Erfahrungsbericht zu Datenschutzprüfungen

Ähnliche Dokumente
E-Spionage und E-Attacken Schutzstrategien für Websysteme

Con.ect Event 10. Oktober 2014, Wien. Mobile Security und staatlich anerkannte Software-Beweissicherung

IT in Sicherheit Wie rüste ich meine IT gegen Angriffe von innen und außen?

Mobile Apps Risiko und Schutzbedarf von mobilen Anwendungen

Technische Aspekte der ISO-27001

L.S.Z Behördenkonferenz am 30. September Vienna Marriott Hotel

Prüf- und Überwachungsstelle für Informatik. CyberSecurity. Datenschutz

Schutz vor Datenklau. Sinnvolle Regelungen zur Internet-Nutzung am Arbeitsplatz ARZ - Veranstaltung Do. 8. April, Windischgarsten

Live Hacking: : So brechen Hacker in Ihre Netze ein

am Beispiel - SQL Injection

am Beispiel - SQL Injection

Gesundheit für ihre IT

Fernzugriff auf die Unternehmens-EDV: Grenzenlose Flexibilität oder hohes Sicherheitsrisiko? Tobias Rademann

Willkommen zum Webinar

IT-Sicherheit SSL/TLS. Jens Kubieziel. Fakultät für Mathematik und Informatik. 6. Januar 2012

Lage der IT-Sicherheit im Mittelstand

VOLLE ZUGANGSKONTROLLE FÜR IHR WLAN

ERsB Ergänzungsregister für sonstige Betroffene Eine Dienstleistung des Finanzministeriums

Group-Mail-Encryption Johann Kollmayer Raiffeisen Informatik GmbH

Immer noch nicht sicher? Neue Strategien und Lösungen!

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln,

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

Hacken von implementierungsspezifischen! SSL-Schwachstellen

Der Zustand. Das ganze scheint eine unendliche Geschichte zu sein. Der traurige Zustand der Informationssicherheit. WKO IT-Experts Group

Von Perimeter-Security zu robusten Systemen

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Sicherheitsdomänen im Energieinformationsnetz

Firewall - Techniken & Architekturen

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

SIWECOS auf der sicheren Seite. Peter Meyer, eco e.v. Marcus Niemietz, RUB/Hackmanit David Jardin, CMS-Garden e.v.

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Sicherheitsanalyse der TLS-Konfiguration von SMTP-Installationen. Bachelorarbeit. Thomas Maier

Support Packages für TIA Portal V14

itsmf Live Mobility Kernfragen der Mobility-Strategie

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

Was sind die größten IT-Sicherheitsherausforderungen?


WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN

Netzwerk Teil 1 Linux-Kurs der Unix-AG

Hacking & Computerstrafrecht. lukas.feiler@lukasfeiler.com

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Überblick über die Windows Azure Platform

Active Directory reloaded in Windows Server 8

Keynote. SSL verstehen. Prof. Dr. Peter Heinzmann

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite

Fernwartung, was kann da schon schiefgehen? Erfahrungsberichte aus dem BSI

CLOUD FÜR KMU CHANCE ODER RISIKO? INFORMATIONSVERANSTALTUNG, 9. NOVEMBER 2016

Umgang im Netz. Sebastian Geeraedts & Arne Geraedts. Schulprojekte Münster. Übersicht

Schützen Sie Ihr Unternehmen vor Datendiebstahl, Spionage und komplexen Sicherheitsbedrohungen

Cybersecurity bei Medizinprodukten

Printer Hacking. Drucker als Einfallstor für Datendiebe

Lektion IV Praktischer Datenschutz I

Thema IT-basierte Innovationen. IT-Sicherheit ist absolut unnütz, so lange bis etwas passiert Dirk Czepluch 21. November 2016

Transportorientierte Kommunikation und Public Key-Infrastruktur zur sicheren Datenübertragung von DICOM-Bilddokumenten

Netzwerktechnologie 2 Sommersemester 2004

Konfigurationsbeispiel für die Domain business.mnet-voip.de. Swyx

Empowering Employees. Secure Productive Enterprise

Versicherung von Cyber-Risiken für KMU CYBER PROTECT

Einrichten von Arcor-KISS-DSL

IT-Security in der Automation: Verdrängen hilft nicht!

NET WÄCHTER: Schutz, Beschleunigung und Überwachung

Dr. Franz-Joachim Kauffels. Durchblick im Netz. 5., überarbeitete Auflage. mitp

Die Vielfalt der Remote-Zugriffslösungen

Von Inselprodukten zu vernetzten Sicherheitslösungen

INNOTask, INNOCount, INNORent, INNOSpace, INNOCar Installationsanforderungen

Personal Firewall. Ein weiterer Schritt zu umfassender IT-Sicherheit. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet.

Sicherheit bei IoT. DOAG 2015 Andreas Chatziantoniou - Foxglove-IT BV

Fachbereich Medienproduktion

KomFIT 2018 DS-GVO Konformität durch Zwei-Faktor-Authentifizierung

Siemens AG IT-Sicherheit von Automatisierungssystemen

Next-Generation Firewall deutsche Sicherheit ohne Hintertüren

IT - Sicherheit und Firewalls

STARCOS 3.5 ID ECC products

Sicherheit beim Web-Auftritt

IT-Sicherheit Kapitel 11 SSL/TLS

Firma und Internet-Server Projekt

MINDSET IT-SECURITY DAS JAN BINDIG. Der Mittelstand auf dem digitalen Prüfstand. Mit einem Vorwort von Wolfgang Bosbach

Cloud Computing Top oder Flop? 17. November 2010

Software Defined Networks - der Weg zu flexiblen Netzwerken

SIWECOS auf der sicheren Seite. Peter Meyer, eco e.v. Projektleiter IT-Trends Sicherheit, Bochum

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

Franz-Joachim Kauffels. Durchblick im Netz. 3., überarbeitete Auflage

IT Sicherheit aus der Cloud. Peter Neumeier, Head of Channel Germany

MOBILE SOLUTIONS ROADSHOW

Einrichtung eines Gäste wlans auf einer digitalisierungsbox. Basierend auf der Grundeinrichtung durch den Schnellstartassistenten

Sicherheit wird messbar Lösungsansätze und Methoden. Case. 15. September 2009, Hotel St. Gotthard, Zürich

Schutz des Veeam Repository vor Ransomware mit GRAU DATA

Human Centric Innovation

Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung Art. 143bis StGB Unbefugtes Eindringen in ein Datenverarbeitungssystem

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

Public Key Infrastructure (PKI) bei Volkswagen Jörg Matthies Volkswagen AG Wolfsburg Brieffach 1804 IT Group Client Services

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

E-Government Strategie des Landes. sichere Kommunikation im E-Government

Besser geht immer. - SSL Verschlüsselung - Notwendigkeiten, Hintergründe, Vorteile, Kosten. Sicherheit zum Festpreis.

safe data, great business. Version: 2.0 Datum: 13/02/18 Status: öffentlich Vertraulichkeitsklassifizierung: öffentlich

Corporate Planning Software: Die integrierte Lösung für operatives Controlling, Finanzplanung und Konzernkonsolidierung

COMPACT. microplan ASP IT-Sourcing. Ihre EDV-Infrastruktur aus der Steckdose. Kurz und knapp und schnell gelesen!

Transkript:

ADV-Tagung 3. IT-Sicherheitstagung für Fortgeschrittene Wien 11.Nov. 2010, Austria Trend Hotel Erfahrungsbericht zu Datenschutzprüfungen IT-Sicherheit ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3 office@zt-prentner-it.at. www.zt-prentner-it.at Januar 2009

Überblick Allgemeines Situation Erfahrungsbericht Datenschutzprüfungen Strafbestimmungen Zertifizierung Zusammenfassung Seite 2

Allgemeines Seite 3

ZT Wolfgang Prentner IT-Ziviltechniker und gerichtlich zertifizierter Sachverständiger für IT-Sicherheit seit 1998 Geschäftsführer der ZTPRENTNERIT GmbH, 2001 Vorsitzender der Bundesfachgruppe Informations- Technologie der Bundeskammer der Arch+Ing, 2003 E-Government Beauftragter des Bundeskomitees der Freien Berufe Österreichs. Dazu zählen die Kammern der Ärzte, Apotheker, Notare, Patentanwälte, Rechtsanwälte, Wirtschaftstreuhänder und Ziviltechniker seit 2004 Mitglied der Plattform Digitales Österreich im Bundeskanzleramt seit 2004. Seite 4

Befugnis-Umfang (Ziviltechnikergesetz) Beraten Planen Überprüfen Überwachen Koordinieren Treuhandschaften Urkundsfähigkeit Zertifizierung KEINE ausführenden Tätigkeiten KEINE Störungsbehebung KEIN Vertrieb von Software und Hardware KEINE Interessenskonflikte mit gewerblichen Unternehmen Seite 5

Situation Seite 6

Online Sicherheit On the Internet, nobody knows you are a dog. Seite 7

Realer Terrorismus im Internet Weitere Beispiele: CIO Land, CIO KH, BM LV, aktuelle Bedrohungen wie Stuxnet-Wurm Seite 8

Hacker kaperten Homepage der deutschen Atomlobby http://derstandard.at/1288659923929/hacker-kaperten-homepage-der-deutschen-atomlobby Seite 9

Datenklau Seite 10

ComputerZeitung (D) Seite 11

Neue Bedrohung Professioneller Datenklauer Seite 12

Erfahrungsbericht Datenschutzprüfungen Seite 13

IT-Sicherheitsanforderungen I Seite 14

IT-Sicherheitsanforderungen II Seite 15

Aufwandsverteilung Applikationsanalyse Kommunikationsanalyse Netzwerkanalyse Seite 16

Vorgehensweise Seite 17

INTERNETSICHERHEITSGURT Seite 18

1. E-Spionage Informationen sammeln www.mustermann.at office@mustermann.at Output Netzwerkplan des Ziel-Unternehmens Außensicht des Angreifers Seite 19

1a. E-Spionage Internet Router Ergebnis Firewall Mailserver DNS-Server Webserver FTP-Server Outlook Web-Access Seite 20

2. Netzwerk- und Systemsicherheit Seite 21

3. Kommunikation - verschlüsselt Secure Socket Layer TLSv1 Record Layer: Application Data Protocol: http Content Type: Application Data (23) Version: TLS 1.0 (0x0301) Length: 622 Encrypted Application Data: CDC503543A6E10F79505C598D0802D44D0C332F0A74F3E04... Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) 0000 00 13 19 68 e9 3f 00 12 3f 76 e0 97 08 00 45 00...h.?..?v...E. 0010 02 9b 32 ba 40 00 80 06 3a dd ac 10 01 06 c1 6e..2.@...:...n 0020 1c 41 3d 75 01 bb 31 03 f9 15 b7 d0 09 e7 50 18.A=u..1...P. 0030 ff d1 8d 53 00 00 17 03 01 02 6e cd c5 03 54 3a...S...n...T: 0040 6e 10 f7 95 05 c5 98 d0 80 2d 44 d0 c3 32 f0 a7 n...-d..2.. 0050 4f 3e 04 41 93 c8 8a 65 ba a3 12 91 2f 72 de d6 O>.A...e.../r.. 0060 3c a6 4d b9 83 d3 37 a0 46 ae 16 4d ca 33 65 de <.M...7.F..M.3e. 0070 df 8f 08 6c 08 25 c1 d2 56 0a c2 70 7f a7 8a 77...l.%..V..p...w 0080 17 d0 42 df ca a2 f8 22 a0 47 4f 3f 3f b4 f4 bd..b...".go??... 0090 d5 36 9a b1 30 2b b0 52 8a 07 2d 2f df 13 fb 04.6..0+.R..-/... 00a0 2d 31 63 32 c6 40 16 98 60 70 0b 91 90 0c 0f 21-1c2.@..`p...! 00b0 b3 7f b3 38 2d f8 b1 a6 30 d4 18 24 4c 80 b4 6e...8-...0..$L..n 00c0 0e 1f f0 e8 72 6b 9d f8 d1 90 25 df 51 fa 5a 32...rk...%.Q.Z2 00d0 89 5a 6e 2c 90 25 86 ef 54 4a d2 71 0f 88 40 8c.Zn,.%..TJ.q..@. 00e0 3d 55 3f 67 8c f3 2e eb 3e 72 df 69 8a a4 67 7e =U?g...>r.i..g~ 00f0 31 24 67 9d 6a f8 df ca 5a a9 4e 1e 5c ba a2 f4 1$g.j...Z.N.\... 0100 55 c1 40 a5 44 e3 2a 0f c0 52 de 6f 2c 7f 19 1c...C..~Q.h.6}R.. Seite 22

(4. Applikationssicherheit) Login/Doing/Logout Authentifikation Autorisierung Session Management SQL-Injection Code-Review Security Path Testen in unfreundlicher Umgebung Auditing Reporting Seite 23

Ergebnisse Seite 24

Technische Sicherheit Arbeitsplatzcomputer Server Firewall Status: nicht ok (hohes Risiko) Status: nicht ok (hohes Risiko) Status: nicht ok (mittleres Risiko) Seite 25

Organisatorische Sicherheit Systemwartung Status: nicht ok (hohes Risiko) Passwort-Handhabung Status: nicht ok (mittleres Risiko) Datensicherung Status: nicht ok (mittleres Risiko) Datenarchivierung Status: nicht ok (mittleres Risiko) Datenträger-Vernichtung Status: ok Virenschutz Status: ok Fernwartung Status: ok Wireless LAN Status: nicht anwendbar Telearbeit bzw. Home-Office Status: nicht anwendbar Geheimhaltungsvereinbarung mit Dritten Status: ok Seite 26

IT-Schwachstellen auf Netzwerkebene Seite 27

IT-Schwachstellen MTTR Seite 28

Rechtliche Aspekte Seite 29

Haftung des IT-Ziviltechniker 1. Öffentliche Urkunde gemäß Ziviltechnikergesetz zum heutigen Stand der Technik 2. Erhöhte Beweiskraft vor Gerichten im Streitfall 3. Haftung insbesondere nach 1299 ABGB für Sachverständigentätigkeit für grobe und leichte Fahrlässigkeit sowie 4. Haftungsübernahme je Schadensfall von 1,5 Mio. Euro durch die Berufshaftpflichtversicherung Seite 30

ZT Zertifikat - Raiffeisen Seite 31

Strafbestimmungen I Strafgesetzbuch (StGB) 118a (1) - Widerrechtlicher Zugriff auf ein Computersystem - Geldstrafe oder bis zu 6M Haft 119 (1) - Verletzung des Telekommunikationsgeheimnisses: Geldstrafe oder bis zu 6M Haft 119a (1) - Missbräuchliches Abfangen von Daten: Geldstrafe oder bis zu 6M Haft 126b - Störung der Funktionsfähigkeit eines Computersystems: Geldstrafe oder bis zu 6M Haft 126c - Missbrauch von Computerprogrammen oder Zugangsdaten: Geldstrafe oder bis zu 6M Haft Seite 32

Strafbestimmungen II Strafgesetzbuch (StGB) 122ff StGB: Verletzung Betriebsgeheimnis; Strafrahmen: bis 3 Jahre 246 StGB: Staatsfeindliche Verbindungen; Strafrahmen: bis 5 Jahre 252 StGB: Verrat von Staatsgeheimnissen; Strafrahmen: bis 10 Jahre 242 StGB: Hochverrat; Strafrahmen: bis 20 Jahre Datenschutzgesetz 52 bis 18.890,- Mediengesetz 7 bis 20.000,- Telekommunikationsgesetz 109 bis 58.000,- Seite 33

Top 5 Sicherheitsprobleme 1. Nicht aktueller Patchlevel von Serversoftware Das führt idr zu möglichen Buffer Overflows und weiter evtl. Code Injection, DoS- Angriffen,... 2. Nicht korrekt programmierte Webanwendungen Mögliche Folgen: SQL-Injections, Cross-Site-Scripting,... 3. Falsch oder nicht korrekt konfigurierte Serversoftware nicht immer ein Angriffspunkt, aber oft eine Quelle für Informationen über das System: phpinfo, asp-standard-fehlermeldungen,... (sind eher kleine Sachen, trotzdem...) 4. Verwenden nicht ausreichender Sicherheitsmechanismen Beispiel: Microsoft Remote Desktop über Internet -> Man-in-the-Middle Attacke. 5. Ein Klassiker unbewusst offene Dienste. Es kam immer wieder mal bei einem Kunden vor, dass ein Dienst auf einem System nach außen sichtbar war, der es nicht sein sollte, d.h. die FW war nicht korrekt konfiguriert. Seite 34

Zusammenfassung Seite 35

Sicherheitslevel Seite 36

Nacktscanner Seite 37

Zusammenfassung Der Faktor Mensch als Risiko bleibt bestehen. Sicherheitstechnologie am Stand der Technik, regelmäßige Systemwartung und eine hohe Sicherheitskultur sind gute Bestandteile zum Schutz vor Datenklau. Seite 38

Besten Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? Seite 39

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback