Qualitätssicherung in SAP HCM Eigenentwicklungen
|
|
- Ruth Weber
- vor 6 Jahren
- Abrufe
Transkript
1 TITEL bearbeiten Thomas Kastner (Managing Director, Virtual Forge) Dr. Markus Schumacher Qualitätssicherung in SAP HCM Eigenentwicklungen Kundeninformationstag von HCM Experts, 19. Juni 2012, Heidelberg Virtual Forge GmbH All rights reserved.
2 AGENDA TITEL bearbeiten 1. Angriffs-Verteidigungs-Layer Click to edit Master text styles 1: SAP Basis und generelle SAP Einstellungen 2. Angriffs-Verteidigungs-Layer 2: Berechtigungskonzept 3. Angriffs-Verteidigungs-Layer 3: 4. ABAP Code Sicherheit & Compliance 5. Angriffs-Verteidigungs-Layer 4: (Spezielle) Architektur Themen im HR (SAP erec, 360-Feedback, Talent bspw. Success Factors u.a.)
3 AGENDA TITEL bearbeiten Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen
4 AGENDA TITEL bearbeiten Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen
5 TITEL Evolution bearbeiten der Angreifer Skriptkiddie geringes eigenes Know-how arbeitet mit Copy & Paste und nutzt vorhandene Anleitungen, Programme, Tools etc. um z.b. in fremde Computersysteme einzudringen oder Schaden anzurichten beliebige Angriffsziele Motivation: i.d.r. Anerkennung
6 TITEL Evolution bearbeiten der Angreifer Professionelle Angreifer hohe Fachkompetenz verfügen über entsprechende Ressourcen (Zeit, Geld etc.) gezielte Angriffe (z.b. Stuxnet, Flame, Anonymous) häufig auch Innentäter Motivation: Industriespionage, Sabotage, Verschaffung von Vorteilen
7 TITEL Unternehmen bearbeiten als Ziel von IT-Angriffen Quelle: Best Practice, Das Kundenmagazin von T-Systems, Ausgabe , S. 44.
8 TITEL Angriffsoberfläche bearbeiten von SAP -Systemen Direct UIs SAP GUI BSP Integrated ITS Web Dynpro ABAP SAP ABAP System DB PI ABAP Code Files RFC Web Services JCO Indirect UIs 3rd party Java applications J2EE / Portal Web Dynpro Java Quelle: Wiegenstein, A., Dr. Schumacher, M., Schinzel, S. und Weidemann, F.: Sichere ABAP TM -Programmierung, S. 57. External systems Stand-alone ITS SAP System Non-SAP System
9 AGENDA TITEL bearbeiten Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen
10 60 Seconds #1 Angriffe über das SAP TITEL bearbeiten - Gateway Szenario Angreifer startet mit einem simplen Skript als SIDADM direkt Kommandos auf einem SAP -Server Manipulation von SAP-Profilen Ausführung von SQL-Kommandos Ursachen Ungeschützte und / oder falsch konfigurierte SAP-Gateways Fehlende Firewalls Risiken Komplette Zerstörung des angegriffenen SAP-Systems Einbau von Hintertüren und Trojanern
11 60 Seconds #2 Binary Payload Angriffe TITEL bearbeiten via PDF Szenario Angreifer nutzt Binary PDF Content um seine SAP Attack Payload zu verteilen Verteilung per Mail, Download im Web, USB etc. Ziel: Lesen oder Änderung der saplogon.ini (für Beispiel #3) Ursachen Adobe PDF erlaubt im Standard das Einbetten von Programmen in PDF-Dokumenten Warnmeldungen werden von Anwendern häufig ignoriert Risiken Manipulation lokaler Dateien (saplogon.ini) RFC-Attacken auf das SAP-Gateway Kompletter Kontrollverlust über das angegriffene SAP-System
12 TITEL 60 Seconds bearbeiten #3 SAP GUI Sniffing Szenario Angreifer tauscht saplogon.ini aus und lässt die Daten der SAP GUI über seinen Proxy laufen Angreifer kann alle Daten im Proxy lesen und ändern (wie z.b. Passwort, Konto) Ursachen SAP GUI Datenstrom ist lediglich gepackt und nicht verschlüsselt wenige SAP-Kunden setzen SNC-Verschlüsselung ein Risiken Auslesen von SAP-Kennwörtern Manipulation von Buchungen Kompletter Kontrollverlust über das angegriffene SAP-System
13 60 Seconds #4 Angriffe über unsicheren TITEL bearbeiten ABAP TM -Code Szenario Entwickler und / oder Angreifer versteckt eine Hintertür in unverdächtigem ABAP- Code (z.b. bei Eigenentwicklungen) Backdoor enthält Editor, Programmaufruf etc. Angreifer ändert Transaktion SU53, so dass bei sy-uname = Angreifer die Ursachen Backdoor aufgerufen wird ABAP ist eine Interpreter-Sprache und kann nicht wirklich gegen Code-Änderungen geschützt werden (Hard Lock) Risiken Datenmanipulation, Datenverlust, Sabotage Kompletter Kontrollverlust über das angegriffene SAP -System
14 TITEL 60 Seconds bearbeiten #5 SQL Injection Szenario Angreifer manipuliert SQL-Abfragen in Reports oder Webanwendungen durch SQL Injection Ursachen Verwendung von Native SQL oder Verwendung dynamischer WHERE-Bedingungen in OPEN SQL Risiken Unberechtigter Zugriff auf Daten im SAP -System
15 AGENDA TITEL bearbeiten Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen
16 Ansatzpunkte zur Verbesserung der TITEL bearbeiten Sicherheit von SAP -Systemen Technische Maßnahmen SAP Security Patch Day! Änderung aller Standard-Passwörter (SAP, DB, OS) Absicherung von SAP-Gateways und RFCs Restriktive Vergabe von Berechtigungen (S_RFC, S_TABU_DIS etc.) Sichere ABAP TM -Programmierung (Vorgaben, Ausbildung, Enforcement) Sichere Transportwege OS und DB Hardening Ständige Aktualisierung der SAP-Software / Einspielen von SAP Security Patches Nutzung von SNC (wird im Standard ausgeliefert) / SAP GUI Verschlüsselung Netzwerkabsicherung, PC-Schutz
17 Ansatzpunkte zur Verbesserung der TITEL bearbeiten Sicherheit von SAP -Systemen Unternehmenskultur Awareness für SAP -Sicherheit schaffen (z.b. durch Workshops) Training (Entscheider, Entwickler, Administratoren, Anwender) Organisation SAP-Sicherheit in relevante Unternehmensprozesse integrieren Schaffung verbindlicher Unternehmensstandards Compliance SAP-Sicherheit zur Vorgabe in Projekten machen Prüfung der Einhaltung der Unternehmensvorgaben (sofern möglich mit Werkzeugen) SAP-Sicherheit in den Audit-Plan aufnehmen
18 TITEL Welche bearbeiten Fragen haben Sie? Kontakt: Thomas Kastner Weitere Informationen: Website: Artikel Sicherheitslücken und Hintertüren im ABAP-Code (Link) Artikel Mit Schwachstellen umgehen und sie unter Kontrolle halten (Link) KuppingerCole Product Research Note zum Virtual Forge CodeProfiler (Link) Produktbroschüre Virtual Forge CodeProfiler (Link) SAP-Whitepaper Secure Configuration of SAP NetWeaver AS ABAP Besuchen Sie uns:
Breaking Your SAP in 60 Seconds Sicherheitslücken und Schwachstellen erkennen & beheben
22. und 23. Februar 2012, NürnbergConvention Center Breaking Your SAP in 60 Seconds Sicherheitslücken und Schwachstellen erkennen & beheben 23. Februar 2012, AK Identity Management & Security Dr. Markus
MehrSicherheit & Compliance von SAP -Systemen
TITEL bearbeiten Dr. Markus Schumacher Dr. Markus Schumacher Sicherheit & Compliance von SAP -Systemen 2011 2012 Virtual Forge GmbH www.virtualforge.com All rights reserved. AGENDA TITEL bearbeiten Sicherheit
MehrBenchmark: Sicherheitslücken & Compliance-
Peter Werner TITEL bearbeiten Dr. Markus Schumacher Benchmark: Sicherheitslücken & Compliance- Risiken Click to im edit ABAP-Code Master text styles von SAP-Anwendungen 2011 2012 Virtual Forge GmbH www.virtualforge.com
