Sicherheit von SAP in Bezug auf neue Technologien

Größe: px
Ab Seite anzeigen:

Download "Sicherheit von SAP in Bezug auf neue Technologien"

Transkript

1 Diplomarbeit in Computer Networking Sicherheit von SAP in Bezug auf neue Technologien Damian Schlager 1. Betreuer: Prof. Dr. Christoph Reich 2. Betreuer: Dipl.-Inf. Stefan Strobel (cirosec GmbH) Vorgelegt am: Vorgelegt von: Damian Schlager Johannesburgerstraße 18/1, Hork

2

3 Abstract Diese Diplomarbeit befasst sich mit der Sicherheit von Webapplikationen auf Basis von SAP. Diese wurden trotz zunehmender Verbreitung bisher nie unter den bekannten Sicherheitsgesichtspunkten von Webapplikationen betrachtet. Ziel der Diplomarbeit ist es daher, Webapplikationen von SAP-Systemen auf ihre Sicherheit hin zu überprüfen und diese, wo möglich, in Bezug zu setzen mit den bekannten Problemen klassischer Webanwendungen. Hierzu wurden sowohl eine klassische Webapplikation als auch Webapplikationskomponenten von SAP-Systemen mittels Methoden, wie sie in der Praxis Verwendung finden, auf ihre Anfälligkeit gegenüber Angriffen und auf Absicherungsmöglichkeiten hin überprüft. Hierbei zeigte sich, dass Webapplikationen auf Basis von SAP ebenfalls für zum Teil neuartige Webapplikationsangriffe anfällig sind, sich aber auch mittels bekannter Methoden absichern lassen. Die Ergebnisse dieser Diplomarbeit stellen die Basis für zukünftige Überprüfungen und Absicherungen von Sap-Systemen dar. This diploma thesis addresses the security of web applications based on SAP. These were despite their increasing distribution never evaluated according to the known aspects of security that can be found in web applications. Hence, the purpose of this diploma thesis was to evaluate the security of web applications of SAP systems and to relate them to the known problems of classic web applications where possible. Therefore a classic web application and components of web applications of SAP systems were tested for their sensitivity to attacks as well as for possibilities to secure them, using methods that are found in practice. It appeared that web applications based on SAP are also vulnerable to web application attacks that were partially novel, but that they can be secured using known methods as well. The result of this diploma thesis is the base for future audits and measures to secure SAP systems. Damian Schlager Seite I

4 Damian Schlager Seite II

5 Inhalt 1 Einleitung Problemstellung Zielsetzung Aufbau dieser Arbeit Rahmenbedingungen Beschreibung des technischen Umfeldes Klassische Webapplikation ERP Sicherheitsaspekte im Webumfeld Sicherheit allgemein Menschliche Aspekte Technische Aspekte Übergreifende Aspekte Betrachtungsweisen der Sicherheit Einordnung dieser Diplomarbeit Gefahren und Angriffe im Webumfeld Inhalte und Ziele des Kapitels Port 80 Problem Fehlerquellen in Webapplikationen Beschreibung der Webapplikationsangriffe Zusammenfassung Vergleich klassischer Webapplikationen mit SAP aus Angreifersicht Webapplikationsscanner Angriffe auf Webapplikationen Typische Angriffe Angriffe auf SAP Abgrenzung der Methodik zur Sicherheitsüberprüfung Typische Angriffe Manuelle Überprüfung und weitere Ansatzpunkte für Angriffe Heterogene Systeme Vergleich der Ergebnisse Zusammenfassung Vergleich klassischer Webapplikationen mit SAP aus Verteidigersicht Sicherheitsarchitekturen Web Application Firewalls Absicherungsmöglichkeiten klassischer Webapplikationen Absicherung des ERPs anhand von SAP Aufwand und erzielbare Ergebnisse bei der Absicherung Zusammenfassung Zusammenfassung der Ergebnisse und Ausblick Zusammenfassung der Ergebnisse Ausblick Literaturverzeichnis Glossar Anhänge Anhang A: Beschreibung der Komponenten des SAP NetWeavers Anhang B: Konfigurationsempfehlungen und Programmierrichtlinien Anhang C: Sicherheit on RFC Damian Schlager Seite III

6 Abbildungsverzeichnis Abbildung 1: Organisatorischer Aufbau des SAP NetWeavers... 7 Abbildung 2: Technischer Aufbau des SAP Netweavers... 8 Abbildung 3: Port 80 Problem...20 Abbildung 4: Verteilung der Angriffshäufigkeit...27 Abbildung 5: Scan klassischer Webapplikation...31 Abbildung 6: Robots.txt...32 Abbildung 7: Cross-Site-Scripting bei cirobank...33 Abbildung 8: Local-file-inclusion...35 Abbildung 9: manuelles Cross-Site Scripting-cirobank...36 Abbildung 10: Manuelle Local-File-Inclusion...37 Abbildung 11: SQL-Injection...39 Abbildung 12: WebInspect Plugin...43 Abbildung 13: 200 OK - not found...44 Abbildung 14: WebInspect: Defaultpolicy bei SAP...45 Abbildung 15: Possible SQL Injection bei SAP...46 Abbildung 16: False-Positives bei SAP...48 Abbildung 17: Beispiel false-positive...48 Abbildung 18: Interne Pfade...49 Abbildung 19: Neuer HTTP Filter...51 Abbildung 20: Cross-Site-Scripting bei SAP...51 Abbildung 21: Source Code Disclosure...55 Abbildung 22:Aufbau einer heterogenen Umgebung...56 Abbildung 23: Directory-Listing mit Versionsangabe...57 Abbildung 24: Cross-Site-Scripting in Parameter...58 Abbildung 25: Topologiebeispiel Webapplikation BSI...64 Abbildung 26: Topologiebeispiel Webapplikation...64 Abbildung 27: Empfohlene Topologie SAP...65 Abbildung 28: Arbeitsweise WAF...69 Abbildung 29: Anzupassende Regel...72 Abbildung 30: Gelockter Angriff bei Citrix...72 Abbildung 31: Dynamisches Regelwerk...73 Abbildung 32: Statisches Regelwerk...74 Abbildung 33: Geblockter Angriff bei NetContinuum...74 Abbildung 34: Geblocktes Parameter Tempering...75 Abbildung 35: Einfache Diensteaktivierung im SAP GUI...77 Abbildung 36: SAP Portal-URL...80 Abbildung 37: Gelerntes Regelwerk für das SAP Portal...81 Abbildung 38: Verallgemeinertes Regelwerk für das SAP Portal...81 Abbildung 39: Gleichartige Fehlermeldungen im Logfile...82 Abbildung 40: Diensteabhängigkeit bei SAP...83 Tabellenverzeichnis: Tabelle 1: Anzahl der SAP URLs...40 Tabelle 2: SAP Standardaccounts...53 Damian Schlager Seite IV

7 1 Einleitung 1.1 Problemstellung Neue Technologien, mit dem Ziel Applikationen über Web verfügbar zu machen, halten überall Einzug. So hat auch SAP neue Produkte auf den Markt gebracht, die den Zugang zu SAP einfacher und flexibler gestalten sollen. Erfahrungen aus anderen Bereichen zeigen aber, dass eine solche Umstellung oder Erweiterung häufig mit Sicherheitsproblemen einhergeht. Da die Verfügbarkeit und Sicherheit dieser Systeme jedoch unverzichtbar ist, gewinnt eine Sicherheitsuntersuchung besondere Bedeutung. Während die Möglichkeiten zur Absicherung von klassischen Webapplikationen, die beispielsweise mittels Apache und PHP realisiert sind, relativ gut bekannt sind, ist die Sicherheitsbetrachtung neuer Webtechnologien, wie beispielsweise die von SAP, noch weitgehendes Neuland. Der steigenden Nachfrage nach Sicherheitsüberprüfungen und der Absicherungen von klassischen Webapplikationen kann heute durch Fachkenntnis und entsprechende Produkte begegnet werden. Für die Webbasierten Komponenten von SAP fehlen im Moment jedoch noch die dazu erforderliche Fachkenntnis, sowie speziell angepasste Sicherheitsprodukte. 1.2 Zielsetzung Ziel der Diplomarbeit ist es, die neuen, sicherheitskritischen Webapplikationen von SAP-Systemen auf ihre Sicherheit hin zu überprüfen und diese, wo möglich, mit den bekannten Problemen klassischer Webanwendungen in Bezug zu setzen. Es sollen vor allem die für die praktische Arbeit bei einer Auditierung oder Absicherung von Webapplikationen relevanten Gesichtspunkte herausgearbeitet werden. Diese sollen anhand praktischer Beispiele zunächst auf Webapplikationen auf Basis von SAP übertragen werden, um eine Aussage über die Anfälligkeit bzw. Resistenz von Webapplikationen von SAP gegenüber bekannten Webapplikationen treffen zu können. Des Weiteren ist zu untersuchen, ob Webapplikationen auf Basis von SAP neue Verwundbarkeiten aufweisen, die in eine Überprüfung mit einfließen müssen. Analog hierzu ist die Eignung bekannter Absicherungsmöglichkeiten für Webapplikationen auf Basis von SAP zu Damian Schlager Seite 1

8 untersuchen. Die Ergebnisse der Sicherheitsüberprüfung sowie die entsprechenden Absicherungsmöglichkeiten klassischer Webapplikationen werden mit den von SAP-Webapplikation verglichen und anschließend in einen Gesamtzusammenhang gestellt. Die Erkenntnisse dieser Diplomarbeit sollen dazu verwendet werden, zukünftig qualifizierte Sicherheitsüberprüfungen bzw. Absicherungen von Webapplikationen auf Basis von SAP durchführen zu können und damit zusammenhängend Aussagen über die allgemeine Sicherheit von Webapplikationen auf Basis von SAP treffen zu können. 1.3 Aufbau dieser Arbeit Die vorliegende Diplomarbeit ist in drei große Bereiche unterteilt. Der erste Teil beschäftigt sich mit den Rahmenbedingungen dieser Diplomarbeit. Dies besteht sowohl aus technischen Grundlagen über Webapplikationen und SAP-Systeme, als auch einer Beschreibung der Sicherheitsprobleme bei Webapplikationen, die für Angriffe verwendet oder vor deren Verwendung geschützt werden muss. Außerdem fügt dieser Teil der Arbeit die folgenden Kapitel in einen größeren Zusammenhang ein, so dass die Bewertung der Ergebnisse und Aussagen der folgenden Kapitel besser in eine Gesamtbetrachtung der Sicherheit eingeordnet werden kann. Der zweite Teil dieser Arbeit beschäftigt sich mit der Sicht eines Angreifers einer Webapplikation, wie es für die Durchführung von Sicherheitsüberprüfungen relevant ist. Hier wird sowohl eine klassische Webapplikation als Referenz als auch Webapplikationen von SAP-Systemen überprüft. Der Fokus liegt hierbei sowohl auf Anwendung bekannter Webapplikationsangriffe als auch einer Überprüfung neuer Angriffswege auf SAP, die von klassischen Webapplikationen nicht bekannt sind. Im dritten Teil werden die Absicherungsmöglichkeiten von Webapplikationen auf Basis von SAP evaluiert. Auch hier wird ein Vergleich von klassischer Webapplikation und Webapplikation auf Basis von SAP gezogen und sowohl das mögliche Sicherheitsniveau als auch der dazu notwendige Aufwand bewertet. Abgeschlossen wird diese Diplomarbeit mit einem Fazit über die gewonnenen Erkenntnisse und einem Ausblick über die erwartete, zukünftige Entwicklung der in dieser Diplomarbeit behandelten Themen. Damian Schlager Seite 2

9 2 Rahmenbedingungen Dieses Kapitel beschreibt die Rahmenbedingungen für die Sicherheitsüberprüfung, die für diese Diplomarbeit durchgeführt wurde. Es wird zunächst das technische Umfeld beschrieben. Hierzu wird sowohl die als Beispiel herangezogene klassische Webapplikation und deren dahinterliegende Technik beschrieben, als auch das SAP-System, das in dieser Diplomarbeit als Beispiel für ERP Systeme dient. Des Weiteren werden die für diese Diplomarbeit relevanten Sicherheitsaspekte in eine Gesamtbetrachtung des Themas Sicherheit von IT-Systemen und deren Aspekten eingeordnet. Abschließend werden die Ursachen der in dieser Diplomarbeit näher betrachteten Angriffe auf Webapplikationen aufgezeigt, sowie die Grundlagen der in dieser Diplomarbeit thematisierten Webapplikationsangiffe beschrieben. 2.1 Beschreibung des technischen Umfeldes Klassische Webapplikation Webapplikationen und ihr Einsatz Webapplikationen haben ihren Ursprung in Client-Server-Strukturen, bei den das Programm auf einem Server läuft, der Benutzer dieses aber über einen anderen Computer entfernt bedienen kann. Ein Beispiel hierfür ist die SAP-GUI, welche einem Benutzer den Zugriff auf SAP-Systeme ermöglicht. Die eigentlichen SAP-Inhalte werden jedoch auf zentralen, leistungsfähigen Servern generiert und bereitgestellt. Bei Webapplikationen gibt es nicht mehr einen speziellen Client, sondern hier werden die Inhalte vom Server so aufbereitet, dass sie mit gängigen Webbrowsern dargestellt werden können. Dies bringt verschiedene Vorteile mit sich, Beispiel hierfür ist, dass bei einer Änderung des Programms nicht mehr auch die Clients neu ausgerollt werden müssen, was vor allem bei größeren Unternehmen schwierig ist und sich daher mit Hilfe der Webapplikationen Kostenvorteile ergeben. Eine Webapplikation ist außerdem universeller einsetzbar, sowohl aus Benutzersicht, da er nicht mehr an das spezielle Client-Programm gebunden ist und hier mit dem üblicherweise bereits vorhandenen Webbrowser arbeiten kann, als auch beispielsweise aus Netzwerk- und Betriebssystemsicht. Damian Schlager Seite 3

10 Die Bedienung von Webapplikationen erfolgt über Hyperlinks. Bekannte Programmelemente wie Buttons, Auswahllisten etc. können mittels HTML- Elementen abgebildet werden. Daten, die vom Client zum Server gesendet werden, können als HTTP-POST- bzw. HTTP-GET-Parameter sowie mittels HTTP Headern und Cookies übertragen werden. Nachdem alle Parameter auf diese Weise beim Server angekommen sind, werden diese an das Server-Programm weitergeleitet und dort verarbeitet. Das Ergebnis dieser Verarbeitung wird dann als Webseite dargestellt und der beschriebene Ablauf kann wieder von vorne beginnen. cirobank Als Referenz für eine klassische Webapplikation wird in dieser Diplomarbeit die cirobank verwendet. Es handelt sich hierbei nicht um eine im Internet verfügbare Anwendung, was sich aus Gründen der Vertraulichkeit verbietet, sondern um eine für Demonstrationszwecke bei der cirosec GmbH erstellten Webapplikation. Auch wenn die Webapplikation speziell zu Demonstrationszwecken erstellt wurde, spiegelt sie dennoch wieder, welche typischen Probleme auch bei Webapplikationen möglich sind, die sich im Internet oder in Intranets von Unternehmen finden. Tatsächlich werden bei Sicherheitsüberprüfungen häufig solche Lücken vorgefunden und können auch mit einem vergleichbaren Aufwand ausgenutzt werden. Die Webapplikation, die in dieser Diplomarbeit als Referenzapplikation verwendet wird, besteht aus folgenden Komponenten: Client: - Browser; beliebiger Rechner Server: - Ubuntu 6.10 mit Apache , PHP Windows Server 2003 mit MS SQL Server ERP ERP-Systeme und ihr Einsatz Unter ERP-Systemen versteht man eine komplexe Anwendungs-Software, die zur Unterstützung der Ressourcenplanung des, im Idealfall, gesamten Unternehmens dient 1. ERP-Systeme haben ihren Ursprung in Industriebetrieben. Dieses Konzept wurde dann auch in andere Bereiche übernommen. So haben sich die 1 Damian Schlager Seite 4

11 ursprünglichen ERP-Systeme weiter entwickelt bis sie praktisch überall eingesetzt wurden 2. Die Weiterentwicklung der ERP-Systeme schreitet auch weiter voran und ERP-Systeme beinhalten immer mehr Funktionen und Fähigkeiten zum einen, und sollen zum anderen besser erreichbar und verfügbar sein, wofür man zunehmend auf webbasierte Technologien setzt. Die Idee der weitergehenden Vernetzung und Vereinheitlichung der Schnittstellen greift das Konzept von ERP II auf. Hier beschränkt sich das ERP-System nicht auf die Unternehmensgrenzen, sondern versucht auch Kunden, Lieferanten, Partnerunternehmen etc. mit zu integrieren, was zu Herausforderungen bei der Interoperabilität, Erreichbarkeit, Verfügbarkeit und Sicherheit führt. Auch im Rahmen dieser Entwicklung wird zunehmend auf webbasierte Technologien gesetzt, um die Integration verschiedenster Systeme und Bereiche zu erreichen. Allen ERP-Systemen gemein ist, dass sie versuchen, einzelne Daten von verschiedensten Stellen in einem System zusammenzuführen. Des Weiteren ist ein zentrales Ziel von ERP-Systemen die Unterstützung von Geschäftsprozessen und diese so effizient wie möglich zu gestalten. Insgesamt sorgt ein ERP-System also für eine Zusammenführung und Effizienzsteigerungen von Systemen, die zuvor inkompatibel zueinander waren und sogenannte Insellösungen darstellten, und die nun als integrierter Teil von Geschäftsprozessen und Daten arbeiten. Der Aufbau eines ERP-Systems, das diese Ziele erfüllen soll, ist eine komplizierte Aufgabe, deren Durchführung zwischen drei Monaten und einem Jahr in Anspruch nehmen kann. Für diese Diplomarbeit wurde ein ERP-System beispielhaft herangezogen, um eine entsprechende Evaluierung durchzuführen. Die Marktanteile von Anbietern in Deutschland setzen sich wie folgt zusammen 3 : SAP: ~55% Info: ~5,5% Microsoft: ~4% Sage: ~3% Viele kleinere Anbieter Damian Schlager Seite 5

12 Wie hier zu sehen ist, ist SAP mit über 50% Marktanteil mit Abstand größter Hersteller von ERP-Systemen, als auch mit 10,25 Milliarden Euro Umsatz im Jahr 2007 und Kunden nahezu marktbeherrschend. SAP hat ebenfalls den Anspruch, alle Anforderungen an ein ERP bzw. ERP II System zu erfüllen sowie das sicherste System anzubieten. Neben vielen neuen Funktionen und Fähigkeiten, die einen Teil der gegenwärtigen Entwicklung von ERP-Systemen kennzeichnen arbeitet SAP auch an Merkmalen von ERP II wie z.b. ein Supplier Relationship Management, aber auch an Schnittstellen zu vielen anderen Produkten, z.b. Integration in Microsoft-Office-Komponenten. Insgesamt stellt SAP eine branchenübergreifende, allumfassende Lösung dar und ist daher äußerst komplex zu implementieren. Für den Aufbau eines SAP-Systems gibt es bereits Vorgangsmodelle, diese zielen aber darauf ab, die Komplexität des Gesamtsystems SAP zu einer konkreten Installation zu meistern. Daher liegt das Hauptaugenmerk auf Geschäftsprozessmodellierung und Datenmodellierung, aber nicht auf Sicherheitsgefährdungen oder deren Vermeidung durch besondere Architekturen oder andere Schutzmassnahmen. Besonders geeignet für diese Diplomarbeit ist jedoch SAP, weil SAP seit wenigen Jahren massiv auf die Nutzung von neuen Technologien setzt, vor allem auf die Verfügbarkeit im Web und Anbindung von Kunden, Lieferanten, Partner, etc. Hierfür ist ein neues Konzept entstanden, das auf diese Anforderungen zugeschnitten ist. Organisatorischer Aufbau des SAP NetWeavers Die NetWeaver-Plattform soll die Basis für die Entwicklung neuer Lösungen sein, die die Idee der service-orientierten Architektur (SOA) bei SAP umsetzt. Als offizieller Nachfolger von SAP R/3 dient es neben der Basis für neue Applikationen auch als Plattform für die Integration bestehender Anwendungen und soll einen Rahmen für sicheren und stabilen Code inklusive Codeverwaltung stellen. In Abbildung 1: Organisatorischer Aufbau des SAP NetWeavers sind die verschiedenen Bereiche des SAP NetWeavers schematisch dargestellt. Auf dem Bild ist zu sehen, dass SAP NetWeaver einen Rahmen um die von SAP getrennt behandelten Bereiche People Integration, Information Integration und Process Integration mit ihren jeweiligen Teilbereichen bildet und hierbei auch den SAP Application Server als einheitliche Plattform stellt. Umfasst wird dies durch ein übergreifendes Life Cycle Management Damian Schlager Seite 6

13 und Composite Application Framework für die Entwicklung bereichsübergreifender Applikationen. Abbildung 1: Organisatorischer Aufbau des SAP NetWeavers Eine kurze Zusammenfassung dieser Bereiche und deren Rolle in der SAP Netweaver Gesamtkonzeption ist in Anhang A: Beschreibung der Komponenten des SAP NetWeavers zu finden. Technischer Aufbau des SAP NetWeavers Betrachtet man den technischen Aufbau des SAP NetWeaver ergibt sich wiederum ein anderes Bild, wie in Abbildung 2: Technischer Aufbau des SAP Netweavers gezeigt. Kern der Architektur ist der SAP Web Application Server, der aus vielen internen und externen Komponenten besteht, die wiederum über verschiedene Mechanismen miteinander kommunizieren m Damian Schlager Seite 7

14 Abbildung 2: Technischer Aufbau des SAP Netweavers Im Folgenden sind einige der zentralen Komponenten dieses Bildes näher beschrieben. Insbesondere den Schnittstellen, die von außen erreichbar sind, gilt ein besonderes Interesse, da hier die primären Angriffspunkte zur Sicherheitsüberprüfung zu finden sind. ICM: ICM steht für Internet Communication Manager und ist die zentrale Instanz für Verbindungen ins Internet. Dadurch, dass der Internet Communication Manager zunächst alle Zugriffe aus dem Internet entgegen nimmt, liefen auch über ihn der Grossteil der Tests, auch wenn hierbei natürlich andere Ziele hinter dem Internet Communication Manager das eigentlich Ziel waren, wie z.b. die Applikationslogik oder die Datenbank. Dispatcher: Der Dispatcher nimmt die Anfragen von den SAP GUIs entgegen, die bisher der Hauptkommunikationsweg von den Clients zum SAP Applikationsserver war. Eine weitere Aufgabe des Dispatchers ist es, die Anfragen auf die Workprozesse zu verteilen. Gateway: Das SAP Gateway ist die Kommunikationsschnittstelle für das SAP eigene RFC-Protokoll. Dies wird zur Kommunikation zwischen SAP Komponenten benutzt, oder zwischen SAP Komponenten und Komponenten von Drittherstellern. Da dies ebenfalls vor allem in bisherigen SAP Versionen ein zentraler Bestandteil war, und die Kommunikation über RFC sehr tief in die Kommunikation mit SAP-Systemen eingeht, war die dieser Kommunikationsweg eine zusätzlich zu dieser Diplomarbeit durchgeführte Überprüfung, deren Ergebnisse in Anhang C: Sicherheit on RFC kurz beschrieben werden. Damian Schlager Seite 8

15 Message-Server: Der Message-Server ist ein weiteres System zur Kommunikation zwischen SAP-Systemen und dient in Erster Linie zum Lastausgleich. Wie hier ebenfalls gut zu erkennen ist, sind die Stacks für ABAP und JAVA vollständig getrennt. Beide verfügen über eigene Scheduling-Systeme und Arbeitsprozesse. Es ist möglich, auf einem SAP Web Applikation Server nur einen der beiden Stacks zu installieren, oder auch beide parallel. Sind beide Stacks installiert, gibt es unter Umständen Möglichkeiten, eine Komponente auf verschiedenen Wegen zu Veröffentlichen. Je nach Verwendung des JAVA- oder ABAP-Stacks und deren Kommunikationswegen ergeben sich völlig andere Angriffsvektoren, was eine generische Überprüfung erschwert. Vorhandene SAP-Systeme Nach erfolgter Installation standen für die weitere Arbeit mehrere Systeme bereit. Für diese Diplomarbeit wurde eine Installation unter Linux für SAP NetWaver 700 ABAP Stack sowie Windows Server 2003 für SAP NetWeaver 700 JAVA Stack durchgeführt. Eine bereits bestehende SAP Installation, SAP NetWeaver 640 ABAP, wurde ebenfalls für zusätzliche Prüfungen genutzt. Ziel der Benutzung der Versionen 640 und 700 war es, grundsätzliche Vergleiche zwischen den Versionsständen ziehen zu können und mögliche Veränderungen und Entwicklungen aufzuzeigen. Zusammenfassend wurde die Diplomarbeit auf Basis der folgenden drei Systeme erstellt: NetWeaver 2004s Testdrive (Kernelversion 700, Systemname n4s) NetWeaver 2004s Trial (Kernelversion 700, Systemname sapj2e) Das zusätzliche SAP System mit Versionsstand 640 bestand aus: NetWeaver 2004 Testdrive (Kernelversion 640, Systemname nw4) 2.2 Sicherheitsaspekte im Webumfeld Sicherheit allgemein Programme, Systeme, Netzwerke und Architekturen auf ihre Sicherheit hin zu überprüfen sind im Computerbereich zu einer weitgehend normalen Tätigkeit geworden. Doch sind für eine Sicherheitsbeurteilung auch immer die Fragen zu beantworten, was Sicherheit eigentlich bedeutet, was das Damian Schlager Seite 9

16 Ziel bei einer Absicherung ist, welches ein angestrebter Sollzustand ist und auch welche Art von Gefahren damit reagiert werden kann. Eine allgemein akzeptierte Definition 5 der IT-Sicherheit, grenzt Sicherheit als einen Zustand ein, in dem keine Einbrüche in das System auftreten keine Unterbrechungen auftreten und kein Verlust von Daten auftreten Vertraulichkeit gewährleistet ist Authentizität gewährleistet ist IT-Systeme, die dies erfüllen sollen, müssen daher folgende Eigenschaften aufweisen: Verlässlichkeit von Systemen und Netzwerken Verfügbarkeit von Systemen und Daten Vertraulichkeit von Daten Integrität von Prozessen, Aktivitäten und Prozessen Zuordenbarkeit von Aktionen zu Personen Nachvollziehbarkeit von Aktionen Authentizität von Daten Es gibt inzwischen einige Standards, die sich auch mit IT-Sicherheit beschäftigen, wie z.b.cobit, COSO oder das IT-Grundschutzhandbuch des BSI. Diese sollen es erleichtern, verschiedene Sicherheitsniveaus in der IT- Sicherheit im Allgemeinen zu erreichen. Neben diesen Standards werden vor allem Anforderungen für Compliance immer bedeutender, so dass sich hauptsächlich große Unternehmen um verschiedene Aspekte der Sicherheit kümmern müssen und diese zu einem ganzheitlichen Konzept zu vereinen, um die Anforderungen von z.b. SOX, Basel II oder PCI zu erfüllen. So wurden und werden auch für SAP-Installationen Sicherheitsüberprüfungen durchgeführt, doch unterscheiden sich diese fundamental von der Motivation, die dieser Diplomarbeit zugrunde liegt. Bisherige Sicherheitsüberprüfungen beruhen meist auf Compliance- Anforderungen, für deren Erfüllung gänzlich andere Faktoren relevant sind als bei der Prüfung im Rahmen dieser Diplomarbeit, die sich auf eine praktische Herangehensweise aus den Erfahrungen mit klassischen Webapplikationen stützt. 5 Grundschutzhandbuch Bundesamt für Sicherheit in der Informationstechnik, Baustein 04 Damian Schlager Seite 10

17 Im Folgenden sollen verschiedene Aspekte aufgegriffen werden, die für die Sicherheit von Webapplikationen und Webapplikationen auf Basis von SAP besonders relevant sind und größtenteils durch Erfahrungen und Gespräche des Verfassers mit SAP-Beratern, Administratoren oder Anwendern erstellt wurden. Diese Punkte werden dann in diesem Zusammenhang konkreter beschrieben und im Bezug auf Webapplikationen und Webapplikationen auf Basis von SAP bewertet Menschliche Aspekte Installation und Konfiguration durch Berater Gerade bei großen Unternehmen die auch zur Zielgruppe von SAP gehören sind IT-Abteilungen und Sicherheitsverantwortliche etabliert. Es besteht daher grundsätzlich die Möglichkeit, den Aufbau von neuen Webapplikationen durch gute Kenntnisse der technischen Themen und interner Organisationsstruktur durchzuführen, auch wenn dies z.b. aus Zeitmangel häufig nicht geschieht. Die Installation und Konfiguration von SAP-Systemen ist sehr komplex und zeitaufwändig. Daher wird üblicherweise auf externe, spezialisierte Dienstleister zurückgegriffen, die die Installation und Konfiguration vornehmen. Auch wenn dies nicht unbedingt negative Einflüsse auf die Funktionalität des Systems hat, kann die von externen Kräften durchgeführte Konfiguration unter Umständen doch die geforderten Eigenschaften nicht erfüllen, da z.b. Berechtigungen falsch gesetzt werden oder zu restriktive Berechtigungen wieder großzügig zurückgenommen werden. Damit direkt zusammenhängend ist die Tatsache, dass auch bei so lang angesetzten Projekten wie einer SAP-Installation die Zeit für die notwendigen Arbeiten knapp bemessen ist und der Fokus der Arbeit selbstverständlich bei der Lauffähigkeit des Systems liegt. Außerdem kann beobachtet werden, dass eine Konfiguration, bei der auch auf ein hohes Schutzniveau geachtet wird nicht notwendigerweise, aber doch häufig eine Konfiguration, die sich auf die Lauffähigkeit eines Systems konzentriert, verkompliziert. Darüber hinaus sind SAP-Installationen individuell und es gibt keine Installation bzw. darauf folgende Konfiguration, die umfassend für alle Systeme gleich ist. Damit geht einher, dass so wie es keine umfassende, allgemeingültige Konfiguration gibt auch keine allgemeingültige Konfiguration von Sicherheitseinstellungen existiert. Es gibt zwar Einstellungen, die auf nahezu jedem System getroffen werden sollten (Vgl. Kapitel 4.4), dies kann jedoch nicht die feingranularen Damian Schlager Seite 11

18 Einstellungen wie eine spezifische Rechtevergabe ersetzen, die für jede Umgebung individuell getroffen werden müssen oder spezielle Einstellungen, die die Sicherheit von Webapplikationen verändern. Ebenfalls als Folge der oben genannten Punkten, so haben Gespräche mit SAP Beratern gezeigt, ist das Sicherheitsbewusstsein bei SAP Beratern eher gering, oder bekannte Möglichkeiten ein System sicherer zu gestalten werden wegen Zeitmangels unterlassen. Administratoren Administratoren sind ein zentrales Element bei der Absicherung auch von Webapplikationen. Die Umsetzung ist zwar oftmals mangelhaft, jedoch sind Konzepte und Strategien um auch Administratoren in ein Sicherheitskonzept zu integrieren bekannt 6. Allerdings werden SAP-Systeme und andere Netzwerkkomponenten oder Systeme oftmals getrennt betrachtet. So wird von der SAP Welt gesprochen, wenn es um Fragen von SAP Systemen geht und daher zuständige Netzwerkadministratoren oder für die Sicherheit zuständigen Mitarbeiter auch keine SAP Experten sind. Auch hier liegt der Fokus auf der Lauffähigkeit der Systeme. Die Sicherheitsthematik ist zwar bekannt, aber üblicherweise noch ein offener Punkt. Eine umfassende oder ins Detail gehende Evaluierung von Sicherheitsaspekten kann daher nur selten durchgeführt werden. Dies wird duch die zunehmende Öffnung von SAP nach außen, wie z.b. zu Partnern oder direkt ins Internet, auch ein zukünftiger Markt für Beratungsunternehmen darstellen. Anwender Anwender von Applikationen, klassischen Webapplikationen, als auch von SAP-Software werden zunehmend als Sicherheitsfaktor erkannt 7. Das bekannteste Beispiel hierfür ist die Wahl von Passwörtern. Daher sollte die Applikation bzw. das ERP-System unter Anderem möglichst gute Sicherheitstechnologien und Methoden bereitstellen die den Anwender in ein Sicherheitskonzept integrieren, wie z.b. eine Password-Policy, bei der die Komplexität der Passwörter und deren Gültigkeitsdauer festgelegt wird 8. 6 Bundesamt für Sicherheit in der Informationstechnik: Leitfaden IT Sicherheit IT-Grundschutz kompakt, Damian Schlager Seite 12

19 2.2.3 Technische Aspekte Multi Tier Architektur Viele klassische Webapplikationen sind wie auch SAP NetWeaver selbst als 3 Tier Architektur entworfen. Ein Frontend auf dem Client, die Middle Tier auf dem Applikationsserver und ein Backend mit allen Daten. Die Konstruktion als 3 Tier Architektur soll einige Vorteile bringen um typischen Problemen wie sie bei großen Systemen wie SAP auftreten und sorgt für eine bessere Abstraktion, Skalierbarkeit und Zuverlässigkeit des Gesamtsystems. Bei dieser 3 Tier Architektur ist der Client in erster Linie für die Darstellung zuständig und beinhaltet wenig oder gar keine Anteile and der Applikationslogik. Gerade bei SAP wird hier zunehmend Wert auf die Unabhängigkeit des Endgerätes gelegt bzw. über andere SAP Komponenten wie XI für diese Unabhängigkeit gesorgt. Da sich diese Diplomarbeit mit Webapplikationen befasst, ist in diesem Fall der Client ein gängiger Browser. Es wurde je nach Applikation auf Internet Explorer 7 oder aktuellen Firefox zurückgegriffen. Die Mittel- bzw. Applikationsschicht beinhaltet das, was man vereinfacht als serverseitige Dienste ansieht. Hier befindet sich die Business Logic, systemorientierte Dienste und weitere Programme, die unter Umständen zur Ausführung der Business Logic notwendig sind. Außerdem sind hier die Schnittstellen zu möglichen weiteren Programmen und Komponenten zu finden. Beim NetWeaver wird dieses Modell noch dahingehend erweitert, dass sich die Applikationslogik nicht auf einem einzelnen SAP System befinden muss, sondern eine eigene Form von WebServices verwendet werden kann. Die Datenbankschicht ist bei SAP wieder ähnlich den anderen Multi Tier Architekturen. SAP unterstützt neben der eigenen Datenbank MaxDB, die bei dieser Diplomarbeit verwendet wurde, auch andere Datenbanken als Backend wie z.b. Oracle. Soll die Sicherheit von SAP betrachtet werden, muss dies daher über alle Ebenen erfolgen, um alle beteiligten Komponenten abzudecken. Gleichzeitig stellt die Applikationsschicht den größten Anteil, da sich hier unter anderem die Logik der einzelnen Programmen, sämtliche Administrationswerkzeuge, die Schnittstellen nach außen, Benutzerverwaltung, Sitzungsverwaltung und diverse andere Komponenten befinden. Damian Schlager Seite 13

20 Authorisierungsmodell Die Rechtevergabe auf Webapplikationen oder Teilen der Webapplikationen unterscheidet sich grundlegend von SAP-Systemen. Bei klassischen Webapplikationen liegt der Fokus meist auf Trennung einzelner Benutzer und einer eventuellen Abgrenzung zu einer Administrationsrolle. Die Ausgestaltung von Autorisierungsmodellen ist bei SAP besonders komplex, da sie sich auf das Gesamtsystem SAP beziehen. Die korrekte Rechtevergabe wird auch in dieser Diplomarbeit des öfteren ein Thema sein, weswegen hier näher auf das Authorisierungsmodell bei SAP eingegangen wird. Schon aufgrund der Größe und Komplexität von SAP Systemen arbeitet man auch hier mit einem hohen Abstraktionsniveau, das über die üblichen Rollenmodelle hinausgeht. Hier muss auch zwischen ABAP-Stack und Java- Stack unterschieden werden, da sich das Authorisierungsmodell zwischen beiden Stacks unterscheidet. Darüber hinaus verwenden beide Stacks unterschiedliche Benutzer, die nicht frei zwischen beiden Stacks übernommen werden können. Es ist zwar möglich, mit dem Java-Stack auf ABAP-Benutzer zuzugreifen und es wird hier auch ein Abgleich zwischen den Benutzerdatenbanken durchgeführt, doch sind Java-Benutzer dem ABAP-Stack unbekannt. Der ABAP-Stack baut auf einer rollenbasierten Benutzerverwaltung auf. Rollen und Benutzer sind hier vom System implementiert, wie es von anderen rollenbasierten Authorisierungssystemen bekannt ist. Hier bedeutet das z.b. dass nur die GUI-Inhalte angezeigt werden, die der Rolle oder dem Benutzer entsprechen. Des Weiteren müssen Berechtigungen vergeben werden, wer z.b. welche Buchung im System vornehmen darf. Um dies zu erleichtern, können Berechtigungsprofile für bestimmte Applikationen festgelegt werden, bei großen Applikationen gibt es darüber hinaus die Möglichkeit Sammelprofile zu verwenden, die mehrere Profile beinhalten. Rollen enthalten schon viele Profile für typische Rollen von Benutzern in einem Unternehmen, wie beispielsweise Administratoren. Beim Java-Stack, bzw. Portalapplikationen des Java-Stacks, basiert die Berechtigungsvergabe auf sogenannten Security-Zones. Portalapplikationen und Dienste müssen solchen Security Zones zugeordnet werden. Die Zuordnung erfolgt hierbei beim Deployen einer Applikation, also bereits, wenn die Applikation in das SAP-Portal hineingeladen wird. Die Berechtigungen der Benutzer, Gruppen und Rollen werden dann auf die Damian Schlager Seite 14

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

Java Applet Alternativen

Java Applet Alternativen White Paper Java Applet Alternativen Version 1.0, 21.01.2014 Tobias Kellner tobias.kellner@egiz.gv.at Zusammenfassung: Aufgrund diverser Meldungen über Sicherheitslücken in Java haben in letzter Zeit Browser-Hersteller

Mehr

Abb. 1: Schematische Architektur WebLogic-Server

Abb. 1: Schematische Architektur WebLogic-Server Forms 11g im Weblogic-Server Vertrautes in neuem Gewand Stephan La Rocca TEAM GmbH Paderborn Schlüsselworte: Oracle Weblogic Server, Forms 11g, Administration, Konfiguration, New Features. Einleitung Mit

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Virenschutz für SAP E-Recruiting

Virenschutz für SAP E-Recruiting Virenschutz für SAP E-Recruiting ein White-Paper E-Recruiting der Trend im Personalmarkt Viele Unternehmen realisieren mit dem Einsatz moderner E-Recruiting Technologie signifikante Einsparungen im Bereich

Mehr

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG

ARTS Server 3.5. Produktbeschreibung. Uptime Services AG Uptime Services AG Brauerstrasse 4 CH-8004 Zürich Tel. +41 44 560 76 00 Fax +41 44 560 76 01 www.uptime.ch ARTS Server 3.5 Produktbeschreibung Uptime Services AG Inhaltsverzeichnis 1 Einleitung... 2 2

Mehr

SEAL Systems Integrationen für SAP PLM 7 und Web UI Anwendungen

SEAL Systems Integrationen für SAP PLM 7 und Web UI Anwendungen SEAL Systems Integrationen für SAP PLM 7 und Web UI Anwendungen Mit SAP PLM 7 und anderen Web UI Anwendungen hat SAP neue Oberflächen für bestehende und neue Funktionalität geschaffen. Diese Anwendungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

OEDIV SSL-VPN Portal Anbindung Externe

OEDIV SSL-VPN Portal Anbindung Externe OEDIV SSL-VPN Portal Anbindung Externe Collaboration & Communication Services Stand 10.03.2015 Seite 1 von 11 Inhaltverzeichnis 1 Allgemeine Informationen... 3 2 Voraussetzungen... 3 3 Anmeldung am Portal...

Mehr

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN 1 1 1 1 2-3 3 4 4 4 5 5 6

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN 1 1 1 1 2-3 3 4 4 4 5 5 6 Inhaltsverzeichnis. Remote Access mit SSL VPN a. An wen richtet sich das Angebot b. Wie funktioniert es c. Unterstützte Plattform d. Wie kann man darauf zugreifen (Windows, Mac OS X, Linux) 2. Aktive WSAM

Mehr

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4 UNIVERSITÄT LEIPZIG Mainframe Internet Integration Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013 WebSphere Application Server Teil 4 Leistungsverhalten el0100 copyright W. G. Spruth,

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010

Webapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010 Webapplikations-Sicherheit: Erfahrungen aus der Praxis Stefan Hölzner, Jan Kästle 26.01.2010 Agenda Schwachstellen: die Ursachen Angriffstechniken aus der Praxis root-access in 20 Schritten 2 Schwachstellen:

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

Mobile ERP Business Suite

Mobile ERP Business Suite Greifen Sie mit Ihrem ipad oder iphone jederzeit und von überall auf Ihr SAP ERP System zu. Haben Sie Up-To-Date Informationen stets verfügbar. Beschleunigen Sie Abläufe und verkürzen Sie Reaktionszeiten

Mehr

Quality Point München

Quality Point München Quality Point München Test webbasierter Applikationen - Vorgehen, Instrumente, Probleme Gestern habe ich mich wieder über eine fehlerhafte Webanwendung geärgert. Muss das sein? Test ist halt auch hier

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

TECHNISCHE PRODUKTINFORMATION CARUSO

TECHNISCHE PRODUKTINFORMATION CARUSO 1111 TECHNISCHE PRODUKTINFORMATION CARUSO TECHNISCHE PRODUKTINFORMATION Seite 0/7 Inhalt 1 Systemdefinition............2 2 Technische Details für den Betrieb von CARUSO......2 2.1 Webserver... 2 2.2 Java

Mehr

Technische Anforderungen. zum Empfang. von XML-Nachrichten

Technische Anforderungen. zum Empfang. von XML-Nachrichten Technische Anforderungen zum Empfang von XML-Nachrichten 25.11.2004 Peer Uwe Peters 2 1 Inhaltsverzeichnis 1 INHALTSVERZEICHNIS... 2 2 ZIEL DIESES DOKUMENTS... 3 3 KONTEXT... 3 4 SENDEWEG... 4 5 ERREICHBARKEIT...

Mehr

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004 Ausarbeitung über SS 2004 Dennis Völker [dv04@hdm-stuttgart.de] Steffen Schurian [ss59@hdm-stuttgart.de] Überblick Sicherheit sollte eine Eigenschaft moderner, verteilter Anwendungen sein, jedoch ist ein

Mehr

Preise und Details zum Angebot

Preise und Details zum Angebot Die SAP Business One Cloudplattform auf SQL und HANA Preise und Details zum Angebot Dezember 2015 v2 www.cloudiax.de Cloudiax Preisliste Detaillierte Informationen zum Angebot finden Sie auf den nachfolgenden

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Call Button / HTTP - Systembeschreibung

Call Button / HTTP - Systembeschreibung Call Button / HTTP - Systembeschreibung Detlef Reil, 14.03.2004, zu Call Button, Version 040127, V1.50 Beta! Software System Für die Kommunikation zwischen den Call Buttons und der Applikation war bisher

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

CIB DOXIMA PRODUKTINFORMATION

CIB DOXIMA PRODUKTINFORMATION > CIB Marketing CIB DOXIMA PRODUKTINFORMATION Dokumentenmanagement & Dokumentenarchivierung > Stand: Januar 2013 INHALT 1 CIB DOXIMA 2 1.1 The next generation DMS 3 1.2 Dokumente erfassen Abläufe optimieren

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Risikomanagement für IT-Projekte: Vergleich von Risiken und Methoden

Risikomanagement für IT-Projekte: Vergleich von Risiken und Methoden Sperrvermerk Risikomanagement für IT-Projekte: Vergleich von Risiken und Methoden Bachelorarbeit Zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Webengineering II T2INF4202.1. Enrico Keil Keil IT e.k.

Webengineering II T2INF4202.1. Enrico Keil Keil IT e.k. Webengineering II T2INF4202.1 Enrico Keil Keil IT e.k. Übersicht Herzlich willkommen Enrico Keil Keil IT Oderstraße 17 70376 Stuttgart +49 7119353191 Keil IT e.k. Gegründet 2003 Betreuung von kleinen und

Mehr

Experten-Review für Ihre Microsoft SharePoint-Architektur. Maximaler Nutzen, hohe Stabilität und Sicherheit für Ihre SharePoint-Farm

Experten-Review für Ihre Microsoft SharePoint-Architektur. Maximaler Nutzen, hohe Stabilität und Sicherheit für Ihre SharePoint-Farm Experten-Review für Ihre Microsoft SharePoint-Architektur Maximaler Nutzen, hohe Stabilität und Sicherheit für Ihre SharePoint-Farm Heben Sie mit Materna die Potenziale Ihrer SharePoint-Umgebung. Microsoft

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Whitepaper Walkyre Enterprise Resource Manangement

Whitepaper Walkyre Enterprise Resource Manangement Whitepaper Walkyre Enterprise Resource Management Seite 1 Whitepaper Walkyre Enterprise Resource Manangement Stand 15.11.2004 Inhalt 1. Hinweis... 2 2. Grundsätzliches zur Funktionalität... 3 3. Der Walkyre-Client...

Mehr

BANKETTprofi Web-Client

BANKETTprofi Web-Client BANKETTprofi Web-Client Konfiguration und Bedienung Handout für die Einrichtung und Bedienung des BANKETTprofi Web-Clients im Intranet / Extranet Der BANKETTprofi Web-Client Mit dem BANKETTprofi Web-Client

Mehr

Datenbank-Inhalte von extern aufrufen

Datenbank-Inhalte von extern aufrufen HSHL How-To Datenbank-Inhalte von extern aufrufen Liebe Studierende, zum Wintersemester 2013/14 haben wir eine nachhaltige Möglichkeit geschaffen, hochschulnetz gebundene Inhalte über das Campus Portal

Mehr

PENETRATIONSTESTS BEI WEB- SERVICES

PENETRATIONSTESTS BEI WEB- SERVICES BSI GRUNDSCHUTZTAG 2014 PENETRATIONSTESTS BEI WEB- SERVICES Dominik Oepen 1 GS-WEB-SERVICES ABGRENZUNG Web-Services Schnittstelle zum automatisierten Aufruf Aufruf durch Programme (auch andere Web-Services)

Mehr

Organisation und Systeme SOA: Erstellung von Templates für WebService Consumer und Provider in Java

Organisation und Systeme SOA: Erstellung von Templates für WebService Consumer und Provider in Java SOA: Erstellung von Templates für WebService Consumer und Provider in Java Entwicklung von Java WebService Provider- und Consumer-Bibliotheken zur Standardisierung der Karmann WebService Landschaft. Konzeption

Mehr

Anleitung zum Prüfen von WebDAV

Anleitung zum Prüfen von WebDAV Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

2 Ist-Zustand des Systems 3

2 Ist-Zustand des Systems 3 Pflichtenheft Softwaretechnologie-Projekt für die ITC AG Gruppe 05 Tabelle 1: Historie Version Beschreibung Autor, Datum 0.1 Erstentwurf Sven Goly, 28.10.2014 0.2 Portierung in Latex, Kriterien Sven Goly,

Mehr

Erfahren Sie mehr zu LoadMaster für Azure

Erfahren Sie mehr zu LoadMaster für Azure Immer mehr Unternehmen wechseln von einer lokalen Rechenzentrumsarchitektur zu einer öffentlichen Cloud-Plattform wie Microsoft Azure. Ziel ist es, die Betriebskosten zu senken. Da cloud-basierte Dienste

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Systemvoraussetzungen für ConSol*CM Version 6.10.2 Architektur Überblick

Systemvoraussetzungen für ConSol*CM Version 6.10.2 Architektur Überblick Systemvoraussetzungen für ConSol*CM Version 6.10.2 Architektur Überblick ConSol*CM basiert auf einer Java EE Web-Architektur, bestehend aus den folgenden Kern-Komponenten: JEE Application Server für die

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

WebFlow. Prozesse werden Realität.

WebFlow. Prozesse werden Realität. WebFlow. Prozesse werden Realität. Während Ihr Chef in den Flieger steigt, gibt er noch schnell die wichtigsten Anträge frei. CW2 WebFlow macht es möglich. Mit Einbindungsmöglichkeiten in alle modernen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Befragung und empirische Einschätzung der Praxisrelevanz

Befragung und empirische Einschätzung der Praxisrelevanz Befragung und empirische Einschätzung der Praxisrelevanz eines Vorgehensmodells zur Auswahl von CRM-Systemen D I P L O M A R B E I T zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Administrator-Anleitung

Administrator-Anleitung Administrator-Anleitung für die Typ 2 Installation der LEC-Web-Anwendung auf einem Microsoft Windows Server Ansprechpartner für Fragen zur Software: Zentrum für integrierten Umweltschutz e.v. (ZiU) Danziger

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

Penetration Test Zielsetzung & Methodik

Penetration Test Zielsetzung & Methodik Zielsetzung & Methodik : Ausgangslage Hacker und Cracker haben vielfältige Möglichkeiten, über öffentliche Netze unbefugt auf die IT-Systeme eines Unternehmens zuzugreifen Sie können vertrauliche Informationen

Mehr

Preise und Details zum Angebot

Preise und Details zum Angebot Die SAP Business One Cloud Plattform auf SQL und HANA Preise und Details zum Angebot Mai 2016 Cloudiax Preisliste Detaillierte Informationen zum Angebot finden Sie auf den nachfolgenden Seiten. Preis im

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

Jump Project. Softwarelösungen für professionelles Projektmanagement

Jump Project. Softwarelösungen für professionelles Projektmanagement Jump Project Softwarelösungen für professionelles Projektmanagement Jump Project Office Übersichtliche Dokumentenstruktur und schneller Zugriff auf alle wichtigen Funktionen. Steuern Sie Ihre Projekte

Mehr

HOB RD VPN Web Server Gate

HOB RD VPN Web Server Gate HOB GmbH & Co. KG Schwadermühlstr. 3 90556 Cadolzburg Tel: 09103 / 715-0 Fax: 09103 / 715-271 E-Mail: support@hob.de Internet: www.hob.de HOB RD VPN Web Server Gate Sicherer Zugang mobiler Anwender und

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

SAP SharePoint Integration. e1 Business Solutions GmbH

SAP SharePoint Integration. e1 Business Solutions GmbH SAP SharePoint Integration e1 Business Solutions GmbH Inhalt Duet Enterprise Überblick Duet Enterprise Use Cases Duet Enterprise Technologie Duet Enterprise Entwicklungs-Prozess Duet Enterprise Vorteile

Mehr

MEINE EKR ID. Download & Installation Citrix Access Gateway Plug-in

MEINE EKR ID. Download & Installation Citrix Access Gateway Plug-in MEINE EKR ID Download & Installation Citrix Access Gateway Plug-in Herausgeber: Epidemiologisches Krebsregister NRW ggmbh Robert-Koch-Str. 40 48149 Münster Der Zugang zum geschützten Portal des Epidemiologische

Mehr

Update Netzwerkversion ebanking per Telebanking/MBS-Client 5.5.0

Update Netzwerkversion ebanking per Telebanking/MBS-Client 5.5.0 Update Netzwerkversion ebanking per Telebanking/MBS-Client 5.5.0 Software-Voraussetzungen Wenn Sie noch keine ebanking per Telebanking/MBS-Version im Einsatz haben, sind keine Softwarevoraussetzungen erforderlich.

Mehr

Das Projekt Groupware II im BSI

Das Projekt Groupware II im BSI Das Projekt Groupware II im BSI Florian v. Samson Kerstin Prekel Bundesamt für Sicherheit in der Informationstechnik Vorstellung des Projektes auf der CeBIT im Heise Forum am 15.03.2005 F. v. Samson /

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista Allgemeines: Bitte lesen Sie sich diese Anleitung zuerst einmal komplett durch. Am Besten, Sie drucken sich diese Anleitung

Mehr

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei!

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Eine Auswertung der seit Beginn des Jahres aufgetretenen Phishingfälle, sowie unterschiedliche mediale Beiträge zum Thema Phishing, zeigen

Mehr

Trusted Network Connect. Networking Academy Day 19.04.2008

Trusted Network Connect. Networking Academy Day 19.04.2008 Trusted Network Connect Networking Academy Day 19.04.2008 Dipl.-Inf. Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit Angriffsvektoren

Mehr

16.4 Wiederverwendung von COTS-Produkten

16.4 Wiederverwendung von COTS-Produkten 16.4 Wiederverwendung von COTS-Produkten COTS = commercial of the shelf im Handel erhältliche Software-Produkte Anpassung für Kunden ohne Änderung am Quellcode Quellcode in der Regel nicht einsehbar (Ausnahme

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

MSP SSO. Portalübergreifendes Single Sign-on. Von MSP SSO unterstützte Standards:

MSP SSO. Portalübergreifendes Single Sign-on. Von MSP SSO unterstützte Standards: MSP SSO Portalübergreifendes Single Sign-on Für das Abwickeln von Online- Geschäftsprozessen ist es wichtig, sein Gegenüber zu kennen. Das gilt sowohl für den Kunden als auch den Betreiber des Online-

Mehr

Homepageerstellung mit WordPress

Homepageerstellung mit WordPress Homepageerstellung mit WordPress Eine kurze Einführung in die Installation und Einrichtung von WordPress als Homepage-System. Inhalt 1.WordPress installieren... 2 1.1Download... 2 1.2lokal... 2 1.2.1 lokaler

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation.

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation. Inhalt 1 Übersicht 2 Anwendungsbeispiele 3 Einsatzgebiete 4 Systemanforderungen 5 Lizenzierung 6 Installation 7 Key Features 8 Funktionsübersicht (Auszug) 1 Übersicht MIK.bis.webedition ist die Umsetzung

Mehr