Pen-Tests im Rahmen von IT-Sicherheitsaudits XChange-Seminar am Institut für Sicherheit im E-Business (ISEB)

Größe: px
Ab Seite anzeigen:

Download "Pen-Tests im Rahmen von IT-Sicherheitsaudits XChange-Seminar am Institut für Sicherheit im E-Business (ISEB)"

Transkript

1 Willkommen in Sicherheit Pen-Tests im Rahmen von IT-Sicherheitsaudits XChange-Seminar am Institut für Sicherheit im E-Business (ISEB) Marek Stiefenhofer: 2 Bilderleisten Teil 2 Kurzvorstellung r-tec Einführung: IT Sicherheitsmanagement und Penetrationstests als Auditwerkzeuge Problemstellung: Penetrationstests im Spannungsfeld formaler Anforderungen und Problemstellungen aus der Praxis Umsetzung r-tec Zusammenfassung 1

2 3 r-tec: Das Unternehmen Unternehmen der Böhme & Weihs Gruppe Gründungsjahr: 1995 als Spin-Off Dienstleister spezialisiert auf IT-Sicherheit Standorte: Sprockhövel, Aalen über B&W in Lyon (F), Graz (A) Prozessorientierte Unternehmensstruktur/ Betrieb eines eigenen Supportcenter nach ITIL Zertifiziert durch den TÜV nach ISO Über 200 Kunden in Support- und Wartungsverträgen 4 r-tec: Schwerpunkte Beratung Network Security Endpoint Security Comm Security Risikoanalyse Security Audits/ Penetrationstest Sicherheitskonzepte (ITIL/ BSI/ 27000) SLA-Erstellung und -Management Firewall Web-, Mail-, Spamfilter Intrusion Detection/ -Prevention VoIP/ WLAN / 802.1x PC Firewall Schnittstellenmanagement Authentisierung/ SSO Verschlüsselung VPN/ SSL-VPN PKI/ Identymanagement Mailsecurity; Mailverfügbarkeit Mail- und Datenverschlüsselung 2

3 5 Kundenstruktur Public 19% Finance 17% Utility 15% Industry 49% 6 Einführung IT Sicherheitsmanagement Penetrationstests als Auditwerkzeuge 3

4 7 IT-Sicherheitsmanagementsysteme Interessierte Parteien Interessierte Parteien z.b. Geschäftspartner Kunden Aufsichtsbehörden Informationssicherheitsanforderungen und erwartungen: KonTraG, BDSG, Basel II, Wettbewerb, Auftragsvergabe gemanagte Informationssicherheit 8 Der IT-Sicherheitsmanagementprozess im Detail Anforderungen Management- Initialisierung Analyse Prozesse Systeme Organisation Planung und Umsetzung Technische Systeme Betrieb/ Monitoring IT- Sicherheit Sicherheitsanforderungen verstehen (übergeordnete) Sicherheitspolitik definieren, die generelle Ziele der Sicherheit definieren Sicherheitsbeauftragten und Organisation etablieren Sicherheitsstrategie entwickeln oder überprüfen Schutzbedarf feststellen Bedrohungsanalysen Risikoanalysen Sicherheitsanforderungen ableiten Status ermitteln Was muss geregelt werden? Administration/ Wie muss es geregelt werden Dokumentenmanagement (übergreifend oder detailliert)? Sicherheitskonzepte Schulungen und erarbeiten Awareness präventiv Kenngrößen ermitteln reaktiv Audits/Assessments restaurativ Policies/Richtlinien definieren Einführung projektieren Schulungen durchführen 4

5 9 Audits im Sicherheitsmanagementsystem Audit = Untersuchungsverfahren zur Bewertung von Prozessen hinsichtlich der Erfüllung von Anforderungen und Richtlinien. Interne Richtlinien Gesetzliche Anforderungen (SOX, KonTraG, DSG, PCI, BetrVG ) Anforderungen von Kunden (z.b. Automotive-Branche) Anforderungen aus dem Wettbewerb Nationale Standards (IT-Grundschutz, IDW PS 330) Internationale Standards (ISO Reihe) Erwartung: Ein Audit ist ein formales systematisches Verfahren. 10 Penetrationstests als Auditwerkzeuge Analyse des IST-Standes Ermittlung des derzeitigen Sicherheitsniveaus Ableitung von Zielen Definition angemessener Maßnahmen Analyse der Zielerreichung Kontrolle der Umsetzung von Maßnahmen Vergleich mit vorangegangenen Audits Erfüllung (gesetzlicher) Anforderungen 5

6 11 Definition Pen-Test Ein Pentrationstest ist eine Methode, die Sicherheit eines Computersystems oder Netzwerkes zu evaluieren, indem Angriffe durch einen böswilligen Benutzer (Cracker, oft inkorrekt Hacker) simuliert werden. Erwartungen: Methode systematisch nachvollziehbar vergleichbar umfassend Evaluation aussagekräftig risikobezogen Simulation praxisnah abwägend 12 Praxiserfahrung r-tec Pen-Tests (1) Ein Penetrationstest ist ein kreativer Prozess, bei dem man sich verschiedener Analysemethoden bedient, um eine praxisrelevante Bewertung des Sicherheitsniveaus bestimmter IT-Ressourcen vorzunehmen. Besonderheiten: Methode (kreativer Prozess) systematisch aber hochgradig individuell nachvollziehbar schlecht vergleichbar fokussiert Analysemethoden praxisnah kundenspezifisch 6

7 13 Praxiserfahrung r-tec Pen-Tests (2) Ein Penetrationstest ist ein kreativer Prozess, bei dem man sich verschiedener Analysemethoden bedient, um eine praxisrelevante Bewertung des Sicherheitsniveaus bestimmter IT-Ressourcen vorzunehmen. Besonderheiten: praxisrelevante Bewertung aussagekräftig risikobezogen Kundenspezifisch Sicherheitsniveau Risikobewertung (in der Regel informell) Ideal: Bezug auf Geschäftsprozesse 15 Problemstellung Penetrationstests im Spannungsfeld formaler Anforderungen und Problemstellungen aus der Praxis 7

8 16 Problemfelder Rechtliche Hindernisse Kreativität Formalismus Aussagekraft Praxisnähe Vollständigkeit/Tiefe Stabilität/Integrität Plausibilität Professionalität 17 Problemfeld: Rechtliche Hindernisse August 2007: 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität tritt in Kraft Einführung des 202c StGB sog. Hackerparagraph 202c StGB stellt ein abstraktes Gefährdungsdelikt dar, d.h. bereits die Vorbereitung einer Computerstraftat begründet die Strafbarkeit, z.b. Beschaffung entspr. Computerprogramme Große Unsicherheit für Unternehmen, die Software zur Schwachstellenanalyse als gutartige Werkzeuge einsetzen Frage der Strafbarkeit ist für Dienstleister existenziell Mögliche Beeinträchtigung der Interessen von Arbeitnehmern Frage des Besitzes von Computersystemen, Software und Daten 8

9 18 Lösungsansätze: Rechtliche Hindernisse Umgang mit 202c StGB Stellungnahmen (1) BMJ verschickt Stellungnahmen zu konkreten Anfragen Beispiel: kismac.de European Expert Group for IT-Security (eicar): Leitfaden - Strafbarkeit beim Umgang mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität 19 Lösungsansätze: Rechtliche Hindernisse Umgang mit 202c StGB Stellungnahmen (2) BMJ verschickt Stellungnahmen zu konkreten Anfragen Beispiel: kismac.de Der in dem 41. Strafrechtsänderungsgesetz zur European Expert Group for IT-Security (eicar): Leitfaden Bekämpfung - Strafbarkeit beim der Umgang Computerkriminalität mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität vorgeschlagene 202c Abs. 1 Nr. 2 StGB sieht nicht per se ein Verbot für bestimmte Computerprogramme vor. Vielmehr sollen mit dem neuen 202c StGB bestimmte besonders gefährliche Vorbereitungshandlungen zu Computerstraftaten unter Strafe gestellt werden. Dabei ist sichergestellt, dass der gutwillige Umgang mit Computerprogrammen zur Sicherheitsüberprüfung von IT-Systemen nicht erfasst wird. 9

