Sicherheit von SAP in Bezug auf neue Technologien

Größe: px
Ab Seite anzeigen:

Download "Sicherheit von SAP in Bezug auf neue Technologien"

Transkript

1 Diplomarbeit in Computer Networking Sicherheit von SAP in Bezug auf neue Technologien Damian Schlager 1. Betreuer: Prof. Dr. Christoph Reich 2. Betreuer: Dipl.-Inf. Stefan Strobel (cirosec GmbH) Vorgelegt am: Vorgelegt von: Damian Schlager Johannesburgerstraße 18/1, Hork

2

3 Abstract Diese Diplomarbeit befasst sich mit der Sicherheit von Webapplikationen auf Basis von SAP. Diese wurden trotz zunehmender Verbreitung bisher nie unter den bekannten Sicherheitsgesichtspunkten von Webapplikationen betrachtet. Ziel der Diplomarbeit ist es daher, Webapplikationen von SAP-Systemen auf ihre Sicherheit hin zu überprüfen und diese, wo möglich, in Bezug zu setzen mit den bekannten Problemen klassischer Webanwendungen. Hierzu wurden sowohl eine klassische Webapplikation als auch Webapplikationskomponenten von SAP-Systemen mittels Methoden, wie sie in der Praxis Verwendung finden, auf ihre Anfälligkeit gegenüber Angriffen und auf Absicherungsmöglichkeiten hin überprüft. Hierbei zeigte sich, dass Webapplikationen auf Basis von SAP ebenfalls für zum Teil neuartige Webapplikationsangriffe anfällig sind, sich aber auch mittels bekannter Methoden absichern lassen. Die Ergebnisse dieser Diplomarbeit stellen die Basis für zukünftige Überprüfungen und Absicherungen von Sap-Systemen dar. This diploma thesis addresses the security of web applications based on SAP. These were despite their increasing distribution never evaluated according to the known aspects of security that can be found in web applications. Hence, the purpose of this diploma thesis was to evaluate the security of web applications of SAP systems and to relate them to the known problems of classic web applications where possible. Therefore a classic web application and components of web applications of SAP systems were tested for their sensitivity to attacks as well as for possibilities to secure them, using methods that are found in practice. It appeared that web applications based on SAP are also vulnerable to web application attacks that were partially novel, but that they can be secured using known methods as well. The result of this diploma thesis is the base for future audits and measures to secure SAP systems. Damian Schlager Seite I

4 Damian Schlager Seite II

5 Inhalt 1 Einleitung Problemstellung Zielsetzung Aufbau dieser Arbeit Rahmenbedingungen Beschreibung des technischen Umfeldes Klassische Webapplikation ERP Sicherheitsaspekte im Webumfeld Sicherheit allgemein Menschliche Aspekte Technische Aspekte Übergreifende Aspekte Betrachtungsweisen der Sicherheit Einordnung dieser Diplomarbeit Gefahren und Angriffe im Webumfeld Inhalte und Ziele des Kapitels Port 80 Problem Fehlerquellen in Webapplikationen Beschreibung der Webapplikationsangriffe Zusammenfassung Vergleich klassischer Webapplikationen mit SAP aus Angreifersicht Webapplikationsscanner Angriffe auf Webapplikationen Typische Angriffe Angriffe auf SAP Abgrenzung der Methodik zur Sicherheitsüberprüfung Typische Angriffe Manuelle Überprüfung und weitere Ansatzpunkte für Angriffe Heterogene Systeme Vergleich der Ergebnisse Zusammenfassung Vergleich klassischer Webapplikationen mit SAP aus Verteidigersicht Sicherheitsarchitekturen Web Application Firewalls Absicherungsmöglichkeiten klassischer Webapplikationen Absicherung des ERPs anhand von SAP Aufwand und erzielbare Ergebnisse bei der Absicherung Zusammenfassung Zusammenfassung der Ergebnisse und Ausblick Zusammenfassung der Ergebnisse Ausblick Literaturverzeichnis Glossar Anhänge Anhang A: Beschreibung der Komponenten des SAP NetWeavers Anhang B: Konfigurationsempfehlungen und Programmierrichtlinien Anhang C: Sicherheit on RFC Damian Schlager Seite III

6 Abbildungsverzeichnis Abbildung 1: Organisatorischer Aufbau des SAP NetWeavers... 7 Abbildung 2: Technischer Aufbau des SAP Netweavers... 8 Abbildung 3: Port 80 Problem...20 Abbildung 4: Verteilung der Angriffshäufigkeit...27 Abbildung 5: Scan klassischer Webapplikation...31 Abbildung 6: Robots.txt...32 Abbildung 7: Cross-Site-Scripting bei cirobank...33 Abbildung 8: Local-file-inclusion...35 Abbildung 9: manuelles Cross-Site Scripting-cirobank...36 Abbildung 10: Manuelle Local-File-Inclusion...37 Abbildung 11: SQL-Injection...39 Abbildung 12: WebInspect Plugin...43 Abbildung 13: 200 OK - not found...44 Abbildung 14: WebInspect: Defaultpolicy bei SAP...45 Abbildung 15: Possible SQL Injection bei SAP...46 Abbildung 16: False-Positives bei SAP...48 Abbildung 17: Beispiel false-positive...48 Abbildung 18: Interne Pfade...49 Abbildung 19: Neuer HTTP Filter...51 Abbildung 20: Cross-Site-Scripting bei SAP...51 Abbildung 21: Source Code Disclosure...55 Abbildung 22:Aufbau einer heterogenen Umgebung...56 Abbildung 23: Directory-Listing mit Versionsangabe...57 Abbildung 24: Cross-Site-Scripting in Parameter...58 Abbildung 25: Topologiebeispiel Webapplikation BSI...64 Abbildung 26: Topologiebeispiel Webapplikation...64 Abbildung 27: Empfohlene Topologie SAP...65 Abbildung 28: Arbeitsweise WAF...69 Abbildung 29: Anzupassende Regel...72 Abbildung 30: Gelockter Angriff bei Citrix...72 Abbildung 31: Dynamisches Regelwerk...73 Abbildung 32: Statisches Regelwerk...74 Abbildung 33: Geblockter Angriff bei NetContinuum...74 Abbildung 34: Geblocktes Parameter Tempering...75 Abbildung 35: Einfache Diensteaktivierung im SAP GUI...77 Abbildung 36: SAP Portal-URL...80 Abbildung 37: Gelerntes Regelwerk für das SAP Portal...81 Abbildung 38: Verallgemeinertes Regelwerk für das SAP Portal...81 Abbildung 39: Gleichartige Fehlermeldungen im Logfile...82 Abbildung 40: Diensteabhängigkeit bei SAP...83 Tabellenverzeichnis: Tabelle 1: Anzahl der SAP URLs...40 Tabelle 2: SAP Standardaccounts...53 Damian Schlager Seite IV

7 1 Einleitung 1.1 Problemstellung Neue Technologien, mit dem Ziel Applikationen über Web verfügbar zu machen, halten überall Einzug. So hat auch SAP neue Produkte auf den Markt gebracht, die den Zugang zu SAP einfacher und flexibler gestalten sollen. Erfahrungen aus anderen Bereichen zeigen aber, dass eine solche Umstellung oder Erweiterung häufig mit Sicherheitsproblemen einhergeht. Da die Verfügbarkeit und Sicherheit dieser Systeme jedoch unverzichtbar ist, gewinnt eine Sicherheitsuntersuchung besondere Bedeutung. Während die Möglichkeiten zur Absicherung von klassischen Webapplikationen, die beispielsweise mittels Apache und PHP realisiert sind, relativ gut bekannt sind, ist die Sicherheitsbetrachtung neuer Webtechnologien, wie beispielsweise die von SAP, noch weitgehendes Neuland. Der steigenden Nachfrage nach Sicherheitsüberprüfungen und der Absicherungen von klassischen Webapplikationen kann heute durch Fachkenntnis und entsprechende Produkte begegnet werden. Für die Webbasierten Komponenten von SAP fehlen im Moment jedoch noch die dazu erforderliche Fachkenntnis, sowie speziell angepasste Sicherheitsprodukte. 1.2 Zielsetzung Ziel der Diplomarbeit ist es, die neuen, sicherheitskritischen Webapplikationen von SAP-Systemen auf ihre Sicherheit hin zu überprüfen und diese, wo möglich, mit den bekannten Problemen klassischer Webanwendungen in Bezug zu setzen. Es sollen vor allem die für die praktische Arbeit bei einer Auditierung oder Absicherung von Webapplikationen relevanten Gesichtspunkte herausgearbeitet werden. Diese sollen anhand praktischer Beispiele zunächst auf Webapplikationen auf Basis von SAP übertragen werden, um eine Aussage über die Anfälligkeit bzw. Resistenz von Webapplikationen von SAP gegenüber bekannten Webapplikationen treffen zu können. Des Weiteren ist zu untersuchen, ob Webapplikationen auf Basis von SAP neue Verwundbarkeiten aufweisen, die in eine Überprüfung mit einfließen müssen. Analog hierzu ist die Eignung bekannter Absicherungsmöglichkeiten für Webapplikationen auf Basis von SAP zu Damian Schlager Seite 1

8 untersuchen. Die Ergebnisse der Sicherheitsüberprüfung sowie die entsprechenden Absicherungsmöglichkeiten klassischer Webapplikationen werden mit den von SAP-Webapplikation verglichen und anschließend in einen Gesamtzusammenhang gestellt. Die Erkenntnisse dieser Diplomarbeit sollen dazu verwendet werden, zukünftig qualifizierte Sicherheitsüberprüfungen bzw. Absicherungen von Webapplikationen auf Basis von SAP durchführen zu können und damit zusammenhängend Aussagen über die allgemeine Sicherheit von Webapplikationen auf Basis von SAP treffen zu können. 1.3 Aufbau dieser Arbeit Die vorliegende Diplomarbeit ist in drei große Bereiche unterteilt. Der erste Teil beschäftigt sich mit den Rahmenbedingungen dieser Diplomarbeit. Dies besteht sowohl aus technischen Grundlagen über Webapplikationen und SAP-Systeme, als auch einer Beschreibung der Sicherheitsprobleme bei Webapplikationen, die für Angriffe verwendet oder vor deren Verwendung geschützt werden muss. Außerdem fügt dieser Teil der Arbeit die folgenden Kapitel in einen größeren Zusammenhang ein, so dass die Bewertung der Ergebnisse und Aussagen der folgenden Kapitel besser in eine Gesamtbetrachtung der Sicherheit eingeordnet werden kann. Der zweite Teil dieser Arbeit beschäftigt sich mit der Sicht eines Angreifers einer Webapplikation, wie es für die Durchführung von Sicherheitsüberprüfungen relevant ist. Hier wird sowohl eine klassische Webapplikation als Referenz als auch Webapplikationen von SAP-Systemen überprüft. Der Fokus liegt hierbei sowohl auf Anwendung bekannter Webapplikationsangriffe als auch einer Überprüfung neuer Angriffswege auf SAP, die von klassischen Webapplikationen nicht bekannt sind. Im dritten Teil werden die Absicherungsmöglichkeiten von Webapplikationen auf Basis von SAP evaluiert. Auch hier wird ein Vergleich von klassischer Webapplikation und Webapplikation auf Basis von SAP gezogen und sowohl das mögliche Sicherheitsniveau als auch der dazu notwendige Aufwand bewertet. Abgeschlossen wird diese Diplomarbeit mit einem Fazit über die gewonnenen Erkenntnisse und einem Ausblick über die erwartete, zukünftige Entwicklung der in dieser Diplomarbeit behandelten Themen. Damian Schlager Seite 2

9 2 Rahmenbedingungen Dieses Kapitel beschreibt die Rahmenbedingungen für die Sicherheitsüberprüfung, die für diese Diplomarbeit durchgeführt wurde. Es wird zunächst das technische Umfeld beschrieben. Hierzu wird sowohl die als Beispiel herangezogene klassische Webapplikation und deren dahinterliegende Technik beschrieben, als auch das SAP-System, das in dieser Diplomarbeit als Beispiel für ERP Systeme dient. Des Weiteren werden die für diese Diplomarbeit relevanten Sicherheitsaspekte in eine Gesamtbetrachtung des Themas Sicherheit von IT-Systemen und deren Aspekten eingeordnet. Abschließend werden die Ursachen der in dieser Diplomarbeit näher betrachteten Angriffe auf Webapplikationen aufgezeigt, sowie die Grundlagen der in dieser Diplomarbeit thematisierten Webapplikationsangiffe beschrieben. 2.1 Beschreibung des technischen Umfeldes Klassische Webapplikation Webapplikationen und ihr Einsatz Webapplikationen haben ihren Ursprung in Client-Server-Strukturen, bei den das Programm auf einem Server läuft, der Benutzer dieses aber über einen anderen Computer entfernt bedienen kann. Ein Beispiel hierfür ist die SAP-GUI, welche einem Benutzer den Zugriff auf SAP-Systeme ermöglicht. Die eigentlichen SAP-Inhalte werden jedoch auf zentralen, leistungsfähigen Servern generiert und bereitgestellt. Bei Webapplikationen gibt es nicht mehr einen speziellen Client, sondern hier werden die Inhalte vom Server so aufbereitet, dass sie mit gängigen Webbrowsern dargestellt werden können. Dies bringt verschiedene Vorteile mit sich, Beispiel hierfür ist, dass bei einer Änderung des Programms nicht mehr auch die Clients neu ausgerollt werden müssen, was vor allem bei größeren Unternehmen schwierig ist und sich daher mit Hilfe der Webapplikationen Kostenvorteile ergeben. Eine Webapplikation ist außerdem universeller einsetzbar, sowohl aus Benutzersicht, da er nicht mehr an das spezielle Client-Programm gebunden ist und hier mit dem üblicherweise bereits vorhandenen Webbrowser arbeiten kann, als auch beispielsweise aus Netzwerk- und Betriebssystemsicht. Damian Schlager Seite 3

10 Die Bedienung von Webapplikationen erfolgt über Hyperlinks. Bekannte Programmelemente wie Buttons, Auswahllisten etc. können mittels HTML- Elementen abgebildet werden. Daten, die vom Client zum Server gesendet werden, können als HTTP-POST- bzw. HTTP-GET-Parameter sowie mittels HTTP Headern und Cookies übertragen werden. Nachdem alle Parameter auf diese Weise beim Server angekommen sind, werden diese an das Server-Programm weitergeleitet und dort verarbeitet. Das Ergebnis dieser Verarbeitung wird dann als Webseite dargestellt und der beschriebene Ablauf kann wieder von vorne beginnen. cirobank Als Referenz für eine klassische Webapplikation wird in dieser Diplomarbeit die cirobank verwendet. Es handelt sich hierbei nicht um eine im Internet verfügbare Anwendung, was sich aus Gründen der Vertraulichkeit verbietet, sondern um eine für Demonstrationszwecke bei der cirosec GmbH erstellten Webapplikation. Auch wenn die Webapplikation speziell zu Demonstrationszwecken erstellt wurde, spiegelt sie dennoch wieder, welche typischen Probleme auch bei Webapplikationen möglich sind, die sich im Internet oder in Intranets von Unternehmen finden. Tatsächlich werden bei Sicherheitsüberprüfungen häufig solche Lücken vorgefunden und können auch mit einem vergleichbaren Aufwand ausgenutzt werden. Die Webapplikation, die in dieser Diplomarbeit als Referenzapplikation verwendet wird, besteht aus folgenden Komponenten: Client: - Browser; beliebiger Rechner Server: - Ubuntu 6.10 mit Apache , PHP Windows Server 2003 mit MS SQL Server ERP ERP-Systeme und ihr Einsatz Unter ERP-Systemen versteht man eine komplexe Anwendungs-Software, die zur Unterstützung der Ressourcenplanung des, im Idealfall, gesamten Unternehmens dient 1. ERP-Systeme haben ihren Ursprung in Industriebetrieben. Dieses Konzept wurde dann auch in andere Bereiche übernommen. So haben sich die 1 Damian Schlager Seite 4

11 ursprünglichen ERP-Systeme weiter entwickelt bis sie praktisch überall eingesetzt wurden 2. Die Weiterentwicklung der ERP-Systeme schreitet auch weiter voran und ERP-Systeme beinhalten immer mehr Funktionen und Fähigkeiten zum einen, und sollen zum anderen besser erreichbar und verfügbar sein, wofür man zunehmend auf webbasierte Technologien setzt. Die Idee der weitergehenden Vernetzung und Vereinheitlichung der Schnittstellen greift das Konzept von ERP II auf. Hier beschränkt sich das ERP-System nicht auf die Unternehmensgrenzen, sondern versucht auch Kunden, Lieferanten, Partnerunternehmen etc. mit zu integrieren, was zu Herausforderungen bei der Interoperabilität, Erreichbarkeit, Verfügbarkeit und Sicherheit führt. Auch im Rahmen dieser Entwicklung wird zunehmend auf webbasierte Technologien gesetzt, um die Integration verschiedenster Systeme und Bereiche zu erreichen. Allen ERP-Systemen gemein ist, dass sie versuchen, einzelne Daten von verschiedensten Stellen in einem System zusammenzuführen. Des Weiteren ist ein zentrales Ziel von ERP-Systemen die Unterstützung von Geschäftsprozessen und diese so effizient wie möglich zu gestalten. Insgesamt sorgt ein ERP-System also für eine Zusammenführung und Effizienzsteigerungen von Systemen, die zuvor inkompatibel zueinander waren und sogenannte Insellösungen darstellten, und die nun als integrierter Teil von Geschäftsprozessen und Daten arbeiten. Der Aufbau eines ERP-Systems, das diese Ziele erfüllen soll, ist eine komplizierte Aufgabe, deren Durchführung zwischen drei Monaten und einem Jahr in Anspruch nehmen kann. Für diese Diplomarbeit wurde ein ERP-System beispielhaft herangezogen, um eine entsprechende Evaluierung durchzuführen. Die Marktanteile von Anbietern in Deutschland setzen sich wie folgt zusammen 3 : SAP: ~55% Info: ~5,5% Microsoft: ~4% Sage: ~3% Viele kleinere Anbieter Damian Schlager Seite 5

12 Wie hier zu sehen ist, ist SAP mit über 50% Marktanteil mit Abstand größter Hersteller von ERP-Systemen, als auch mit 10,25 Milliarden Euro Umsatz im Jahr 2007 und Kunden nahezu marktbeherrschend. SAP hat ebenfalls den Anspruch, alle Anforderungen an ein ERP bzw. ERP II System zu erfüllen sowie das sicherste System anzubieten. Neben vielen neuen Funktionen und Fähigkeiten, die einen Teil der gegenwärtigen Entwicklung von ERP-Systemen kennzeichnen arbeitet SAP auch an Merkmalen von ERP II wie z.b. ein Supplier Relationship Management, aber auch an Schnittstellen zu vielen anderen Produkten, z.b. Integration in Microsoft-Office-Komponenten. Insgesamt stellt SAP eine branchenübergreifende, allumfassende Lösung dar und ist daher äußerst komplex zu implementieren. Für den Aufbau eines SAP-Systems gibt es bereits Vorgangsmodelle, diese zielen aber darauf ab, die Komplexität des Gesamtsystems SAP zu einer konkreten Installation zu meistern. Daher liegt das Hauptaugenmerk auf Geschäftsprozessmodellierung und Datenmodellierung, aber nicht auf Sicherheitsgefährdungen oder deren Vermeidung durch besondere Architekturen oder andere Schutzmassnahmen. Besonders geeignet für diese Diplomarbeit ist jedoch SAP, weil SAP seit wenigen Jahren massiv auf die Nutzung von neuen Technologien setzt, vor allem auf die Verfügbarkeit im Web und Anbindung von Kunden, Lieferanten, Partner, etc. Hierfür ist ein neues Konzept entstanden, das auf diese Anforderungen zugeschnitten ist. Organisatorischer Aufbau des SAP NetWeavers Die NetWeaver-Plattform soll die Basis für die Entwicklung neuer Lösungen sein, die die Idee der service-orientierten Architektur (SOA) bei SAP umsetzt. Als offizieller Nachfolger von SAP R/3 dient es neben der Basis für neue Applikationen auch als Plattform für die Integration bestehender Anwendungen und soll einen Rahmen für sicheren und stabilen Code inklusive Codeverwaltung stellen. In Abbildung 1: Organisatorischer Aufbau des SAP NetWeavers sind die verschiedenen Bereiche des SAP NetWeavers schematisch dargestellt. Auf dem Bild ist zu sehen, dass SAP NetWeaver einen Rahmen um die von SAP getrennt behandelten Bereiche People Integration, Information Integration und Process Integration mit ihren jeweiligen Teilbereichen bildet und hierbei auch den SAP Application Server als einheitliche Plattform stellt. Umfasst wird dies durch ein übergreifendes Life Cycle Management Damian Schlager Seite 6

13 und Composite Application Framework für die Entwicklung bereichsübergreifender Applikationen. Abbildung 1: Organisatorischer Aufbau des SAP NetWeavers Eine kurze Zusammenfassung dieser Bereiche und deren Rolle in der SAP Netweaver Gesamtkonzeption ist in Anhang A: Beschreibung der Komponenten des SAP NetWeavers zu finden. Technischer Aufbau des SAP NetWeavers Betrachtet man den technischen Aufbau des SAP NetWeaver ergibt sich wiederum ein anderes Bild, wie in Abbildung 2: Technischer Aufbau des SAP Netweavers gezeigt. Kern der Architektur ist der SAP Web Application Server, der aus vielen internen und externen Komponenten besteht, die wiederum über verschiedene Mechanismen miteinander kommunizieren m Damian Schlager Seite 7

14 Abbildung 2: Technischer Aufbau des SAP Netweavers Im Folgenden sind einige der zentralen Komponenten dieses Bildes näher beschrieben. Insbesondere den Schnittstellen, die von außen erreichbar sind, gilt ein besonderes Interesse, da hier die primären Angriffspunkte zur Sicherheitsüberprüfung zu finden sind. ICM: ICM steht für Internet Communication Manager und ist die zentrale Instanz für Verbindungen ins Internet. Dadurch, dass der Internet Communication Manager zunächst alle Zugriffe aus dem Internet entgegen nimmt, liefen auch über ihn der Grossteil der Tests, auch wenn hierbei natürlich andere Ziele hinter dem Internet Communication Manager das eigentlich Ziel waren, wie z.b. die Applikationslogik oder die Datenbank. Dispatcher: Der Dispatcher nimmt die Anfragen von den SAP GUIs entgegen, die bisher der Hauptkommunikationsweg von den Clients zum SAP Applikationsserver war. Eine weitere Aufgabe des Dispatchers ist es, die Anfragen auf die Workprozesse zu verteilen. Gateway: Das SAP Gateway ist die Kommunikationsschnittstelle für das SAP eigene RFC-Protokoll. Dies wird zur Kommunikation zwischen SAP Komponenten benutzt, oder zwischen SAP Komponenten und Komponenten von Drittherstellern. Da dies ebenfalls vor allem in bisherigen SAP Versionen ein zentraler Bestandteil war, und die Kommunikation über RFC sehr tief in die Kommunikation mit SAP-Systemen eingeht, war die dieser Kommunikationsweg eine zusätzlich zu dieser Diplomarbeit durchgeführte Überprüfung, deren Ergebnisse in Anhang C: Sicherheit on RFC kurz beschrieben werden. Damian Schlager Seite 8

15 Message-Server: Der Message-Server ist ein weiteres System zur Kommunikation zwischen SAP-Systemen und dient in Erster Linie zum Lastausgleich. Wie hier ebenfalls gut zu erkennen ist, sind die Stacks für ABAP und JAVA vollständig getrennt. Beide verfügen über eigene Scheduling-Systeme und Arbeitsprozesse. Es ist möglich, auf einem SAP Web Applikation Server nur einen der beiden Stacks zu installieren, oder auch beide parallel. Sind beide Stacks installiert, gibt es unter Umständen Möglichkeiten, eine Komponente auf verschiedenen Wegen zu Veröffentlichen. Je nach Verwendung des JAVA- oder ABAP-Stacks und deren Kommunikationswegen ergeben sich völlig andere Angriffsvektoren, was eine generische Überprüfung erschwert. Vorhandene SAP-Systeme Nach erfolgter Installation standen für die weitere Arbeit mehrere Systeme bereit. Für diese Diplomarbeit wurde eine Installation unter Linux für SAP NetWaver 700 ABAP Stack sowie Windows Server 2003 für SAP NetWeaver 700 JAVA Stack durchgeführt. Eine bereits bestehende SAP Installation, SAP NetWeaver 640 ABAP, wurde ebenfalls für zusätzliche Prüfungen genutzt. Ziel der Benutzung der Versionen 640 und 700 war es, grundsätzliche Vergleiche zwischen den Versionsständen ziehen zu können und mögliche Veränderungen und Entwicklungen aufzuzeigen. Zusammenfassend wurde die Diplomarbeit auf Basis der folgenden drei Systeme erstellt: NetWeaver 2004s Testdrive (Kernelversion 700, Systemname n4s) NetWeaver 2004s Trial (Kernelversion 700, Systemname sapj2e) Das zusätzliche SAP System mit Versionsstand 640 bestand aus: NetWeaver 2004 Testdrive (Kernelversion 640, Systemname nw4) 2.2 Sicherheitsaspekte im Webumfeld Sicherheit allgemein Programme, Systeme, Netzwerke und Architekturen auf ihre Sicherheit hin zu überprüfen sind im Computerbereich zu einer weitgehend normalen Tätigkeit geworden. Doch sind für eine Sicherheitsbeurteilung auch immer die Fragen zu beantworten, was Sicherheit eigentlich bedeutet, was das Damian Schlager Seite 9

16 Ziel bei einer Absicherung ist, welches ein angestrebter Sollzustand ist und auch welche Art von Gefahren damit reagiert werden kann. Eine allgemein akzeptierte Definition 5 der IT-Sicherheit, grenzt Sicherheit als einen Zustand ein, in dem keine Einbrüche in das System auftreten keine Unterbrechungen auftreten und kein Verlust von Daten auftreten Vertraulichkeit gewährleistet ist Authentizität gewährleistet ist IT-Systeme, die dies erfüllen sollen, müssen daher folgende Eigenschaften aufweisen: Verlässlichkeit von Systemen und Netzwerken Verfügbarkeit von Systemen und Daten Vertraulichkeit von Daten Integrität von Prozessen, Aktivitäten und Prozessen Zuordenbarkeit von Aktionen zu Personen Nachvollziehbarkeit von Aktionen Authentizität von Daten Es gibt inzwischen einige Standards, die sich auch mit IT-Sicherheit beschäftigen, wie z.b.cobit, COSO oder das IT-Grundschutzhandbuch des BSI. Diese sollen es erleichtern, verschiedene Sicherheitsniveaus in der IT- Sicherheit im Allgemeinen zu erreichen. Neben diesen Standards werden vor allem Anforderungen für Compliance immer bedeutender, so dass sich hauptsächlich große Unternehmen um verschiedene Aspekte der Sicherheit kümmern müssen und diese zu einem ganzheitlichen Konzept zu vereinen, um die Anforderungen von z.b. SOX, Basel II oder PCI zu erfüllen. So wurden und werden auch für SAP-Installationen Sicherheitsüberprüfungen durchgeführt, doch unterscheiden sich diese fundamental von der Motivation, die dieser Diplomarbeit zugrunde liegt. Bisherige Sicherheitsüberprüfungen beruhen meist auf Compliance- Anforderungen, für deren Erfüllung gänzlich andere Faktoren relevant sind als bei der Prüfung im Rahmen dieser Diplomarbeit, die sich auf eine praktische Herangehensweise aus den Erfahrungen mit klassischen Webapplikationen stützt. 5 Grundschutzhandbuch Bundesamt für Sicherheit in der Informationstechnik, Baustein 04 Damian Schlager Seite 10

17 Im Folgenden sollen verschiedene Aspekte aufgegriffen werden, die für die Sicherheit von Webapplikationen und Webapplikationen auf Basis von SAP besonders relevant sind und größtenteils durch Erfahrungen und Gespräche des Verfassers mit SAP-Beratern, Administratoren oder Anwendern erstellt wurden. Diese Punkte werden dann in diesem Zusammenhang konkreter beschrieben und im Bezug auf Webapplikationen und Webapplikationen auf Basis von SAP bewertet Menschliche Aspekte Installation und Konfiguration durch Berater Gerade bei großen Unternehmen die auch zur Zielgruppe von SAP gehören sind IT-Abteilungen und Sicherheitsverantwortliche etabliert. Es besteht daher grundsätzlich die Möglichkeit, den Aufbau von neuen Webapplikationen durch gute Kenntnisse der technischen Themen und interner Organisationsstruktur durchzuführen, auch wenn dies z.b. aus Zeitmangel häufig nicht geschieht. Die Installation und Konfiguration von SAP-Systemen ist sehr komplex und zeitaufwändig. Daher wird üblicherweise auf externe, spezialisierte Dienstleister zurückgegriffen, die die Installation und Konfiguration vornehmen. Auch wenn dies nicht unbedingt negative Einflüsse auf die Funktionalität des Systems hat, kann die von externen Kräften durchgeführte Konfiguration unter Umständen doch die geforderten Eigenschaften nicht erfüllen, da z.b. Berechtigungen falsch gesetzt werden oder zu restriktive Berechtigungen wieder großzügig zurückgenommen werden. Damit direkt zusammenhängend ist die Tatsache, dass auch bei so lang angesetzten Projekten wie einer SAP-Installation die Zeit für die notwendigen Arbeiten knapp bemessen ist und der Fokus der Arbeit selbstverständlich bei der Lauffähigkeit des Systems liegt. Außerdem kann beobachtet werden, dass eine Konfiguration, bei der auch auf ein hohes Schutzniveau geachtet wird nicht notwendigerweise, aber doch häufig eine Konfiguration, die sich auf die Lauffähigkeit eines Systems konzentriert, verkompliziert. Darüber hinaus sind SAP-Installationen individuell und es gibt keine Installation bzw. darauf folgende Konfiguration, die umfassend für alle Systeme gleich ist. Damit geht einher, dass so wie es keine umfassende, allgemeingültige Konfiguration gibt auch keine allgemeingültige Konfiguration von Sicherheitseinstellungen existiert. Es gibt zwar Einstellungen, die auf nahezu jedem System getroffen werden sollten (Vgl. Kapitel 4.4), dies kann jedoch nicht die feingranularen Damian Schlager Seite 11

18 Einstellungen wie eine spezifische Rechtevergabe ersetzen, die für jede Umgebung individuell getroffen werden müssen oder spezielle Einstellungen, die die Sicherheit von Webapplikationen verändern. Ebenfalls als Folge der oben genannten Punkten, so haben Gespräche mit SAP Beratern gezeigt, ist das Sicherheitsbewusstsein bei SAP Beratern eher gering, oder bekannte Möglichkeiten ein System sicherer zu gestalten werden wegen Zeitmangels unterlassen. Administratoren Administratoren sind ein zentrales Element bei der Absicherung auch von Webapplikationen. Die Umsetzung ist zwar oftmals mangelhaft, jedoch sind Konzepte und Strategien um auch Administratoren in ein Sicherheitskonzept zu integrieren bekannt 6. Allerdings werden SAP-Systeme und andere Netzwerkkomponenten oder Systeme oftmals getrennt betrachtet. So wird von der SAP Welt gesprochen, wenn es um Fragen von SAP Systemen geht und daher zuständige Netzwerkadministratoren oder für die Sicherheit zuständigen Mitarbeiter auch keine SAP Experten sind. Auch hier liegt der Fokus auf der Lauffähigkeit der Systeme. Die Sicherheitsthematik ist zwar bekannt, aber üblicherweise noch ein offener Punkt. Eine umfassende oder ins Detail gehende Evaluierung von Sicherheitsaspekten kann daher nur selten durchgeführt werden. Dies wird duch die zunehmende Öffnung von SAP nach außen, wie z.b. zu Partnern oder direkt ins Internet, auch ein zukünftiger Markt für Beratungsunternehmen darstellen. Anwender Anwender von Applikationen, klassischen Webapplikationen, als auch von SAP-Software werden zunehmend als Sicherheitsfaktor erkannt 7. Das bekannteste Beispiel hierfür ist die Wahl von Passwörtern. Daher sollte die Applikation bzw. das ERP-System unter Anderem möglichst gute Sicherheitstechnologien und Methoden bereitstellen die den Anwender in ein Sicherheitskonzept integrieren, wie z.b. eine Password-Policy, bei der die Komplexität der Passwörter und deren Gültigkeitsdauer festgelegt wird 8. 6 Bundesamt für Sicherheit in der Informationstechnik: Leitfaden IT Sicherheit IT-Grundschutz kompakt, Damian Schlager Seite 12

19 2.2.3 Technische Aspekte Multi Tier Architektur Viele klassische Webapplikationen sind wie auch SAP NetWeaver selbst als 3 Tier Architektur entworfen. Ein Frontend auf dem Client, die Middle Tier auf dem Applikationsserver und ein Backend mit allen Daten. Die Konstruktion als 3 Tier Architektur soll einige Vorteile bringen um typischen Problemen wie sie bei großen Systemen wie SAP auftreten und sorgt für eine bessere Abstraktion, Skalierbarkeit und Zuverlässigkeit des Gesamtsystems. Bei dieser 3 Tier Architektur ist der Client in erster Linie für die Darstellung zuständig und beinhaltet wenig oder gar keine Anteile and der Applikationslogik. Gerade bei SAP wird hier zunehmend Wert auf die Unabhängigkeit des Endgerätes gelegt bzw. über andere SAP Komponenten wie XI für diese Unabhängigkeit gesorgt. Da sich diese Diplomarbeit mit Webapplikationen befasst, ist in diesem Fall der Client ein gängiger Browser. Es wurde je nach Applikation auf Internet Explorer 7 oder aktuellen Firefox zurückgegriffen. Die Mittel- bzw. Applikationsschicht beinhaltet das, was man vereinfacht als serverseitige Dienste ansieht. Hier befindet sich die Business Logic, systemorientierte Dienste und weitere Programme, die unter Umständen zur Ausführung der Business Logic notwendig sind. Außerdem sind hier die Schnittstellen zu möglichen weiteren Programmen und Komponenten zu finden. Beim NetWeaver wird dieses Modell noch dahingehend erweitert, dass sich die Applikationslogik nicht auf einem einzelnen SAP System befinden muss, sondern eine eigene Form von WebServices verwendet werden kann. Die Datenbankschicht ist bei SAP wieder ähnlich den anderen Multi Tier Architekturen. SAP unterstützt neben der eigenen Datenbank MaxDB, die bei dieser Diplomarbeit verwendet wurde, auch andere Datenbanken als Backend wie z.b. Oracle. Soll die Sicherheit von SAP betrachtet werden, muss dies daher über alle Ebenen erfolgen, um alle beteiligten Komponenten abzudecken. Gleichzeitig stellt die Applikationsschicht den größten Anteil, da sich hier unter anderem die Logik der einzelnen Programmen, sämtliche Administrationswerkzeuge, die Schnittstellen nach außen, Benutzerverwaltung, Sitzungsverwaltung und diverse andere Komponenten befinden. Damian Schlager Seite 13

20 Authorisierungsmodell Die Rechtevergabe auf Webapplikationen oder Teilen der Webapplikationen unterscheidet sich grundlegend von SAP-Systemen. Bei klassischen Webapplikationen liegt der Fokus meist auf Trennung einzelner Benutzer und einer eventuellen Abgrenzung zu einer Administrationsrolle. Die Ausgestaltung von Autorisierungsmodellen ist bei SAP besonders komplex, da sie sich auf das Gesamtsystem SAP beziehen. Die korrekte Rechtevergabe wird auch in dieser Diplomarbeit des öfteren ein Thema sein, weswegen hier näher auf das Authorisierungsmodell bei SAP eingegangen wird. Schon aufgrund der Größe und Komplexität von SAP Systemen arbeitet man auch hier mit einem hohen Abstraktionsniveau, das über die üblichen Rollenmodelle hinausgeht. Hier muss auch zwischen ABAP-Stack und Java- Stack unterschieden werden, da sich das Authorisierungsmodell zwischen beiden Stacks unterscheidet. Darüber hinaus verwenden beide Stacks unterschiedliche Benutzer, die nicht frei zwischen beiden Stacks übernommen werden können. Es ist zwar möglich, mit dem Java-Stack auf ABAP-Benutzer zuzugreifen und es wird hier auch ein Abgleich zwischen den Benutzerdatenbanken durchgeführt, doch sind Java-Benutzer dem ABAP-Stack unbekannt. Der ABAP-Stack baut auf einer rollenbasierten Benutzerverwaltung auf. Rollen und Benutzer sind hier vom System implementiert, wie es von anderen rollenbasierten Authorisierungssystemen bekannt ist. Hier bedeutet das z.b. dass nur die GUI-Inhalte angezeigt werden, die der Rolle oder dem Benutzer entsprechen. Des Weiteren müssen Berechtigungen vergeben werden, wer z.b. welche Buchung im System vornehmen darf. Um dies zu erleichtern, können Berechtigungsprofile für bestimmte Applikationen festgelegt werden, bei großen Applikationen gibt es darüber hinaus die Möglichkeit Sammelprofile zu verwenden, die mehrere Profile beinhalten. Rollen enthalten schon viele Profile für typische Rollen von Benutzern in einem Unternehmen, wie beispielsweise Administratoren. Beim Java-Stack, bzw. Portalapplikationen des Java-Stacks, basiert die Berechtigungsvergabe auf sogenannten Security-Zones. Portalapplikationen und Dienste müssen solchen Security Zones zugeordnet werden. Die Zuordnung erfolgt hierbei beim Deployen einer Applikation, also bereits, wenn die Applikation in das SAP-Portal hineingeladen wird. Die Berechtigungen der Benutzer, Gruppen und Rollen werden dann auf die Damian Schlager Seite 14

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

TECHNISCHE PRODUKTINFORMATION CARUSO

TECHNISCHE PRODUKTINFORMATION CARUSO 1111 TECHNISCHE PRODUKTINFORMATION CARUSO TECHNISCHE PRODUKTINFORMATION Seite 0/7 Inhalt 1 Systemdefinition............2 2 Technische Details für den Betrieb von CARUSO......2 2.1 Webserver... 2 2.2 Java

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Ein Auszug aus... Studie. Content Management Systeme im Vergleich. Empfehlungen und Entscheidungshilfen für Unternehmensbereiche

Ein Auszug aus... Studie. Content Management Systeme im Vergleich. Empfehlungen und Entscheidungshilfen für Unternehmensbereiche Ein Auszug aus... Studie Content Management Systeme im Vergleich Empfehlungen und Entscheidungshilfen für Unternehmensbereiche Die komplette Studie ist bei amazon.de käuflich zu erwerben. Inhaltsverzeichnis

Mehr

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010 Webapplikations-Sicherheit: Erfahrungen aus der Praxis Stefan Hölzner, Jan Kästle 26.01.2010 Agenda Schwachstellen: die Ursachen Angriffstechniken aus der Praxis root-access in 20 Schritten 2 Schwachstellen:

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN 1 1 1 1 2-3 3 4 4 4 5 5 6

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN 1 1 1 1 2-3 3 4 4 4 5 5 6 Inhaltsverzeichnis. Remote Access mit SSL VPN a. An wen richtet sich das Angebot b. Wie funktioniert es c. Unterstützte Plattform d. Wie kann man darauf zugreifen (Windows, Mac OS X, Linux) 2. Aktive WSAM

Mehr

Virenschutz für SAP E-Recruiting

Virenschutz für SAP E-Recruiting Virenschutz für SAP E-Recruiting ein White-Paper E-Recruiting der Trend im Personalmarkt Viele Unternehmen realisieren mit dem Einsatz moderner E-Recruiting Technologie signifikante Einsparungen im Bereich

Mehr

Handbuch zu AS Connect für Outlook

Handbuch zu AS Connect für Outlook Handbuch zu AS Connect für Outlook AS Connect für Outlook ist die schnelle, einfache Kommunikation zwischen Microsoft Outlook und der AS Datenbank LEISTUNG am BAU. AS Connect für Outlook Stand: 02.04.2013

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Task: Web-Anwendungen

Task: Web-Anwendungen Task: Web-Anwendungen Inhalt Einfachen Scan von Webanwendungen ausführen Fine-Tuning für Scan von Web-Anwendungen Anpassung Scanner Preferences Anpassung NVT Preferences Einleitung Copyright 2009-2014

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

[DIA] Webinterface 2.4

[DIA] Webinterface 2.4 [DIA] Webinterface 2.4 2 Inhalt Inhalt... 2 1. Einleitung... 3 2. Konzept... 4 2.1 Vorteile und Anwendungen des... 4 2.2 Integration in bestehende Systeme und Strukturen... 4 2.3 Verfügbarkeit... 5 3.

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

Call Button / HTTP - Systembeschreibung

Call Button / HTTP - Systembeschreibung Call Button / HTTP - Systembeschreibung Detlef Reil, 14.03.2004, zu Call Button, Version 040127, V1.50 Beta! Software System Für die Kommunikation zwischen den Call Buttons und der Applikation war bisher

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Open Source ERP-Systeme: eine wirtschaftliche Alternative für KMU? Diplomarbeit

Open Source ERP-Systeme: eine wirtschaftliche Alternative für KMU? Diplomarbeit Open Source ERP-Systeme: eine wirtschaftliche Alternative für KMU? Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

PENETRATIONSTESTS BEI WEB- SERVICES

PENETRATIONSTESTS BEI WEB- SERVICES BSI GRUNDSCHUTZTAG 2014 PENETRATIONSTESTS BEI WEB- SERVICES Dominik Oepen 1 GS-WEB-SERVICES ABGRENZUNG Web-Services Schnittstelle zum automatisierten Aufruf Aufruf durch Programme (auch andere Web-Services)

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

Integration von SAP Netweaver mit Identity und Access Management

Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Unternehmenslösungen für sicheres und skalierbares Identity und Access

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Die SAP Business One Cloudplattform auf SQL und HANA. Preise und Details zum Angebot Oktober 2015. www.cloudiax.de

Die SAP Business One Cloudplattform auf SQL und HANA. Preise und Details zum Angebot Oktober 2015. www.cloudiax.de Die SAP Business One Cloudplattform auf SQL und HANA Preise und Details zum Angebot Oktober 2015 www.cloudiax.de Cloudiax Preisliste Detaillierte Informationen zum Angebot finden Sie auf den nachfolgenden

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

Remote Communications

Remote Communications HELP.BCFESDEI Release 4.6C SAP AG Copyright Copyright 2001 SAP AG. Alle Rechte vorbehalten. Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher

Mehr

Workshop 2. SAP Solution Manager zur Installation von SAP-Systemen. Abschlusspräsentation. Dresden, 31.Januar 2008

Workshop 2. SAP Solution Manager zur Installation von SAP-Systemen. Abschlusspräsentation. Dresden, 31.Januar 2008 Workshop 2 SAP Solution Manager zur Installation von SAP-Systemen Abschlusspräsentation Dresden, 31.Januar 2008 Team des Workshop 2, IW04, HTW Dresden (FH) WS 02/07 HTW-Dresden 1 Agenda Allgemeiner Überblick

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS Dipl.-Ing. Swen Baumann Produktmanager, HOB GmbH & Co. KG April 2005 Historie 2004 40 Jahre HOB Es begann mit Mainframes dann kamen die PCs das

Mehr

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten

09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten Aktuelle Themen der Wirtschaftsinformatik Zusammenfassung 09.06.2003 André Maurer andre@maurer.name www.andre.maurer.name Wirtschaftsinformatik FH 3.5 Fachhochschule Solothurn, Olten 1 Serverseitige Webprogrammierung

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Homepageerstellung mit WordPress

Homepageerstellung mit WordPress Homepageerstellung mit WordPress Eine kurze Einführung in die Installation und Einrichtung von WordPress als Homepage-System. Inhalt 1.WordPress installieren... 2 1.1Download... 2 1.2lokal... 2 1.2.1 lokaler

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Von SAP R/3 zu mysap ERP und NetWeaver

Von SAP R/3 zu mysap ERP und NetWeaver Von SAP R/3 zu mysap ERP und NetWeaver Bremerhaven 06.05.2006 T4T Bremerhaven 1 Inhaltsverzeichnis 1. Motivation für SAP NetWeaver 2. SAP R/3 mysap ERP und SAP Business Suite 3. Application Platform T4T

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Integrating Architecture Apps for the Enterprise

Integrating Architecture Apps for the Enterprise Integrating Architecture Apps for the Enterprise Ein einheitliches Modulsystem für verteilte Unternehmensanwendungen Motivation und Grundkonzept Inhalt Problem Ursache Herausforderung Grundgedanke Architektur

Mehr

0. Inhaltsverzeichnis

0. Inhaltsverzeichnis 0. Inhaltsverzeichnis 0. Inhaltsverzeichnis...1 1. Kurze Einführung WebService Architektur...2 1.1 Synchrones Modell:...2 1.2 Asynchrones Modell:...2 1.3 Vorteile:...3 1.4 Voraussetzungen...3 2. Testseite

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

OEDIV SSL-VPN Portal Anbindung Externe

OEDIV SSL-VPN Portal Anbindung Externe OEDIV SSL-VPN Portal Anbindung Externe Collaboration & Communication Services Stand 10.03.2015 Seite 1 von 11 Inhaltverzeichnis 1 Allgemeine Informationen... 3 2 Voraussetzungen... 3 3 Anmeldung am Portal...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht

Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht Apparo Fast Edit Datenmanagement mit der Standalone Version Technische Übersicht 2 Apparo Fast Edit ist die das Standardprogramm für unternehmensweite Dateneingabe, mit der Sie Daten ändern, importieren

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch ARTS Server 3.5 Produktbeschreibung Uptime Services AG Inhaltsverzeichnis 1 Einleitung... 2 2

Mehr

Geschäftsbereich Mobile Services Was ist Android?

Geschäftsbereich Mobile Services Was ist Android? Geschäftsbereich Mobile Services Was ist Android? Hinter Hoben 149 53129 Bonn www.visionera.de Ansprechpartner: Arno Becker arno.becker@visionera.de +49 228 555 1111 +49 160 98965856 Einleitung Android

Mehr

HOB Remote Desktop VPN

HOB Remote Desktop VPN HOB GmbH & Co. KG Schwadermühlstr. 3 90556 Cadolzburg Tel: 09103 / 715-0 Fax: 09103 / 715-271 E-Mail: support@hob.de Internet: www.hob.de HOB Remote Desktop VPN Sicherer Zugang mobiler Anwender und Geschäftspartner

Mehr

IT-Symposium 2008 04.06.2008. HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime 6/9/2008 1

IT-Symposium 2008 04.06.2008. HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime 6/9/2008 1 HOB RD VPN HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime Joachim Gietl Vertriebsleiter Central Europe 6/9/2008 1 HOB RD VPN Eine branchenunabhängige Lösung für alle Unternehmen die Ihren Außendienst

Mehr

Sicherheit von SAP -Systemen aus Hackersicht

Sicherheit von SAP -Systemen aus Hackersicht 3 2 1 SAP_ALL! Sicherheit von SAP -Systemen aus Hackersicht Dr. Markus Schumacher Virtual Forge GmbH Ralf Kempf akquinet Enterprise Solutions GmbH Agenda SAP im Visier von Hackern (Forts.) #3 Meine Hintertür

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

DocIT. Information Guide. Autor: Martin Schagerl. Letzte Änderung am 18.10.2012. Version 1.3

DocIT. Information Guide. Autor: Martin Schagerl. Letzte Änderung am 18.10.2012. Version 1.3 Autor: Martin Schagerl Letzte Änderung am 18.10.2012 Version 1.3 Lexon e.u., Inh. Martin Schagerl, Holzing 52, A 3252 Bergland T: +43 / 676 / 7119622, E: office@lexon.at, I: http://www.lexon.at Kurzfassung

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Kapitel. Sicherheit. Seite. Kapitel. Sicherheit. Workplace & WebSphere Domino & Notes

Kapitel. Sicherheit. Seite. Kapitel. Sicherheit. Workplace & WebSphere Domino & Notes Sicherheit 99 9 Sicherheit 7. Ergänzungslieferung 02/2007 Ein ITP-Handbuch 9 Sicherheit 9 Moderne Anwendungen müssen einer Vielzahl von Anforderungen gerecht werden. Mit dem Siegeszug der IT in die Geschäftswelt

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

SaaS-Referenzarchitektur. iico-2013-berlin

SaaS-Referenzarchitektur. iico-2013-berlin SaaS-Referenzarchitektur iico-2013-berlin Referent Ertan Özdil Founder / CEO / Shareholder weclapp die Anforderungen 1.000.000 registrierte User 3.000 gleichzeitig aktive user Höchste Performance Hohe

Mehr

IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen. Bachelorarbeit

IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen. Bachelorarbeit IT-Sicherheit mobiler Applikationen zur Unterstützung von Geschäftsprozessen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft der

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe

Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe y Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe Ein InLoox Whitepaper Veröffentlicht: November 2010 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Organisation und Systeme SOA: Erstellung von Templates für WebService Consumer und Provider in Java

Organisation und Systeme SOA: Erstellung von Templates für WebService Consumer und Provider in Java SOA: Erstellung von Templates für WebService Consumer und Provider in Java Entwicklung von Java WebService Provider- und Consumer-Bibliotheken zur Standardisierung der Karmann WebService Landschaft. Konzeption

Mehr

Penetration Test Zielsetzung & Methodik

Penetration Test Zielsetzung & Methodik Zielsetzung & Methodik : Ausgangslage Hacker und Cracker haben vielfältige Möglichkeiten, über öffentliche Netze unbefugt auf die IT-Systeme eines Unternehmens zuzugreifen Sie können vertrauliche Informationen

Mehr

WebFlow. Prozesse werden Realität.

WebFlow. Prozesse werden Realität. WebFlow. Prozesse werden Realität. Während Ihr Chef in den Flieger steigt, gibt er noch schnell die wichtigsten Anträge frei. CW2 WebFlow macht es möglich. Mit Einbindungsmöglichkeiten in alle modernen

Mehr

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2 Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe Dokumentversion: 1.0.2 Inhaltsverzeichnis 1. System Überblick 4 2. Windows Firewall Konfiguration 5 2.1. Erlauben von DCOM Kommunikation

Mehr

Enterprise Social Networking: Ein Framework und ein Fachkonzept für ein Industrieunternehmen

Enterprise Social Networking: Ein Framework und ein Fachkonzept für ein Industrieunternehmen Enterprise Social Networking: Ein Framework und ein Fachkonzept für ein Industrieunternehmen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor auf Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

SEAL Systems Integrationen für SAP PLM 7 und Web UI Anwendungen

SEAL Systems Integrationen für SAP PLM 7 und Web UI Anwendungen SEAL Systems Integrationen für SAP PLM 7 und Web UI Anwendungen Mit SAP PLM 7 und anderen Web UI Anwendungen hat SAP neue Oberflächen für bestehende und neue Funktionalität geschaffen. Diese Anwendungen

Mehr

MEINE EKR ID. Download & Installation Citrix Access Gateway Plug-in

MEINE EKR ID. Download & Installation Citrix Access Gateway Plug-in MEINE EKR ID Download & Installation Citrix Access Gateway Plug-in Herausgeber: Epidemiologisches Krebsregister NRW ggmbh Robert-Koch-Str. 40 48149 Münster Der Zugang zum geschützten Portal des Epidemiologische

Mehr

Das Projekt Groupware II im BSI

Das Projekt Groupware II im BSI Das Projekt Groupware II im BSI Florian v. Samson Kerstin Prekel Bundesamt für Sicherheit in der Informationstechnik Vorstellung des Projektes auf der CeBIT im Heise Forum am 15.03.2005 F. v. Samson /

Mehr

"15 Jahre APM - Wieso haben heutige Projekte immer noch Performance Probleme?"

15 Jahre APM - Wieso haben heutige Projekte immer noch Performance Probleme? "15 Jahre APM - Wieso haben heutige Projekte immer noch Performance Probleme?" Dienstag, 13. Mai 2014-16:45 bis 17:45 Goldsaal B JAX 2014 Stefan Siegl Stefan.siegl@novatec-gmbh.de NovaTec Consulting GmbH

Mehr

SAP SharePoint Integration. e1 Business Solutions GmbH

SAP SharePoint Integration. e1 Business Solutions GmbH SAP SharePoint Integration e1 Business Solutions GmbH Inhalt Duet Enterprise Überblick Duet Enterprise Use Cases Duet Enterprise Technologie Duet Enterprise Entwicklungs-Prozess Duet Enterprise Vorteile

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Version 4.4. security.manager. Systemvoraussetzungen

Version 4.4. security.manager. Systemvoraussetzungen Version 4.4 security.manager Systemvoraussetzungen Version 4.4 Urheberschutz Der rechtmäßige Erwerb der con terra Softwareprodukte und der zugehörigen Dokumente berechtigt den Lizenznehmer zur Nutzung

Mehr

CIB DOXIMA PRODUKTINFORMATION

CIB DOXIMA PRODUKTINFORMATION > CIB Marketing CIB DOXIMA PRODUKTINFORMATION Dokumentenmanagement & Dokumentenarchivierung > Stand: Februar 2012 THE NEXT GENERATION DMS Mit neuen Ideen, innovativen Lösungen und dem Produkt CIB doxima

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Whitepaper Walkyre Enterprise Resource Manangement

Whitepaper Walkyre Enterprise Resource Manangement Whitepaper Walkyre Enterprise Resource Management Seite 1 Whitepaper Walkyre Enterprise Resource Manangement Stand 15.11.2004 Inhalt 1. Hinweis... 2 2. Grundsätzliches zur Funktionalität... 3 3. Der Walkyre-Client...

Mehr

Designprinzipien sicherer Systeme

Designprinzipien sicherer Systeme Designprinzipien sicherer Systeme Defense in Depth, Least Privilege, Design for Evil, Attack Surface Reduction, Security through Diversity, Dr. Peer Wichmann IT-Sicherheitsbeauftragter WIBU-SYSTEMS AG

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr