erfahrungen mit dem UI-Development Kit für HTML5 (SAPUI5) - 19.06.2012 Seite 2 Quick Facts objective partner AG Die objective partner AG 1995 gegründet mit Hauptsitz in

Mehr

Compass Event 2009. Vorträge. Ivan Bütler 13. August 2009. Willkommen!

Compass Event 2009. Vorträge. Ivan Bütler 13. August 2009. Willkommen! Compass Event 2009 Willkommen! Wir freuen uns, Sie begrüssen zu dürfen. Ivan Bütler 13. August 2009 Ich freue mich Ihnen den Termin für den Compass Event 2009 bekanntzugeben. Am Donnerstag, 15. Oktober

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Positionspapier: Portalverbund und ehealth

Positionspapier: Portalverbund und ehealth Positionspapier: Portalverbund und ehealth e-government Arbeitsgruppe Integration und Zugänge (AG-IZ) Dr. Wilfried Connert Franz Hoheiser-Pförtner, MSc Rainer Hörbe Peter Pfläging Juli 2009 Inhalt Zielsetzung

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte

Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte Andreas Gremm, CA Deutschland GmbH 21. Mai 2014 40% der IT Manager sagen, dass sie ihren Benutzern Zugriff auf Unternehmensinformationen

Mehr

Seminar "Smarte Objekte und smarte Umgebungen" Identity Management

Seminar Smarte Objekte und smarte Umgebungen Identity Management Seminar "Smarte Objekte und smarte Umgebungen" Identity Management Teil1: Einführung und die ideale Sicht Systeme aus der Forschung (Bettina Polasek) Teil2: Die angewandte Sicht - Industrielle Systeme

Mehr

Ein Plädoyer für mehr Sicherheit

Ein Plädoyer für mehr Sicherheit FACHARTIKEL 2014 Oder: Warum Zwei-Faktor-Authentifizierung selbstverständlich sein sollte Unsere Fachartikel online auf www.norcom.de Copyright 2014 NorCom Information Technology AG. Oder: Warum Zwei-Faktor-Authentifizierung

Mehr

Internet Datasafe Sicherheitstechnische Herausforderungen

Internet Datasafe Sicherheitstechnische Herausforderungen ERFA-Tagung 14.9.2010 Internet Datasafe Sicherheitstechnische Herausforderungen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Appery.io Mobile Apps schnell und einfach entwickeln

Appery.io Mobile Apps schnell und einfach entwickeln Appery.io Mobile Apps schnell und einfach entwickeln Cloud-basierte Entwicklungsumgebung, keine lokale Installation von Entwicklungsumgebung nötig. Technologie: HTML5. JQuery Mobile, Apache Cordova. Plattformen:

Mehr

Mobile ID. Sichere und einfache Authentisierung mit dem Mobiltelefon

Mobile ID. Sichere und einfache Authentisierung mit dem Mobiltelefon Mobile ID Sichere und einfache Authentisierung mit dem Mobiltelefon Mit Mobile ID können sich Ihre Mitarbeitenden und Kunden bequem und sicher auf Applikationen und Online-Portalen anmelden. Auch Online-

Mehr

04.06.2013. Mobile Business. SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs?

04.06.2013. Mobile Business. SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs? 04.06.2013 Mobile Business SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs? Kurze Vorstellung Mobile Geräte: Herausforderungen Mobile Geräte: Sicherheit Realisierungsbeispiel Fragen & Antworten

Mehr

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software

Mehr

Sicherheits- & Management Aspekte im mobilen Umfeld

Sicherheits- & Management Aspekte im mobilen Umfeld Sicherheits- & Management Aspekte im mobilen Umfeld Einfach war gestern 1 2012 IBM Corporation Zielgerichtete Angriffe erschüttern Unternehmen und Behörden 2 Source: IBM X-Force 2011 Trend and Risk Report

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND

NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND NOCTUA by init.at DAS FLEXIBLE MONITORING WEBFRONTEND init.at informationstechnologie GmbH - Tannhäuserplatz 2 - A-1150 Wien - www.init.at Dieses Dokument und alle Teile von ihm bilden ein geistiges Eigentum

Mehr

ELCA Forum 2014 Sollten Sie Ihr kollaboratives Intranet in die Cloud bringen?

ELCA Forum 2014 Sollten Sie Ihr kollaboratives Intranet in die Cloud bringen? ELCA Forum 2014 Sollten Sie Ihr kollaboratives Intranet in die Cloud bringen? Dominique Hügli, Manager SharePoint & ECM Jean-Jacques Pittet, Senior Business Consultant September 2014 REFERENTEN Dominique

Mehr

Integrating Architecture Apps for the Enterprise

Integrating Architecture Apps for the Enterprise Integrating Architecture Apps for the Enterprise Ein einheitliches Modulsystem für verteilte Unternehmensanwendungen Motivation und Grundkonzept Inhalt Problem Ursache Herausforderung Grundgedanke Architektur

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache:

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: EIN SERVERSYSTEM, DAS NEUE WEGE BESCHREITET Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: 80 % verbesserte Produktivität von

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Autorisierung zentral steuern

Autorisierung zentral steuern Autorisierung zentral steuern AdNovum hatte jüngst Gelegenheit, ein Autorisierungs-Management-System für ein Gesundheits-Enterprise-Portal zu bauen. Welche Form der Autorisierung soll auf welcher Stufe

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

Security in BYOD-Szenarien

Security in BYOD-Szenarien P R Ä S E N T I E R T Security in BYOD-Szenarien Wie viel BYOD kann man sich wirklich leisten? Ein Beitrag von Martin Kuppinger Founder and Principal Analyst KuppingerCole Ltd. www.kuppingercole.com 2

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer Markus Urban.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform

Mehr

Mobile Backend in. Cloud. Azure Mobile Services / Websites / Active Directory /

Mobile Backend in. Cloud. Azure Mobile Services / Websites / Active Directory / Mobile Backend in Cloud Azure Mobile Services / Websites / Active Directory / Einführung Wachstum / Marktanalyse Quelle: Gartner 2012 2500 Mobile Internet Benutzer Desktop Internet Benutzer Internet Benutzer

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

OSIAM. Sichere Identitätsverwaltung auf Basis von SCIMv2 und OAuth2

OSIAM. Sichere Identitätsverwaltung auf Basis von SCIMv2 und OAuth2 OSIAM Sichere Identitätsverwaltung auf Basis von SCIMv2 und OAuth2 Agenda 1. Sichere Identitätsverwaltung Unser Anspruch OAuth2 SCIMv2 2. OSIAM Wann und Warum? Wo? 2 Unser Anspruch Die Nutzung moderner

Mehr

Complete User Protection

Complete User Protection Complete User Protection Oliver Truetsch-Toksoy Regional Account Manager Trend Micro Gegründet vor 26 Jahren, Billion $ Security Software Pure-Play Hauptsitz in Japan Tokyo Exchange Nikkei Index, Symbol

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Petra Flessa Product Marketing Manager DACH it-sa 2013 10/4/2013 Copyright 2013 Trend Micro

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform 02 PROFI News

Mehr

Transaktionskosten senken mit dem Wirtschaftsportalverbund

Transaktionskosten senken mit dem Wirtschaftsportalverbund Transaktionskosten senken mit dem Wirtschaftsportalverbund Rainer Hörbe Leiter Arbeitskreis WPV 8. März 2013 1 1 Identifikation + Berechtigung + Sicherheitsmaßnahmen Problemstellung: Vertrauen im Internet?

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009. Kurt Schädler. KSS Partners Establishment Schaan, Liechtenstein

Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009. Kurt Schädler. KSS Partners Establishment Schaan, Liechtenstein Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009 Kurt Schädler KSS Partners Establishment Schaan, Liechtenstein Agenda Vorstellung Sicherheitsaspekte Unterschiedliche Sichtweisen aus der Sicht

Mehr

Mobile Government für Deutschland

Mobile Government für Deutschland für Deutschland Verwaltungsdienste t effizient, i sicher und kommunizierbar i bei den Bürgerinnen und Bürgern anbieten egov Fokus 01/2012 Berner Fachhochschule 27.04.2012 Jan Möller Ausgangslage Die Zielgruppe

Mehr

> EINFACH MEHR SCHWUNG

> EINFACH MEHR SCHWUNG > EINFACH MEHR SCHWUNG Mit unserer Begeisterung für führende Technologien vernetzen wir Systeme, Prozesse und Menschen. UNTERNEHMENSPROFIL VORSTAND & PARTNER CEO CFO COO CTO PARTNER ROBERT SZILINSKI MARCUS

Mehr

Office 365 & Windows Server 2012. Ein Blick über den Tellerrand. René M. Rimbach Raphael Köllner

Office 365 & Windows Server 2012. Ein Blick über den Tellerrand. René M. Rimbach Raphael Köllner Office 365 & Windows Server 2012 Ein Blick über den Tellerrand René M. Rimbach Raphael Köllner AGENDA Hybrid Mehrwerte Hybrid Voraussetzungen Hybrid Deployment Prozess Hybrid Identitätsmanagement Hybrid

Mehr

educa.ch SFIB-Fachtagung ICT und Bildung

educa.ch SFIB-Fachtagung ICT und Bildung ID educa.ch SFIB-Fachtagung ICT und Bildung Eine Person, in der Realität und im virtuellen Raum. Die Vorteile eines zentralen Usermanagements Pascal Groner, Swisscom AG 26.08.2015 Login und Rollenverwaltung

Mehr

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 root@hacking-lab.com Compass E-Lab Remote Security Lab 19. November 2008 Name des Dokumentes: DE_Hacking_Lab_V3.2.doc

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Jörg Thomas Scholz Leiter Professional Services Public Sector Deutschland, Siemens AG Führungskräfteforum,

Mehr

City-App - eine moderne Plattform für Bürgerbeteiligung und Standortförderung. Dr René Fitterer & Reiner Bildmayer egovernment Symposium 2013, Bern

City-App - eine moderne Plattform für Bürgerbeteiligung und Standortförderung. Dr René Fitterer & Reiner Bildmayer egovernment Symposium 2013, Bern City-App - eine moderne Plattform für Bürgerbeteiligung und Standortförderung Dr René Fitterer & Reiner Bildmayer egovernment Symposium 2013, Bern Vorteile der Stadt 2013 SAP AG. All rights reserved. Customer

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Die Cloud, die alles anders macht. Die 6 Grundzüge der Swisscom Cloud

Die Cloud, die alles anders macht. Die 6 Grundzüge der Swisscom Cloud Die Cloud, die alles anders macht. Die 6 Grundzüge der Swisscom Cloud Viele Clouds, viele Trends, viele Technologien Kommunikation Private Apps Prozesse Austausch Speicher Big Data Business Virtual Datacenter

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Hardy Klömpges Public Sector Deutschland Führungskräfteforum, Bonn 14.10.2010 Copyright Siemens AG 2010.

Mehr