Mehrzur Erstellung von Präsentationen
Dr. Markus Schumacher Dr. Markus Schumacher PPT Sicher Masterfolie werden, sicher bleiben Schwachstellen im ABAP TM -Code nachhaltig korrigieren Sicher werden: Automatische Korrekturen Die größte Hürde
MehrSicherheit von SAP -Systemen aus Hackersicht
3 2 1 SAP_ALL! Sicherheit von SAP -Systemen aus Hackersicht Dr. Markus Schumacher Virtual Forge GmbH Ralf Kempf akquinet Enterprise Solutions GmbH Agenda SAP im Visier von Hackern (Forts.) #3 Meine Hintertür
MehrDaniel Schalberger, SySS GmbH 1. Typische Schwachstellen im Online-Handel, Prävention. Dipl. Inform. Daniel Schalberger, Syss GmbH
11.12.2012 Daniel Schalberger, SySS GmbH 1 LIVE-HACKING, Typische Schwachstellen im Online-Handel, Prävention Dipl. Inform. Daniel Schalberger, Syss GmbH 11.12.2012 Daniel Schalberger, SySS GmbH 2 Daniel
Mehr(3) (2) (1) (SAP_ALL)
TITEL Andreas Wiegenstein bearbeiten Dr. Markus Schumacher (3) (2) (1) (SAP_ALL) Webinar Click DSAG to AK edit Professional Master Services text - 29.11.2012 styles 2011 2012 Virtual Forge GmbH www.virtualforge.com
MehrEin Angebot von DYNACON & LOG 2" Security-Check Ihrer SAP-Systeme" DR. STEFAN JUNGINGER & HOLGER STUMM! München, Juli 2016!
Ein Angebot von DYNACON & LOG 2" Security-Check Ihrer SAP-Systeme" DR. STEFAN JUNGINGER & HOLGER STUMM! München, Juli 2016! Angriffswege zu Ihren SAP-Systemen" Partner! Kunden! non-! SAP! SAP! SAP! SAP!
MehrDer Weg zu einem sicheren SAP System
Virtual Forge GmbH Der Weg zu einem sicheren SAP System Patrick Boch SAP Sicherheit Picture of Rolls Royce Oldtimer Agenda IST-Situation analysieren Sicherheitsanforderungen definieren Systemlandschaft
MehrBenchmarking ABAP-Code-Qualität Sicherheitslücken und Schwachstellen in Eigenentwicklungen
Benchmarking ABAP-Code-Qualität Sicherheitslücken und Schwachstellen in Eigenentwicklungen Frederik Weidemann Head of Consulting Virtual Forge GmbH Axel Allerkamp Leiter Security Analyse und Test Axel
MehrCnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?
Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen
MehrWebapplikations-Sicherheit: Erfahrungen aus der Praxis. Stefan Hölzner, Jan Kästle 26.01.2010
Webapplikations-Sicherheit: Erfahrungen aus der Praxis Stefan Hölzner, Jan Kästle 26.01.2010 Agenda Schwachstellen: die Ursachen Angriffstechniken aus der Praxis root-access in 20 Schritten 2 Schwachstellen:
MehrSAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme
SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen
MehrSAP Anwendungen im Visier von Hackern Angriffsszenarien und Schutzkonzepte
Dr. Markus Schumacher Dr. Markus Schumacher SAP Anwendungen im Visier von Hackern Angriffsszenarien und Schutzkonzepte INHALT SAP Anwendungen im Visier von Hackern 1. Schutz der Kronjuwelen SAP Systeme
MehrInhalt. Einführung RFC-Funktionsbausteine in ABAP Funktionsbausteine zum Lesen Aufruf per srfc 108
Einführung 13 3 1.1 SAP NetWeaver Application Server 17 1.1.1 SAP-Lösungen und SAP NetWeaver 18 1.1.2 SAP NetWeaver Application Server ABAP 20 1.1.3 SAP NetWeaver Application Server Java 34 1.2 Sicherheit
MehrSichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen
Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für
MehrSchon mal gehackt worden? Und wenn nein woher wissen Sie das?
Andreas Tomek CISSP,CISA,MCSE,MCITP,CPTS, CISA MCITP CPTS AMBCI Security Research Sicherheitsforschung GmbH atomek@securityresearch.at yresearch.at Schon mal gehackt worden? Und wenn nein woher wissen
MehrSAP Penetrationstest. So kommen Sie Hackern zuvor!
SAP Penetrationstest So kommen Sie Hackern zuvor! TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz
MehrTechnik der SAP-Anbindung Christian Aigner Team Entwicklung, Kranzberg
Christian Aigner Team Entwicklung, Kranzberg Inhalt Schnell- und Kürzestübersicht über SAP Architektur Inhalt, Login, Session SapGUI Workbench,Editor,Explorer Mechanismen Die Gemeinsamkeiten: nutzbare
MehrSecurity: Inhouse Hacker Wie der Angreifer denkt
Security: Inhouse Hacker Wie der Angreifer denkt Der etwas andere Security Vortrag 04.06.2016 Titel der Präsentation Markus Petzold Markus Petzold Ostsächsische Sparkasse Dresden Notes-Administrator knapp
MehrSichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen. OWASP Nürnberg, 13.10.09
AppSec Germany 2009 AppSec Germany 2009 Conference http://www.owasp.org/index.php/germany Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Nürnberg, 13.10.09 Sebastian
MehrBusiness Collaboration
Hochschule für Technik und Wirtschaft (FH) University of Applied Science Workshop 1 Business Collaboration Betreuer: Prof. Dr. H. Beidatsch Teamleiter: Erik KöhlerK Team: Ivonne Heber, Christian Lenk,
MehrHANA CLOUD CONNECTOR
Systemnahe Anwendungsprogrammierung und Beratung GmbH A-1030 Wien, Kölblgasse 8-10/2.OG (Hoftrakt) www.snapconsult.com Tel. +43 1 617 5784 0 Fax +43 1 617 57 84 99 HANA CLOUD CONNECTOR Seite 2 von 9 INHALTSVERZEICHNIS
MehrHowto. Konfiguration eines Adobe Document Services
Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...
Mehr(3) (2) (1) (SAP_ALL)
Andreas Wiegenstein Xu Jia (3) (2) (1) (SAP_ALL) Sicherheit und Prüfung von SAP Systemen 13. und 14. September, Hamburg (3) SAP Audits und Eigenentwicklungen (2) Sicherheitsrisiken in ABAP (1) Prüfung
MehrDepartement Wirtschaft. IT Forensics in action against malicious Software of the newest generation
Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer
MehrMOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!
MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! Oliver Steinhauer Sascha Köhler.mobile PROFI Mobile Business Agenda MACHEN SIE IHRE ANWENDUNGEN MOBIL?! HERAUSFORDERUNG Prozesse und Anwendungen A B
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrEinführung SSO bei Hero. Marc Wagener, Hero / Carsten Olt, SECUDE June 12, 2013
Einführung SSO bei Hero Marc Wagener, Hero / Carsten Olt, SECUDE June 12, 2013 Agenda Kurzvorstellung Hero AG Was ist SSO? Zielstellung- und Technologieauswahl Gründe für SSO Lösungskomponenten- und Authentifizierungsablauf
MehrSAP und die Cloud. Prof. Dr. Sachar Paulus - Studiendekan Security Management September 2012
SAP und die Cloud Prof. Dr. Sachar Paulus - Studiendekan Security Management September 2012 SAP und die Cloud Zur Person Cloud = was? Sicherheit in der Cloud SAP s Cloud Historie Aktuelle Angebote Chancen
MehrSind Cloud Apps der nächste Hype?
Java Forum Stuttgart 2012 Sind Cloud Apps der nächste Hype? Tillmann Schall Stuttgart, 5. Juli 2012 : Agenda Was sind Cloud Apps? Einordnung / Vergleich mit bestehenden Cloud Konzepten Live Demo Aufbau
MehrHow to hack your critical infrastructure
How to hack your critical infrastructure Was kann man aus den Angriffen der Vergangenheit lernen? IT-SecX - 4.11.2016 Thomas Bleier t@b-sec.net +43 664 3400559 B-SEC better secure KG https://www.b-sec.net/
MehrSchützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015
Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise Matthias Kaempfer April, 20 2015 Ganzheitlicher SAP Sicherheitsansatz Detect attacks Secure infrastructure Security processes and awareness
Mehrisicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand
isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software
MehrGood Dynamics by Good Technology. V1.1 2012 by keyon (www.keyon.ch)
Good Dynamics by Good Technology eberhard@keyon.ch brunner@keyon.ch V1.1 2012 by keyon (www.keyon.ch) 1 Über Keyon Experten im Bereich IT-Sicherheit und Software Engineering Als Value added Reseller von
MehrAuf einen Blick. 1 Risiko- und Bedrohungsanalyse für SAP-Systeme Eine Sicherheitsstrategie entwickeln... 53
Auf einen Blick 1 Risiko- und Bedrohungsanalyse für SAP-Systeme... 25 2 Eine Sicherheitsstrategie entwickeln... 53 3 SAP-Sicherheit Standards und aktuelle SAP-Werkzeuge... 79 4 Netzwerksicherheit herstellen...
MehrCyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity
Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity BEISPIELE WELTWEIT ERFOLGREICHER CYBER- ANGRIFFE JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen
MehrIdentity & Access Management in Extranet Portal Projekten
Identity & Access Management in Extranet Portal Projekten November 2007 Kontakt: Udo Hochstein CGI GROUP INC. All rights reserved _experience the commitment TM Agenda Einleitung Referenzszenario Referenzarchitektur
MehrPrinter Hacking. Drucker als Einfallstor für Datendiebe
Printer Hacking Drucker als Einfallstor für Datendiebe Marc Breitenstein, HP JetAdvantage Solution Specialist Gary Buser, HP JetAdvantage Solution Architect 1 Risiko einer ungesicherten IT - Umgebung Markt
MehrAktuelle Bedrohungen im Internet
Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung
MehrBaustein Webanwendungen. Stephan Klein, Jan Seebens
Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische
MehrDigitale Risiken und Schadenszenarien. Die deutsche Perspektive
Digitale Risiken und Schadenszenarien Die deutsche Perspektive Robin Kroha Director Corporate Security Management HiSolutions AG http://hisolutions.com/ Vertrauliche Informationen können in Minuten zu
MehrSAP Solution Manager Segen oder Fluch für die Sicherheit Ihrer SAP-Systeme? Ralf Kempf Ralf Kempf
SAP Solution Manager Segen oder Fluch für die Sicherheit Ihrer SAP-Systeme? Ralf Kempf Ralf Kempf akquinet AG Agenda Agenda Über Akquinet SAP Solution Manager: Single point of control? Aus dem echten Leben:
MehrDatenbanksicherheit Überwachung und Kontrolle. Dr. Ing. Oriana Weber 07/06/2011
Datenbanksicherheit Überwachung und Kontrolle Dr. Ing. Oriana Weber 07/06/2011 Agenda Leitfragen Warum sind Datenbanken attraktive Ziele? Klassifizierung von DB Sicherheitsrisiken Die Komplexität der Steuerung
MehrCompass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona. T +41 55 214 41 60 F +41 55 214 41 61 team@csnc.ch www.csnc.ch
Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona T +41 55 214 41 60 F +41 55 214 41 61 team@csnc.ch www.csnc.ch Cyber Alpen Cup 2013 11. November 2013 Inhaltsverzeichnis 1 CYBER ALPEN CUP
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrSoftwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer
Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten
MehrSicheres SAP E-Recruiting
- viel mehr als ein Berechtigungsknzept Praxisbericht über das Security Audit bei Rhde & Schwarz Reza Farrkhzadian Geschäftsführer HCM EXPERTS GMBH WIR SCHLAGEN BRÜCKEN ZWISCHEN HR UND IT. Agenda 1 2 3
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrSichere Webapplikationen mit ISO 27001: Secure Coding Policy
Sichere Webapplikationen mit ISO 27001: Secure Coding Policy Johannes MARIEL 14. April 2010 www.brz.gv.at Vertraulichkeit: öffentlich Der IKT-Dienstleister des Bundes Bundesrechenzentrum Der IKT-Dienstleister
MehrÜber mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Bonn
Über mich Diplom-Informatiker und selbständiger Web-Entwickler WordPress-Wartung und WordPress-Sicherheit @marcnilius oder @wpsicherheit https://www.wp-wartung24.de Co-Organizer diverser Meetups und WordCamps
MehrDie Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant
Die Kunst des Krieges Parallelen zu Cybercrime Michael Simon, Security Consultant Die größte Verwundbarkeit ist die Unwissenheit. Quelle: Sun Tzu, Die Kunst des Krieges 2 Agenda Kenne Dich selbst Schwachstelle,
MehrWer bin ich? Senior Consultant Enterprise Mobility. MVP Cloud and Datacenter Management
Wer bin ich? Senior Consultant Enterprise Mobility MVP Cloud and Datacenter Management Kontaktmöglichkeiten Twitter: @Dieter_Rauscher Blog: blog.dieter.rauscher.de/it/ Agenda Herausforderungen an die Mobilität
MehrDatenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke
Datenschutztag Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke 1. Website Security Gliederung 2. Viren, Trojaner & Antivirensoftware 3. Phishing & Gefahren des World Wide
MehrMichael Kretschmer Managing Director DACH
Michael Kretschmer Managing Director DACH Information Value Protection Schützen Sie die Informationswerte Ihres Unternehmens! Clearswift 350+ Mitarbeiter: HQ in UK und Niederlassungen in Australien, Deutschland,
MehrKombinierte Attacke auf Mobile Geräte
Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware
MehrIntegrieren Sie Excel und SAP ohne Programmierung. Webinar Q&A. 29. Januar 2015
Integrieren Sie Excel und SAP ohne Programmierung Webinar Q&A 29. Januar 2015 Eignet sich das Konzept auch für HCM Infotypen? Infotypen lassen sich sehr gut aufzeichnen. Wir haben viele Kunden die Winshuttle
Mehr7HVWHQYRQ6$3$QZHQGXQJHQPLWGHP([WHQGHG &RPSXWHU$LGHG7HVW7RROH&$77
7HVWHQYRQ6$3$QZHQGXQJHQPLWGHP([WHQGHG &RPSXWHU$LGHG7HVW7RROH&$77 (LQOHLWXQJ Mit der SAP Testworkbench und dem Testtool ecatt können Anwender von SAP Software auf Basis des SAP Web Application Servers ab
MehrWindows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH
Windows Azure für Java Architekten Holger Sirtl Microsoft Deutschland GmbH Agenda Schichten des Cloud Computings Überblick über die Windows Azure Platform Einsatzmöglichkeiten für Java-Architekten Ausführung
MehrOpen for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH
Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)
MehrInternet für Fortgeschrittene
Internet für Fortgeschrittene Uwe Koch VHS @ Uwe-Koch.de Folie 1 Kurs-Inhalt Wie wird Windows sicherer Wie wird der Internet-Zugang sicherer Wie lassen sich Viren vermeiden Wie lassen sich 0190-Dialer
MehrVerteidigungsmaßnahmen gegen SQL Injection
16. Cyber-Sicherheits-Tag, 21. Februar 2017, Hamburg Verteidigungsmaßnahmen gegen SQL Injection CAITA Sachverständigenbüro für IT Infrastruktur und IT Security, Lüneburg Master IT Architect, CISSP und
MehrModerne APT-Erkennung: Die Tricks der Angreifer
Moderne APT-Erkennung: Die Tricks der Angreifer CeBIT 2016, 16.03.2016 Ihr Referent: Dominique Petersen petersen [at] finally-safe.com Halle 6, Stand G30 Agenda Wer ist finally safe? Advanced Persistent
Mehr14.05.2013. losgeht s
losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank
MehrCompliance mit dem IEM Endpoint Manager durchsetzen
Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit
MehrWannaCry again? Nicht mit Check Point SandBlast! Monika Mitterer - Channel Manager Check Point Software Technologies Ltd.
WannaCry again? Nicht mit Check Point SandBlast! Monika Mitterer - Channel Manager 2017 Check Point Software Technologies Ltd. 1 Die Gefahren und Angriffe steigen täglich und werden jedes Jahr AUSGEKLÜGELTER
MehrCYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL
CYBER SECURITY@DEUTSCHE TELEKOM DR. MARKUS SCHMALL BEISPIELE WELTWEIT ERFOLGREICHER CYBER-ANGRIFFER JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen Softwareentwicklern wurden infiziert
MehrPHP Sicherheit für Administratoren
PHP Sicherheit für Administratoren 3. Erlanger Linuxtage 15.01.2005 / meindlsoft PHP Sicherheit: Agenda Agenda Motivation Teil 1: Teil 2: en Teil 3: Aufgaben des Administrators: sichere Arbeitsumgebung
MehrMarc Skupin Werner Petri. Security Appliances
There s s a new kid in town! Marc Skupin Werner Petri Security Appliances tuxgate Ein Saarländischer Hersteller Wer ist? Sicherheit, warum? Wieviel Sicherheit? tuxgate Security Appliances tuxgate 1998
MehrMOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)
MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform 02 PROFI News
MehrAttachmate Luminet Enterprise Fraud Management
See it, record it, analyse it! Effiziente Fraud Prävention und Erfüllung von Compliance Richtlinien Attachmate Luminet Enterprise Fraud Management Nürnberg, 18.10.2012 Joachim Stampfl Director Technical
MehrGuiXT und mysap ERP. Regensdorf, April 2004 Dr.Gerhard Rodé, Synactive GmbH
GuiXT und mysap ERP Regensdorf, April 2004 Dr.Gerhard Rodé, Synactive GmbH Hinweis: Einige Aussagen und Diagramme zu den SAP Produkten in dieser Präsentation stammen aus den von SAP im Internet zur Verfügung
MehrSAP Installation auf Windows Server 2008 R2 Enterprise
Inhalt Basisinfos: Hard- Softwareumgebung, Speicherbedarf, Installdauer Seite 2 Lokale Sicherheitsrichtlinien Seite 3 Hostname, IP- Adresse Seite 4 MS - SQL Server 2005 installieren Seite 5 MS - SQL Server
MehrWas sind die größten IT-Sicherheitsherausforderungen?
Was sind die größten IT-Sicherheitsherausforderungen? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
MehrRisiken im ABAP-Code zuverlässig und
TITEL Peter Werner bearbeiten Dr. Markus Schumacher Risiken im ABAP-Code zuverlässig und schnell Click to aufdecken edit Master text & dokumentieren styles 2011 2012 Virtual Forge GmbH www.virtualforge.com
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrEinsatz von Scalable Vector Graphics (SVG) zur Modellrepräsentation und -manipulation in Web-Anwendungen mit J2EE. Motivation und Zielsetzung
Einsatz von Scalable Vector Graphics (SVG) zur Modellrepräsentation und -manipulation in Web-Anwendungen mit J2EE www.arsnova.de Java Forum Stuttgart, 01. Juli 2004 1 Agenda SVG als Lösungsansatz SVG/J2EE-Technologiestudie
Mehrzur Erstellung von Präsentationen
Andreas Wiegenstein Dr. Markus Schumacher PPT Compliance-Risiken Masterfolie im ABAP Code Sicherheit und Prüfung von SAP Systemen, 15. - 16. September, Hamburg Disclaimer Dieser Vortrag zeigt Sicherheitsrisiken
MehrInformationssicherheit in Unternehmen Worum geht es und worauf kommt es an?
Informationssicherheit in Unternehmen Worum geht es und worauf kommt es an? 53. ITS Techno-Apéro, 20.6.2016 Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW School of Engineering
MehrMit CodeProfiler effizient und schnell Qualitätsdefizite in Ihrem ABAP Code aufdecken
Dr. Markus Schumacher Dr. Markus Schumacher Mit CodeProfiler effizient und schnell Qualitätsdefizite in Ihrem ABAP Code aufdecken INHALT SAP Anwendungen im Visier von Hackern 1. Schutz der Kronjuwelen
MehrIT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.
IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation
MehrCodeMeter Technologie
CodeMeter Technologie Schutz und Lizenzierung CODESYS Webinar 15. Oktober 2013 Stefan Bamberg Senior Key Account & Partner Manager stefan.bamberg@wibu.com Seite 1 Überblick Seite 2 Aus der Sicht des Anbieters
MehrInhalt. Vorwort 13. L.., ',...":%: " j.
Inhalt Vorwort 13 L.., ',...":%: " j. 1. '-.:. ' " '.!. \, : - '. - * T '. ; - J A '.. ' I '",. - ' :'. ",..! :'. " ','. '.. ' t i ' ~ J \ I -.. I. j ' - ' V "!» " J f i " 1 1 * V. " ^ ' ' ' -.» ; ' ',
MehrWie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?
APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.
MehrSAP Integration von Business Objects am Beispiel von SAP Student Lifecycle Management. Anke Noßmann Syncwork AG
SAP Integration von Business Objects am Beispiel von SAP Student Lifecycle Management Anke Noßmann Syncwork AG SAP HERUG Partnertag, Berlin 06. November 2009 Inhalt 1. Ausgangssituation 2. Alternative
MehrSoftwaresicherheit. Eine Präsentation von Benedikt Streitwieser und Max Göttl. Einführung Kryptographie und IT-Sicherheit
Softwaresicherheit Eine Präsentation von Benedikt Streitwieser und Max Göttl Einführung Kryptographie und IT-Sicherheit Gliederung Einleitung: Was ist Softwaresicherheit Populäre Beispiele Anforderungen
MehrReale Angriffsszenarien - Überblick
IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrIT-Security Herausforderung für KMU s
unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/
MehrSicherheitskonzepte in Zeiten von Google, Stuxnet und Co.
Sicherheitskonzepte in Zeiten von Google, Stuxnet und Co. Carsten Hoffmann Presales Manager City Tour 2011 1 Sicherheitskonzepte in Zeiten von Epsilon, RSA, HBGary, Sony & Co. Carsten Hoffmann Presales
MehrAktuelle Sicherheitsprobleme im Internet
Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt
Mehrit-sa Sicherheit SAP HANA Konstantin Gork IBS Schreiber GmbH
it-sa Sicherheit SAP HANA Konstantin Gork IBS Schreiber GmbH 1 SAP HANA EINLEITUNG 2 Das SAP-System - unendliche Möglichkeiten SAP ERP Kunden Lieferanten Kostenstellen SAP CRM Kunden Konditionen Aufträge
MehrOWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke
OWASP IDEAS Information & Design Applications O WA S P O WA S P WA S ist Web Application Security? Part I: Web Application Security Aufgabe 1 Werte identifizieren Personenbezogene Daten Sachdaten Prozesse
MehrNEUE BEDROHUNGEN AM ENDPUNKT WAPPNEN SIE SICH JETZT MIT TRAPS 4.1
NEUE BEDROHUNGEN AM ENDPUNKT WAPPNEN SIE SICH JETZT MIT TRAPS 4.1 Bastian Schwittay System Engineer Specialist Endpoint Warum Prävention auf mehreren Methoden basieren muss INFORMATIONS- SAMMLUNG MALWARE
MehrMOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)
MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer Markus Urban.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform
MehrInformationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de
Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0
Mehr