SIWECOS auf der sicheren Seite. Peter Meyer, eco e.v. Marcus Niemietz, RUB/Hackmanit David Jardin, CMS-Garden e.v.

Ähnliche Dokumente
SIWECOS auf der sicheren Seite. Peter Meyer, eco e.v. Projektleiter IT-Trends Sicherheit, Bochum

SIWECOS auf der sicheren Seite. Peter Meyer, eco e.v. Projektleiter IT-Trends Sicherheit, Bochum

CLOUD-DIENSTE UND DATENSCHUTZ IN UNTERNEHMEN LERNEINHEIT 5

Über mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Bonn

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

Was sind Bots? Botnetze, Social Bots & ChatBots. Peter Meyer eco e.v. Leiter Cyber Security Services

Ist meine WebSite noch sicher?

Janotta und Partner. Projekt DEFENSE

GRUNDEINSTELLUNGEN FÜR EINEN SICHEREN ARBEITSPLATZ LERNEINHEIT 1

Janotta und Partner. Projekt DEFENSE

eco Cybersicherheit ein Bild zur Lage der Nation und zu Windows 10

Web Application Testing

orangefluid - logo guideline - Compact - CMYK

Ist meine Website noch sicher?

Moderner Schutz gegen aktuelle Bedrohungen

Schwachstellenanalyse 2012

Security-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH

Schwachstellenanalyse 2013

SICHERE DIGITALE KOMMUNIKATION LERNEINHEIT 2

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

SOZIALE MEDIEN IM UNTERNEHMEN NUTZEN ABER SICHER! LERNEINHEIT 6

Tag der Regensburger Wirtschaftsinformatik

Webseiten mit HTTPS bereitstellen und mit HSTS und HPKP sichern

Security-Webinar. März Dr. Christopher Kunz, filoo GmbH

SAP Penetrationstest. So kommen Sie Hackern zuvor!

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

Live Hacking. Einblicke in die Methoden der Hacker und Was Sie zum Schutz Ihres Unternehmens tun können.

Web Application Security

tiri.soc Threat-Intelligence

goldene Regeln der Webseitensicherheit

NET WÄCHTER: Schutz, Beschleunigung und Überwachung

Wie steht es um die Sicherheit in Software?

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln,

Patchmanagement Seminarvortrag von Ann-Christin Weiergräber

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite

Sicherheitsanalyse der TLS-Konfiguration von SMTP-Installationen. Bachelorarbeit. Thomas Maier

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Oracle Datenbank Security Lösungen

Vielen Dank für Ihre Aufmerksamkeit!

Benutzerhandbuch Plesk Onyx WEBPACK. Benutzerhandbuch 1/15. Benutzerhandbuch Plesk 17

1 Guido Röwekamp arvato Systems GmbH 21. Juni ATICS Tage 2015

Komplette Website Sicherheit. Sicherheit von A bis Z.

LEISTUNGSSTARKES, SKALIERBARES SCHWACHSTELLEN- MANAGEMENT. F-Secure Radar

Daniel Schalberger, SySS GmbH 1. Typische Schwachstellen im Online-Handel, Prävention. Dipl. Inform. Daniel Schalberger, Syss GmbH

Initiative-S Der Webseiten-Check zur Sicherheit Ihres Internetauftritts

Sucuri Websiteschutz von

Selbstgebaute IPS Signaturen und Einsatzszenarien

2. Frontend- ScreenShot vor der Anmeldung

Integrierte Sicherheitslösungen

Wie richte ich mein Webhosting auf dem Admin Panel ein?

G DATA Mobile Malware Report

Hackerangriffe und Cyber Security im Jahr 2015

IT-Sicherheit. Eine wichtige Erfolgsvoraussetzung. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet. Security. Mobile/Desktop.

Integriertes Schwachstellen-Management

Artikelliste. Mandant: internetagentur Gebäude 4 Währung:

IT-Security für Autonomik. Dr. Carsten Rudolph Abteilungsleitung Trust and Compliance

Datenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke

WEB-Solutions. Webhosting

DDoS-Schutz. Web-Shop unter Attacke?

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Ein Kommunikationslagebild für mehr IT-Sicherheit

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg,

Unsere Services. Hosting-Pakete 4. Suchmaschinenoptimierung 8. Reports 12. Alle angegebenen Preise verstehen sich zuzüglich Mehrwertsteuer.

Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)

am Beispiel - SQL Injection

ERWEITERUNG CONTAO INDEXIERUNG - SUCHE AUF OFFICE- UND PDF-DATEIEN

Verteidigungsmaßnahmen gegen SQL Injection

Vergleich von CM-Systemen. präsentiert von Tim Hoffmann und Niels Reinhard

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

2017 achelos. Benjamin Eikel

IT Sicherheit aus der Cloud. Peter Neumeier, Head of Channel Germany

AKTUELLE VERBREITUNG VON HTTP STRICT TRANSPORT SECURITY (HSTS)

VDE CERT Was ist ein Response Team?

Informationssicherheit und Know-how-Schutz

eco Verband der deutschen Internetwirtschaft e.v. Arbeitskreis Sicherheit

IT-SICHERHEIT FÜR LEITENDE IN KLEINEN UND MITTLEREN UNTERNEHMEN LERNEINHEIT 7

VALUE ADDED IT-DISTRIBUTOR. AUS ÜBERZEUGUNG. SicherheIT für Systemhäuser

am Beispiel - SQL Injection

BIT-Workshop "Speichersysteme (NAS) - NAS und Webserver- Anwendung" Mit Joomla einen Webserver auf einem NAS installieren

Beliebte Content-Management-Systeme im Vergleich (Open-Source)

Zusammenfassung Web-Security-Check ZIELSYSTEM

eco Umfrage IT-Sicherheit 2016

Mobile UI für ios und Android. SIMATIC WinCC Open Architecture

Security-Webinar. Dezember Dr. Christopher Kunz, filoo GmbH

Cybersecurity 4.0 Schutz vor den Bedrohungen von heute und morgen. Markus Grathwohl Senior Corporate Account Manager

Der Weg zu einem ganzheitlichen GRC Management

Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung Art. 143bis StGB Unbefugtes Eindringen in ein Datenverarbeitungssystem

Symantec s Enterprise Security Lösungen Eduard Kobliska Channel Sales Manager ekobliska@symantec.com

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Grundlagen des Datenschutzes und der IT-Sicherheit

DROWN (oder warum TLS-Konfiguration schwer ist)

Hacken von implementierungsspezifischen! SSL-Schwachstellen

NGO Tag - Sicherheit und Datenschutz in der Cloud Microsoft Deutschland GmbH Unter den Linden 17, Berlin

Firmenvorstellung. Bochum, den

UNTERNEHMENSPRÄSENTATION

Elektronischer Personalausweis epa

A new Attack Composition for Network Security

Transkript:

SIWECOS auf der sicheren Seite Peter Meyer, eco e.v. Marcus Niemietz, RUB/Hackmanit David Jardin, CMS-Garden e.v.

KMUs als Ziel Es gibt zwei Arten von Unternehmen: solche, die schon gehackt wurden, und solche, die es noch werden. Robert Mueller (Direktor des FBI, 2012) 04.10.17 2

KMUs als Ziel 04.10.17 3

KMUs als Ziel Viele Risiken lassen sich mit einfachen Mitteln mindern: Steigerung des Bewusstseins für Cyber-Bedrohungen IT-Sicherheit und Betreuung der IT-Infrastruktur zur Chefsache machen Bewusster Umgang mit persönlichen Daten Zeitnahe, im Idealfall automatisierte Sicherheits-Updates Fehlende und fortwährend Schulung und Sensibilisierung aller Mitarbeiter Sichere Zertifikate und Webserver-Verschlüsselung, Sicher konfigurierte Webserver und Webseiten 04.10.17 4

IT-Sicherheit in der Wirtschaft" Projekt im Rahmen der Initiative "IT-Sicherheit in der Wirtschaft" des BMWi (Sep 2016 Nov 2018) Initiative IT-Sicherheit in der Wirtschaft" Die Initiative lt-sicherheit in der Wirtschaft" des Bundesministeriums für Wirtschaft und Energie will vor allem kleine und mittelständische Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemein-sam mit IT- Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um die Bewusstseins-bildung in der digitalen Wirtschaft beim Thema lt-sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre lt-sicherheit zu verbessern. Weitere Informationen zur Initiative und ihren Angeboten sind unter: www.it-sicherheit-in-der-wirtschaft.de abrufbar. Partner und Unterstützer 04.10.17 5

SIWECOS auf der sicheren Seite Projektdauer: September 2016 Oktober 2018 Projektpartner: eco e.v. & Ruhr Universität Bochum Unterstützer: CMS-Garden & Hackmanit Ziele: Langfristige Erhöhung der Webseitensicherheit bei kleinen und mittelständischen Unternehmen Hilfe für KMUs bei der Erkennung und Behebung von Sicherheitslücken auf ihren Webseiten Stärkung des Bewusstseins für die Relevanz von IT-Sicherheit bei KMUs Partner und Unterstützer 04.10.17 6

SIWECOS auf der sicheren Seite Kostenloser Webseiten-Scanner für KMUs und andere Webseitenbetreiber Registrierung über die Projekt-Webseite oder spezielle CMS-Plugins Täglicher Scan von bis zu 10 registrierten Webseiten pro Nutzer Benachrichtigung des Webseitenbetreibers bei kritischen Problemen SIWECOS Hoster-Service direkter Schutz vor Cyberangriffen beim Webhoster SIWECOS steht für Sichere Webseiten und Content Management Systeme Partner und Unterstützer 04.10.17 7

SIWECOS auf der sicheren Seite Einfache Erklärungen und Beschreibungen auch für nicht-techniker Signal-Anzeige für die unterschiedlichen Schwachstellen Zielgruppengerechte Handreichungen und Sicherheitsempfehlungen Umfangreiches SIWECOS WIKI Einfache Registrierung, Implementierung und Nutzung 04.10.17 8

Risiko Webseite Poodle: Schwachstelle in der SSLv3 Spezifikation Heartbleed: Gravierender Programmierfehler in OpenSSL SSL: Seit vielen Jahren unsicher und wird dennoch zu oft eingesetzt auch bei Unternehmen DROWN: Decrypting RSA with Obsolete and Weakened encryption 04.10.17 9

TLS-Scanner Der TLS-Scanner überprüft den Server ihrer Website auf schwache TLS Konfigurationen: - Zertifikats-Probleme - Alte Protokollversionen - Schwache Verschlüsselungsalgorithmen Der TLS-Scanner schützt Ihren Server von Lauschangriffen 04.10.17 10

DOMXSS-Scanner Automatisierte Schwachstellenerkennung im Falle von DOM Cross-Site Scripting (DOMXSS) Sind potentielle Verwundbarkeiten vorhanden Sollte eine Untersuchung von einem Fachexperten durchgeführt werden? Schadcodeausführung auch ohne eine Interaktion des Servers Schutzmechanismen wie Web Application Firewalls (WAF) sind oft wirkungslos 04.10.17 11

HTTP-Security-Header-Scanner Prüft Ihren HTTP Header auf unsichere Konfigurationen Prüft Ihre Privatsphäre-Einstellungen Prüft Ihren Clickjacking-Schutz Prüft den Cross-Site-Scripting Schutz im HTTP-Header Der HTTP-Security Header Scanner mildert u. a. Spoofing-Angriffe 04.10.17 12

Information-Leakage-Scanner Prüft die Privatsphäre-Einstellungen des Content Management Systems Prüft Ihre Webseite auf maschinell auslesbare E-Mail-Adressen Prüft Ihre Webseite maschinell auslesbare Versions-Angaben oder installierte Plugins Verhindert eine unbewusste Preisgabe Ihrer Daten im Internet an Dritte 04.10.17 13

Einfallstor Webseite 97% der Angriffe* erfolgen auf Sicherheitslücken bei weit verbreiteter Standardsoftware Standard-CMS werden auch von Unternehmen besonders häufig eingesetzt Die meisten Cyber-Angriffe erfolgen weiterhin gestreut, nicht gezielt *Cisco Security Report 2014 Quelle: h2p://www.webkalkulator.com/cmsvergleich Quelle: G Data Marktanteile CMS, März 2017 Viele Sicherheitsprobleme lassen sich mit schnellen Updates ausschließen Bei IT-Security spricht man eher von Stunden, als von Tagen oder Wochen 04.10.17 14

SIWECOS CMS-Plugin SIWECOS Nutzung und Anmeldung auch über CMS-Plugins möglich ohne die Webseite Einfache Implementierung und Nutzung als Add-On der CMS-Installation Aktuelle stehen SIWECOS Plugins für WordPress, Joomla und Contao bereit weitere folgen. 04.10.17 15

Der SIWECOS Hoster-Service Direkte Schnittstelle zu beteiligten Webhostern in Deutschland Aktive Kommunikation von Filter-Regeln zur Abwehr von Angriffen Serverseitiger Schutz von Angriffen auf die beim Webhoster installierte Webseiten bevor die Webseiten-Betreiber infiziert werden können. Ermöglicht den proaktiven Schutz von Millionen installierten CMS-Systemen, ohne dass der Webseiten-Betreiber selbst und sofort aktiv werden muss. Weitere Informationen und Kontakt: https://siwecos.de/service-fuer-webhoster/ hosterservice@siwecos.de Partner und Unterstützer 04.10.17 16

Der SIWECOS Hoster-Service Use Case Joomla Incident im Oktober 2016: Abwehr von 37.000 Attacken im Zeitraum 0-6 Uhr (= 148.000 Attacken am Tag) Die Bereinigung eines solchen Angriffs kostet etwa 150 (2,5 Stunden á 60 ), Wenn nur 1% der Angriffe erfolgreich gewesen wäre ergeben sich hier Einsparungen von 225000 für die betroffenen KMUs Das pro Tag bei diesem einen Hoster! Partner und Unterstützer 04.10.17 17

SIWECOS - Ausblick Integration der Initiative-S als zusätzlichen Scanner in SIWECOS Einsatz verbesserter Scanner-Technologie zur Erkennung von Exploits auf Webseiten, Migration der bestehenden Initiative-S Nutzer Bereitstellen eines SIWECOS Webseiten Siegels wie bereits bei der Initiative-S. Stetige Verbesserung der bestehenden SIWECOS Scanner Weitere CMS Plugins (Drupal, Typo3 usw.) Verfügbarkeit der CMS-Plugins direkt im Hosting-Paket SIWECOS Roadshows: Sensibilisierung von KMUs vor Ort in allen Regionen Deutschlands Kostenlose Weiterführung SIWECOS auch nach Förderende Ende Oktober 2018! Partner und Unterstützer 04.10.17 18

Kontakt: Peter Meyer, Projektleiter SIWECOS eco Verband der Internetwirtschaft e.v. https://www.eco.de info@siwecos.de h.ps://www.siwecos.de Lichtstraße 43h 50825 Köln Fon +49 (0) 221 7000 48-194 Fax +49 (0) 221 7000 48-111 peter.meyer@eco.de 04.10.17 19

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback