IT-Risiken erkennen, vorausschauend und angemessen handeln

Conference: VDE-Kongress 2006 - Innovations for Europe - Fachtagungsberichte der ITG/BMBF - GMM - ETG - GMA - DGBMT
10/23/2006 - 10/25/2006 at Aachen, Deutschland

Proceedings: VDE-Kongress 2006

Pages: 6Language: germanTyp: PDF

Personal VDE Members are entitled to a 10% discount on this title

Authors:
Schaeffer, Philippe A. R. (TÜV Rheinland Secure iT GmbH, Am Grauen Stein, D-51105 Köln)

Abstract:
In jüngster Zeit ist IT-Security in aller Munde. Viele Unternehmen haben bereits viel Geld in Firewalls, Intrusion Detection Systeme und Virenscanner gesteckt. Nicht umsonst, denn Sicherheitslücken in diesen Bereichen sind deutlich seltener geworden. Außer Acht wird dabei jedoch gelassen, dass zahlreiche weitere Bedrohungswege für die IT-Infrastruktur existieren und dass häufig eine einzige Sicherheitslücke ausreicht, um das gesamte Sicherheitskonzept auszuhebeln oder zu umgehen. IT-Security umfassend zu leben bedeutet, alle Bedrohungswege zu betrachten, mögliche Konsequenzen zu erkennen und daraus die Notwendigkeit von Gegenmaßnahmen abzuleiten. In diesem Beitrag werden beispielhaft zwei Bedrohungswege aufgezeigt, die nach Erfahrungswerten des täglichen Geschäfts der IT Security Berater der TÜV Rheinland Secure iT GmbH in der überwiegenden Zahl der Unternehmen heute existieren. „Hacking in internen Netzen“ zeigt auf, wie leicht ein Angreifer im internen Netzwerk Zugriff auf beliebige Daten und Systeme erlangen kann. Mit den hier vorgestellten Methoden konnte das Prüfteam der TÜV Rheinland Secure iT GmbH mehr als einmal Zugriff auf Leittechnik-Netzwerke erlangen. „Viel versprechende Ziele: Web-Applikationen“ demonstriert, welche Risiko die ständig steigende Zahl von Web-Applikationen für ein Unternehmensnetzwerk darstellen können, welche Fehler häufig in Web-Applikationen gemacht werden und wie sich diese ausnutzen lassen, um beispielsweise aus dem Internet Zugriff auf das interne Netzwerk des Unternehmens zu erlangen.