10 20 Lösungsansätze: Rechtliche Hindernisse Umgang mit 202c StGB Stellungnahmen (3) BMJ verschickt Stellungnahmen zu konkreten Anfragen Beispiel: kismac.de European Der so Expert genannte Group for Hackerparagraph IT-Security (eicar): lässt Leitfaden Sicherheitsexperten - Strafbarkeit beim Umgang genügend mit IT-Sicherheitstools Raum, Hackernach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität Werkzeuge zum Testen von Software-Exploits oder Lücken in Netzwerken einzusetzen. Voraussetzung dafür ist allerdings, dass die "gutartige Tätigkeit" ausführlich dokumentiert wird. Beim Angriff auf Unternehmensnetze muss obendrein das schriftliche Einverständnis der betroffenen Firma vorliegen. 21 Lösungsansätze: Rechtliche Hindernisse Umgang mit 202c StGB Praxisvorschläge (1) Sorgfalt im Umgang mit Hackertools und Malware Sichere Testumgebung (strenge Netztrennung, Verschlüsselung, stark eingeschränkter Zugriff, kunden-/ projektspezifische Firewallregeln) Ausschließlich interner Gebrauch vom Pen-Test-Team Regelmäßige Revision der Tools Ausführliche Dokumentation Übersicht über Herkunft, Einsatzgebiet und Beschaffungsdatum der Tools Protokollierung während des Einsatzes: Kunde, Zielnetze bzw. -systeme, Tester, Tool, Start, Ende Vertragliche Regelungen, Einwilligungserklärung 10

11 22 Lösungsansätze: Rechtliche Hindernisse Umgang mit 202c StGB Praxisvorschläge (2) Schriftliche Fixierung der Rahmenbedingungen Methode, Besonderheiten, Aggressivität Zielsysteme und Quellsysteme Zeitrahmen, Zeitfenster Ansprechpartner, Projektmitarbeiter, Notfallkontakte Einverständniserklärung des Auftraggebers Ausdrückliches Einverständnis mit der vereinbarten Methode (Simulation von Angriffen, Einsatz entsprechender Tools, Zugriff auf sensible Daten usw.) Ausdrückliche Legitimation von der Unternehmensleitung bis zur beauftragenden Stelle Bestätigung des AG über die Eigentümerschaft der Zielsysteme/ Programme/ Daten Bestätigung des AG über die Wahrung der Arbeitnehmerrechte Haftungsfreistellung des Auftragnehmers bei Zuwiderhandlung Geheimhaltungsvereinbarung Kann auch der Absicherung des Auftragnehmers dienen 23 Problemfeld: Kreativität Formalismus Formales und systematisches Vorgehen ist unabdingbar für: Vergleichbarkeit; Vollständigkeit; Nachvollziehbarkeit. Kreativität ist unabdingbar, da: Praxisnähe gefordert wird; jedes Projekt hochgradig individuell ist; ein Penetrationstest über einen Schwachstellenscan hinausgeht; nur darüber Experten-Know-How eingebracht werden kann. Nur die Kombination aus beiden Fähigkeiten führt zu aussagekräftigen Ergebnissen. 11

12 24 Lösungsansätze: Kreativität Formalismus Orientierungshilfen Formales und systematisches Vorgehen: BSI-Studie: "Durchführungskonzept für Penetrationstests" ISECOM: Open Source Security Testing Methodology Manual (OSSTMM) Kreativität: Projekterfahrung in möglichst vielen IT-Securitybereichen, sowohl technisch als auch organisatorisch Allround-Produktkenntniss, Protokollkenntnis, Skripting/ Coding Experimentierfreude, Praxis, Praxis, Praxis 25 Lösungsansätze: Kreativität Formalismus Beispiele B2B Transaktionsportal Internationale Großbank Nur Minimale Konfigurationsschwächen innerhalb der Serverdienste eigentlich sehr positives Testergebnis Aber: passender Java-Fat-Client bei lettischer Bank als Download erhältlich Damit: Protokollanalyse (French Café, Decompilierung) Protokollfuzzing DoS des Applikationservers International tätiger Automobilzulieferer Webserver mit interaktivem Produktkatalog DoS im Suchfeld: * Auftrag für Nachaudit: Problem behoben Aber: *** 12

13 26 Problemfeld: Aussagekraft Praxisnähe Beispiel IDS/IPS: 27 Problemfeld: Aussagekraft Praxisnähe Beispiel IDS/IPS: 13

14 28 Lösungsansätze: Aussagekraft Praxisnähe Technische Vorsorge Abwägende Parametrierung Einsatz von Anti-IPS-Techniken (schwer realisierbar) Projektvorbereitung: Detaillierte Absprachen Dokumentation des Ergebnisses, anschließend ggf. Abschaltung von Sicherheitsfeatures Oder: ausschließliche Dokumentation des Ist-Zustandes. 29 Problemfeld: Vollständigkeit/Tiefe Stabilität/Integrität Ziel des Auftraggebers: Möglichst vollständige Aufdeckung aller Schwachstellen Problem: Tests gefährden Stabilität (oft kaum vorhersehbar) Problem: Auftragnehmer erlangt Zugriff auf sensible Daten 14

15 30 Lösungsansätze: Vollständigkeit/Tiefe Stabilität/Integrität Genaue Absprache von Methodik und Aggressivität Benachrichtigung Notfallkontakt bei positiven Tests etc. Parametrierung der Testverfahren gemäß Vorgabe (Stichwort Warmduscher-Scan ) Umgang mit kritischen Situationen Definition von Notfallkontakten auf beiden Seiten r-tec Emergency-Stop-System Geheimhaltungsvereinbarung Wichtig: Umgang mit Daten nach Projektabschluss 31 Problemfeld: Plausibilität Professionalität Erwartungen des Auftraggebers: Ein Hacker kommt überall rein! Der Bericht darf die IT-Abteilung nicht in schlechtem Licht darstellen! Ein Pen-Test bringt 100%-ige Ergebnisse. Die Realität: Es gibt Tests die keinerlei Gefährdungspotenzial aufdecken. Es gibt Test, die sehr kritische Sicherheitslücken aufdecken. Testbericht: Der Ton macht die Musik 15

16 32 Lösungsansätze: Plausibilität Professionalität Keine Angriffsvektoren vorhanden: Minimales Verbesserungspotenzial findet (fast) sich immer Neuausrichtung des Projektes Veränderung der Rahmenbedingungen (Black-Box Grey-Box) Veränderung der Methoden (Social Engineering, Fishing) Bestätigung des hohen Sicherheitsniveaus Testbericht Gespür für die Erwartungen des Kunden ist gefragt Form und Stil kann angepasst werden Die Risikobewertung ist nicht verhandelbar Psychologische Effekte berücksichtigen (Ampelprinzip) 33 Umsetzung Vorgehensweise bei der r-tec 16

17 34 Penetrationstest: Vorgehensweise bei r-tec Phase I Phase II Phase III Phase IV Phase I: Phase II: Phase III: Phase IV: Vorbereitung passive Informationsbeschaffung und Vorbewertung aktive Untersuchungen und Eindringungsversuche (Tests) Bewertung und Analyse der Informationen sowie Risikoabschätzung 35 Ergebnis: Auswertung/ Report Inhalt Management Summary Beschreibung der Durchführung Technischer Bericht Gefährdungsbewertung Maßnahmeempfehlungen Individuell, kundenspezifisch, Zielbezogen 17

18 36 Zusammenfassung Penetrationstests sind hochgradig individuelle Projekte. Das Ergebnis ist stark von Know-How und Kreativität des Testers abhängig. Penetrationstests sind nur bedingt als Auditwerkzeuge geeignet. Penetrationstests sind jedoch geeignete Mittel zur Ermittlung des technischen Sicherheitsniveaus wenn der Ansatz einer informellen Risikobewertung ausreichend ist. 37 Willkommen in Sicherheit Vielen Dank für Ihre Aufmerksamkeit r-tec IT Systeme GmbH Engelsfeld Sprockhövel Deutschland Tel. +49 (23 39) Fax +49 (23 39)

r-tec SCHÜTZT INFORMATIONEN

r-tec SCHÜTZT INFORMATIONEN r-tec SCHÜTZT INFORMATIONEN SECURITY-CONSULTING GATEWAY-SECURITY ENDPOINT-SECURITY AUTHENTIFIZIERUNG SUPPORT-SERVICES IT-Projektmanagement nach ITIL / ITSM r.langer@r-tec.net....... 2010 r-tec IT Systeme

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT Security Investments 2003

IT Security Investments 2003 Grafische Auswertung der Online-Befragung IT Security Investments 2003 1) Durch welche Vorfälle wurde die IT-Sicherheit Ihres Unternehmens / Ihrer Organisation im letzten Jahr besonders gefährdet beziehungsweise

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

Einordnung, Zielsetzung und Klassifikation von Penetrationstests

Einordnung, Zielsetzung und Klassifikation von Penetrationstests Einordnung, Zielsetzung und Klassifikation von Penetrationstests Vortrag zur Vorlesung Sicherheit in Netzen Marco Spina 12 Jan 2005 1 Inhalt (1) Penetrationstest Definitionen Nach Bundesamt für Sicherheit

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

Willkommen in Sicherheit

Willkommen in Sicherheit Willkommen in Sicherheit Schützen Sie Ihr digitales Kapital Die weltweite digitale Vernetzung eröffnet Ihrem Unternehmen neue Märkte und Rationalisierungspotenziale. Sie macht Ihre Geschäftsprozesse flexibler,

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT 1 E-SEC ONLINE RISK ANALYSIS & MANAGEMENT Überprüfung der Personellen Informationssicherheit Ihres Unternehmens aussagekräftig, schnell und effektiv Änderungen vorbehalten, Stand: Jänner 2007 E-SEC INFORMATION

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

IT Security Dienstleistungen 1

IT Security Dienstleistungen 1 IT SECURITY DIENSTLEISTUNGEN Themen-Übersicht 1 Inhalt USP Security Framework Network Security Application Security Organisation Rollen Seite 2 2 USP Security Framework Network Security Application & System

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Einsatz und Umsetzung von Security Policies

Einsatz und Umsetzung von Security Policies Einsatz und Umsetzung von Security Policies Detlev Henze Geschäftsführer TÜV Secure it IT Security Day 2004 27. Mai 2004, München Inhalt TÜV Secure it Gemanagte IT-Security als Erfolgsfaktor für Unternehmen

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung

Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung Martin Mink Universität Mannheim 10. Deutscher IT-Sicherheitskongress des BSI Bonn, 23. Mai 2007 Vorstellung Lehrstuhl

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Security Audits - Fingerprinting

Security Audits - Fingerprinting Security Audits - Fingerprinting Analyse und Sicherheitsbewertung von Computersystemen und Netzwerken Autor: Dr. Klaus Schmoltzi Warp9 GmbH Rothenburg 14-16 48143 Münster Email: kontakt@warp9.de Datum:

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Willkommen in Sicherheit

Willkommen in Sicherheit Willkommen in Sicherheit Schützen Sie Ihr digitales Kapital Die weltweite digitale Vernetzung eröffnet Ihrem Unternehmen neue Märkte und Rationalisierungspotenziale. Sie macht Ihre Geschäftsprozesse flexibler,

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Technische Akademie Esslingen Ihr Partner für Weiterbildung. In Zusammenarbeit mit dem VDE-Bezirksverein Württemberg e.v. (VDE

Technische Akademie Esslingen Ihr Partner für Weiterbildung. In Zusammenarbeit mit dem VDE-Bezirksverein Württemberg e.v. (VDE TAE Technische Akademie Esslingen Ihr Partner für Weiterbildung In Zusammenarbeit mit dem VDE-Bezirksverein Württemberg e.v. (VDE Maschinenbau, Fahrzeugtechnik und Tribologie Mechatronik und Automatisierungstechnik

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

Sicherheit bei Internet- Kreditkartentransaktionen

Sicherheit bei Internet- Kreditkartentransaktionen Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

LEISTUNGSBESCHREIBUNG

LEISTUNGSBESCHREIBUNG Auditierung eines IT-Sicherheitsmanagement Systems Human Internet CONSULT AG Kirchschlager Weg 8 71711 Murr Version: 1.0 Datum: 2006 Seiten: 8 INHALTSVERZEICHNIS 1 AUSGANGSSITUATION...3 2 AUDITIERUNG EINES

Mehr

Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationssicherheit ein Best-Practice Überblick (Einblick) Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ IT-SECURITY-FORUM: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ 1 Aktuelle Lage 2 Bedrohungen für Unternehmen Welche Folgen können für Sie aus Datenpannen

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr

IT Security-Workshop Informationen Trainingszentrum Cyberabwehr!

IT Security-Workshop Informationen Trainingszentrum Cyberabwehr! IT Security-Workshop Informationen Trainingszentrum Cyberabwehr! Dauer des Workshops: 2 Tage Termin: 22. - 23. Juni 2016 Vorkenntnisse: Grundlagen Netzwerk und Interesse an neuen IT-Sicherheitsthemen Ziel

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Ihr Weg zu mehr Sicherheit

Ihr Weg zu mehr Sicherheit Ihr Weg zu mehr Sicherheit IT-Sicherheitsproblem Für IT-Sicherheit wird nicht genug getan, denn... Zwei von fünf Firmen sind pleite, wenn sie ihre Daten verlieren (CIO, 11/2001) Jährliche Steigerungsraten

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

BSI ICS-SECURITY-KOMPENDIUM

BSI ICS-SECURITY-KOMPENDIUM BSI ICS-SECURITY-KOMPENDIUM SICHERHEIT VON INDUSTRIELLEN STEUERANLAGEN Andreas Floß, Dipl.-Inform., Senior Consultant Information Security Management, HiSolutions AG 1 HiSolutions 2013 ICS-Kompendium Vorstellung

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

IT Security in der Praxis. Datensicherheit, Einbruchssicherheit, Rechtssicherheit. Carsten Fischer (Produkt Management)

IT Security in der Praxis. Datensicherheit, Einbruchssicherheit, Rechtssicherheit. Carsten Fischer (Produkt Management) IT Security in der Praxis Datensicherheit, Einbruchssicherheit, Rechtssicherheit Carsten Fischer (Produkt Management) Übersicht Wer ist die TELCO TECH GmbH? Sicherheitsprobleme in KMUs Elemente einer Lösung

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 21. März 2007 Technologieforum Telekommunikation IHK Aachen Februar 2007: Agenda Verfassungsschutz:

Mehr

Datenschutz und Informationssicherheit 03.09.2015

Datenschutz und Informationssicherheit 03.09.2015 Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Systema Datentechnik Firmenüberblick

Systema Datentechnik Firmenüberblick Systema Datentechnik Firmenüberblick IT-Sicherheitsaudit Late-Afternoon-Forum 2014 06.11.2014, Baden-Dättwil Dipl.-Ing. (FH) Sten Kalleske Bereichsleiter SEC SEC IT-Sicherheit betrifft Jeden Systema erarbeitet

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

Aktuelle Bedrohungslage

Aktuelle Bedrohungslage Aktuelle Bedrohungslage Seite 1 Seite 2 Waltenhofen Neuss Wiesbaden Waltenhofen Neuss Wiesbaden Security Webinar Der Weg zu Ihrem ganzheitlichen Security-Konzept in 6 Schritten Die nachfolgende Ausarbeitung

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Raiffeisen Informatik Tätigkeitsfeld Security Competence Center Zwettl Datensicherheit Gesetzliche Anforderungen Angriffsvektoren

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen IT Kongress, Frankfurt/Main Hans Joachim Giegerich Giegerich & Partner GmbH Christian Schülke schuelke.net internet.security.consulting

Mehr

Vorwort Organisationsrichtlinie IT-Sicherheit

Vorwort Organisationsrichtlinie IT-Sicherheit Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Wechselwirkungen. zwischen Sicherheit/Betrieb und Energiemanagement. Robert HELLWIG, mikado ag

Wechselwirkungen. zwischen Sicherheit/Betrieb und Energiemanagement. Robert HELLWIG, mikado ag Wechselwirkungen zwischen Sicherheit/Betrieb und Energiemanagement Robert HELLWIG, mikado ag Berlin, den 8. Juli 2014 AGENDA Kurze Erlebnisreise in die Welt der mikado ag Wechselwirkungen Fragen/Diskussion

Mehr

Der IT Security Manager

Der IT Security Manager Edition kes Der IT Security Manager Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden Bearbeitet von Heinrich Kersten, Gerhard Klett 4. Auflage 2015.

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick

IT-Schwachstellenampel: Produktsicherheit auf einen Blick Fotolia Andrew Ostrovsky IHK-INFORMATIONSVERANSTALTUNG: IT-SICHERHEIT: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick 1 Aktuelle Lage 2 Bedrohungen für

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Livehacking ego Saar 2008

Livehacking ego Saar 2008 Livehacking ego Saar 2008 24.06.2008 Mark Semmler Security Services l Tel: +49. 6151. 428568 l E-mail: kontakt_mse@mark-semmler.de Mark Semmler Security Services l Tel: +49. 6151. 428568. 0. 0 l E-mail:

Mehr

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISIS 12 Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISIS12 Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor Security Excellence Der psychologische

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

ITIL Trainernachweise

ITIL Trainernachweise ITIL Trainernachweise Allgemein: Akkreditierung als ITIL -Trainer für Foundation, Service Strategy, Service Design, Service Transition, Service Operation, CSI, Managing across the Lifecycle (MALC) Akkreditierung

Mehr

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved Agenda Web-Anwendungen als schwächstes Glied für Angriffe aus dem Internet Bewertung gängiger Standards und Normen von Web-Anwendungen BSI-Standards 100-1, 100-2 und IT-Grundschutz BSI-Studie ISi-Web:

Mehr

"So schützen Sie sich" Sicherheit in der Informationstechnologie

So schützen Sie sich Sicherheit in der Informationstechnologie 1 "So schützen Sie sich" Sicherheit in der Informationstechnologie Stuttgart, 30. Januar 2002 Christian Emmerich Tel: +49 172 713 8886 EMail: christian.emmerich@de.ibm.com 2 Agenda Business Consulting

Mehr

IT Security / Mobile Security

IT Security / Mobile Security lcs ] Security computersyteme Lösungen für Unternehmen IT Security / Mobile Security Im Zuge der globalisierten Vernetzung und der steigenden Zahl mobiler Nutzer wird der Schutz der eigenen IT-Infrastruktur,

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 08. Dezember 2006 Laptop: Tragbarer, zeitweilig netzunabhängiger Computer mit einem klappbaren,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

Mit Sicherheit... SEITE - 1. www.lippedv.de

Mit Sicherheit... SEITE - 1. www.lippedv.de Mit Sicherheit... computersyteme Lösungen für Unternehmen SEITE - 1 Leistungen Im Überblick... unsere Leistungen _ kostenfreies Beratunggespräch mit Systemanalyse _ individuelle Vor-Ort-Betreuung _ Fernwartung

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Unternehmensvorstellung

Unternehmensvorstellung Unternehmensvorstellung Stand zum 14. September 2010 If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology - Bruce Schneier

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

SICHERHEITSANFORDERUNGEN BEI DER EINFÜHRUNG VON INDUSTRIE 4.0

SICHERHEITSANFORDERUNGEN BEI DER EINFÜHRUNG VON INDUSTRIE 4.0 SICHERHEITSANFORDERUNGEN BEI DER EINFÜHRUNG VON INDUSTRIE 4.0 Dr. Martin Hutle Zielsetzung des Projekts Erstellung eines Praxisleitfadens Sicherheitsanforderungen für die Einführung von Industrie 4.0 im

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr