Agenda
Registrierung und Begrüßung
Moderation: Jochen Spangenberg
08:30
Registrierung
09:45
Eröffnung
10:00
Keynote
1988 war der Morris Worm. Seitdem investiert die IT-Branche in Sicherheit. Gartner schätzt die Ausgaben für Information Security 2016 auf über 80 Milliarden Dollar. Die gefühlte Sicherheit hat seitdem aber eher abgenommen. Wie kommt das? Optimieren wir überhaupt in die richtige Richtung?10:30
Keynote
Synergien im Bereich staatlicher, wirtschaftlicher und privater Interessen im Hinblick auf Internetsicherheit sind dünn gesät. Neben der seltenen Erkenntnis über die Nützlichkeit von Kooperation und Kollaboration für die eigene Sache, fehlen oftmals ebenso gegenseitiges Vertrauen & Verständnis, sowie die Transparenz in Bezug auf Motivation & Zielsetzung. Dabei sollte es ein gemeinsames Ziel aller sein, eine unserer bedeutungsvollsten Errungenschaften - das Internet - zu schützen und an seiner Sicherheit kontinuierlich zu arbeiten. Denn bei dem Thema Internetsicherheit handelt es sich nicht um eine einzufordernde Selbstverständlichkeit oder einen Anspruch an eine verantwortliche Instanz, sondern vielmehr ist dies ein gemeinschaftliches und fortwährendes Mammutprojekt aller Internetnutzer. Ebenfalls muss die Sensibilisierung der Menschen für die Gefahren im Internet geweckt und in allen gesellschaftlichen Bereichen vorangetrieben werden. Hierzu gehören neben der Medienkompetenz für Alt und Jung auch ein technisches Grundverständnis für die Abläufe und Prozesse im Inneren der technischen Geräte, deren Oberflächen wir tagtäglich nutzen. Alles wird angegriffen – weil alles angegriffen werden kann! Wirtschaftsunternehmen, Industrieanlagen, ebenso wie Privatpersonen. Letztendlich alles das, was ans Internet angeschlossen ist! Warum? Weil es geht! Auf diese Art von Aufklärung und Sensibilisierung, vermittelt anhand von Beispielen aus der polizeilichen Praxis, setzen auch wir aus den Zentralen Ansprechstellen Cybercrime (ZAC) für die Wirtschaft der Länder und des Bundes. In fast allen erfolgreichen Cyber-Angriffen ist es der Mensch, der diesen final zum Erfolg führt!11:00
Kaffeepause
Advanced Cybercrime
11:30
Hauptbühne (EG)
APTs heute: Gezielte Angriffe erkennen, verhindern und behandeln
Im Rahmen der aktuellen Diskussionen über gezielte Angriffe bzw. APTs wird deutlich, dass die bisher etablierten Erkennungsmethoden einen professionellen Angreifer, der individuelle Malware verwendet, weder aufhalten noch erkennen können. Auch mit zusätzlicher Unterstützung durch Event-Korrelation oder SIEM-Lösungen kommt man hier kaum weiter. Neue technische Ansätze wie Sandbox-Analyse, C and C-Traffic-Erkennung oder spezialisierte Erkennung von Manipulationen auf Endgeräten sollen heute diese Lücke schließen. Der Vortrag von cirosec-Geschäftsführer Stefan Strobel ordnet die zahlreichen Erkennungstechniken inklusive ergänzender Themen wie SIEM und Threat Intelligence in einen Gesamtkontext ein, bewertet sie und zeigt Perspektiven auf.
Stefan Strobel
cirosec
12:30
Hauptbühne (EG)
Synchronized Security - Teamplay vs. Best of Breed
Um modernen Bedrohungen wie Wanna Cry, Locky, Goldeneye und Co. zu begegnen, sind neue Sicherheitskonzepte und –technologien notwendig. Mit Intercept X stellt Sophos eine Lösung vor, die zusätzlich zu einem bestehenden Virenscanner installiert wird und die signaturlos unbekannte Verschlüsselungstrojaner und Zero-Day-Malware erkennt, aufhält und entfernt. Durch eine automatische Ursachenanalyse werden außerdem der Infektionsweg und betroffene Ressourcen im Unternehmen erfasst und grafisch dargestellt, was eine schnelle und gezielte Reaktion auf Angriffe ermöglicht. Über die Security Heartbeat Technologie kommunizieren Sophos Sicherheitslösungen zudem miteinander und tauschen in Echtzeit Informationen über aktuelle Sicherheitsereignisse aus. Dadurch können Sicherheitskomponenten am Endpoint, auf Servern, am Gateway und auf Mobilgeräten als System agieren und automatisch auf moderne Bedrohungen reagieren.
Michael Veit
Sophos
Faktor Mensch
11:30
Raum 1 (OG)
Wie wichtig die Kommunikation für Ihre Unternehmenssicherheit ist
Wenn die Sicherheit von IT-Infrastruktur verbessert werden soll, wird meist in technische Ausstattung investiert. Häufig wird dabei der Faktor Mensch außer Acht gelassen. Für eine erfolgreiche IT-Sicherheitsstrategie muss dieser jedoch unbedingt mit einbezogen und für Cyberangriffe sensibilisiert werden.
Patrick Andreas
Tarox
12:00
Raum 1 (OG)
IT-Security – eine Frage der Unternehmenskultur?!
Der Faktor Mensch spielt bei der IT-Security eine entscheidende und meist unterschätze Rolle.
Was sind die Faktoren und wie können sie für eine höhere Sicherheit positiv beeinflusst werden?
Thorsten Raucamp
Raucamp Consulting
12:30
Raum 1 (OG)
Mit Spannung, Spaß und Spiel zu mehr Sicherheit
In unserer technisierten Welt gilt der Mensch als kritische Sicherheitslücke. Der Vortrag stellt sich der Frage, wie Mitarbeiter effektiv für einen sicherheitsbewussten Umgang im Arbeitsalltag sensibilisiert werden können.
Zu einer erfolgreichen Unternehmenssicherheit zählen Anwenderinnen und Anwender, die mit ihrem gesunden Menschenverstand und fundierten Kenntnissen, Bedrohungen erkennen und abwehren können. Doch die Praxis zeigt, dass Manipulationen, Neugier, Irrtum und Sorglosigkeit dafür sorgen, dass Mitarbeiter IT-Sicherheit nicht leben.
Die Kunst besteht darin, sicherheitsbewusstes Handeln zu fördern und das Risikobewusstsein zu schärfen. Auch ernste Themen können spielend erlernt werden. Der Vortrag stellt Lernen durch Erleben in den Mittelpunkt und zeigt Optionen, wie Mitarbeiter mit Spaß und Spannung an die Thematik Informationssicherheit herangeführt werden können. Dabei erleben die Mitarbeiter interaktiv, zu welchen teils dramatischen Auswirkungen ein achtloser Umgang mit Daten und Dokumenten führen kann. Wer am eigenen Leib erfährt, wie sicherheitsgefährdend das eigene Verhalten sein kann, hat die besten Chancen, künftig mit offenen Augen durch den Arbeitsalltag zu gehen. Klassische Kommunikationskonzepte und bekannte Schulungsmaßnahmen erfahren so eine nachhaltige Ergänzung für die IT-Security-Awareness.
Zu einer erfolgreichen Unternehmenssicherheit zählen Anwenderinnen und Anwender, die mit ihrem gesunden Menschenverstand und fundierten Kenntnissen, Bedrohungen erkennen und abwehren können. Doch die Praxis zeigt, dass Manipulationen, Neugier, Irrtum und Sorglosigkeit dafür sorgen, dass Mitarbeiter IT-Sicherheit nicht leben.
Die Kunst besteht darin, sicherheitsbewusstes Handeln zu fördern und das Risikobewusstsein zu schärfen. Auch ernste Themen können spielend erlernt werden. Der Vortrag stellt Lernen durch Erleben in den Mittelpunkt und zeigt Optionen, wie Mitarbeiter mit Spaß und Spannung an die Thematik Informationssicherheit herangeführt werden können. Dabei erleben die Mitarbeiter interaktiv, zu welchen teils dramatischen Auswirkungen ein achtloser Umgang mit Daten und Dokumenten führen kann. Wer am eigenen Leib erfährt, wie sicherheitsgefährdend das eigene Verhalten sein kann, hat die besten Chancen, künftig mit offenen Augen durch den Arbeitsalltag zu gehen. Klassische Kommunikationskonzepte und bekannte Schulungsmaßnahmen erfahren so eine nachhaltige Ergänzung für die IT-Security-Awareness.
Nadin Ebel
MATERNA
Recht und Standards
11:30
Raum 2 (OG)
Technischer Datenschutz in der Datenschutz-Grundverordnung
Nach zweijähriger Übergangsfrist tritt die Datenschutzgrundverordnung im Mai 2018 unmittelbar in Kraft. Sie führt in vielen Punkten zu Veränderungen der jetzigen Datenschutzvorgaben. So enthält sie unter anderem in Art. 25 die Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen.
Merlin Backer
HK2 Rechtsanwälte
12:00
Raum 2 (OG)
IT-Grundschutz in der Praxis
Der Vortrag wird Anhand einer Auswahl von Maßnahmen aus dem IT-Grundschutz aufzeigen, gegen welche Bedrohung die Maßnahme eingesetzt wird, wie die Maßnahme effektiv und pragmatisch umgesetzt wird und was typische verbleibende Risiken sind.
Der Vortragende wird dabei viele Praxisbeispiele aus der Wirtschaft aufzeigen. Schwerpunkt des Vortrags wird der Baustein B 3 IT-Systeme sein und richtet sich daher an IT-Verantwortliche und Administratoren. So werden beispielsweise die Maßnahmen M 5.8 Regelmäßiger Sicherheitscheck des Netzes sowie M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates teil des Vortrages sein.
Der Vortragende wird dabei viele Praxisbeispiele aus der Wirtschaft aufzeigen. Schwerpunkt des Vortrags wird der Baustein B 3 IT-Systeme sein und richtet sich daher an IT-Verantwortliche und Administratoren. So werden beispielsweise die Maßnahmen M 5.8 Regelmäßiger Sicherheitscheck des Netzes sowie M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates teil des Vortrages sein.
Daniel Jedecke
HiSolutions
12:30
Raum 2 (OG)
Informationssicherheit für den Mittelstand - VdS 3473
VdS Schadenverhütung hat im Frühjahr 2015 ein Autorenteam zur Schaffung eines neuen Informationssicherheitsstandards gebildet, der speziell auf die Schutzbedürfnisse und Ressourcensituation von kleinen und mittelständischen Unternehmen ausgerichtet ist. Das Autorenteam besteht aus Mitgliedern von ISO-Gremien, einflussreichen Berufsverbänden, IT-Experten und Rechtsanwälten.
Die Idee war, bestehende Cyber-Standards zu modernisieren und soweit zu konsolidieren, dass der neue Standard auf eine deutlich höhere Akzeptanz im Anwenderkreis trifft. Ziel ist ein sich insgesamt stetig erhöhendes Sicherheitsniveau, das sich proportional mit der Verbreitung des neuen Standards entwickelt und sich der dramatisch entwickelnden Bedrohungslage entgegensetzt. Im Ergebnis entstand ein neuer, einzigartiger Standard VdS 3473, der einen minimalen Satz an organisatorischen Vorgaben mit aktuellen Anforderungen zu Analyse, Technik, Betrieb und Prävention kombiniert. Neu ist bei diesem Standard auch, dass lediglich Anforderungen formuliert werden, ohne detaillierte Ansätze für die Umsetzung normativ vorzugeben. Dieser zusätzliche Freiheitsgrad ist ein entscheidender akzeptanzerhöhender Faktor. Der Standard fordert einen umfassenden Basisschutz für alle identifizierten IT-Ressourcen, aber lediglich sieben Richtlinien im Sinne von Verfahrensanweisungen und eine schlanke Risikoanalyse, die sich auf die Unternehmens-Kernprozesse konzentriert. Der Basisschutz umfasst unter anderem unverzichtbare Aspekte wie das Management von Software-Sicherheitsupdates, Protokollierung des Netzwerkbetriebs, den Umgang mit Schadsoftware oder zusätzliche Maßnahmen für mobile IT-Systeme. Vergleichende Analysen mit bereits etablierten Standards zeigen, dass sich so bereits mit 20 Prozent des bisher üblichen Aufwands ein sehr wirksames Schutzniveau erreichen lässt. Zusätzlich wurde ein webbasiertes Tool zur Selbstbewertung und ein eintägiges Quick-Audit entwickelt, um den Anwendern die Möglichkeit zu geben, sich der Einführung eines ISMS im Rahmen der praktisch zur Verfügung stehenden Ressourcen zu naehern.
Die Idee war, bestehende Cyber-Standards zu modernisieren und soweit zu konsolidieren, dass der neue Standard auf eine deutlich höhere Akzeptanz im Anwenderkreis trifft. Ziel ist ein sich insgesamt stetig erhöhendes Sicherheitsniveau, das sich proportional mit der Verbreitung des neuen Standards entwickelt und sich der dramatisch entwickelnden Bedrohungslage entgegensetzt. Im Ergebnis entstand ein neuer, einzigartiger Standard VdS 3473, der einen minimalen Satz an organisatorischen Vorgaben mit aktuellen Anforderungen zu Analyse, Technik, Betrieb und Prävention kombiniert. Neu ist bei diesem Standard auch, dass lediglich Anforderungen formuliert werden, ohne detaillierte Ansätze für die Umsetzung normativ vorzugeben. Dieser zusätzliche Freiheitsgrad ist ein entscheidender akzeptanzerhöhender Faktor. Der Standard fordert einen umfassenden Basisschutz für alle identifizierten IT-Ressourcen, aber lediglich sieben Richtlinien im Sinne von Verfahrensanweisungen und eine schlanke Risikoanalyse, die sich auf die Unternehmens-Kernprozesse konzentriert. Der Basisschutz umfasst unter anderem unverzichtbare Aspekte wie das Management von Software-Sicherheitsupdates, Protokollierung des Netzwerkbetriebs, den Umgang mit Schadsoftware oder zusätzliche Maßnahmen für mobile IT-Systeme. Vergleichende Analysen mit bereits etablierten Standards zeigen, dass sich so bereits mit 20 Prozent des bisher üblichen Aufwands ein sehr wirksames Schutzniveau erreichen lässt. Zusätzlich wurde ein webbasiertes Tool zur Selbstbewertung und ein eintägiges Quick-Audit entwickelt, um den Anwendern die Möglichkeit zu geben, sich der Einführung eines ISMS im Rahmen der praktisch zur Verfügung stehenden Ressourcen zu naehern.
Markus Edel
VdS
Advanced Cybercrime
14:30
Hauptbühne (EG)
Mirai Botnet: Der Beginn einer neuen DDoS-Ära in Deutschland
Das Link11 Security Operation Center (LSOC) beobachtet in Deutschland eine Zunahme von DDoS-Attacken und -Erpressungen, die über Mirai-Botnetze ausgeführt werden. Im Unterschied zu traditionellen Volumen-Attacken tarnen sich die neuen IoT-Attacken immer häufiger als reguläre User-Anfragen, nutzen ressourcen-intensive Verbindungen wie SSL für die gezielte Überlastung aus oder erzielen in der Masse regelmäßig Bandbreitenrekorde. Das LSOC, das jeden Monat bis zu 7.000 DDoS-Attacken abwehrt, gibt wichtige Insights zum Aufbau und Verbreitung der Botnetze, ihrem Einsatz und weiteren IoT-Botnetzen neben Mirai. Die Erfahrungsberichte bringen die Veränderungen im DDoS-Risikolagebild durch milliardenfach verfügbare Clients auf den Punkt und zeigen konkret, wie stark industrielle und private IoT-Geräte bereits heute in kriminelle Aktivitäten eingebunden sind. Ohne Expertise sind solche Angriffe durch die meisten IT-Abteilungen nur schwer zu erkennen und zu filtern. Staatliche Organe, Unternehmen und Betreiber kritischer Infrastrukturen können sich aber mit gezielten Maßnahmen gegen die wachsende IoT-Attacken schützen.
Jens-Philipp Jung
Link11
15:00
Hauptbühne (EG)
Wieso Ransomware nur die Spitze des Eisbergs ist...
Das Katz-und-Maus-Spiel zwischen Angreifer und Verteidigern geht in die nächste Runde. Erpressungswellen verbunden mit Ransomware oder DDoS-Angriffen schwappten durch alle Büros. Der Angriff des Mirai-Botnetzes gab nur einen kleinen Vorgeschmack, was mit dem Internet der Dinge möglich ist.
Frank Schumann
A10 Networks
Faktor Mensch
14:30
Raum 1 (OG)
Social Engineering Live Demo
Sie werden mehr über die Methodik eines professionellen Social Engineers und über die neusten Angriffsvektoren erfahren. Ivano Somaini wird Ihnen verschiedene, in realen Firmen erfolgreich durchgeführte Angriffsszenarien aus seiner 5-jährigen Social Engineering Erfahrung präsentieren und mit Live-Demos veranschaulichen, die weit über die bekannten Ansätze wie z.B. E-Mail Phishing hinausgehen. Er wird erläutern, wie mit Hilfe von kleinsten und scheinbar irrelevanten preisgegebenen Informationen in Finanzinstitute eingebrochen oder industrielles Know-How gestohlen werden kann.
Basierend auf diesen erfolgreich durchgeführten Attacken wird das Referat mit einigen konkreten Hinweisen, wie sich eine Firma möglichst gut vor Social Engineering Attacken schützen kann, abgerundet.
Basierend auf diesen erfolgreich durchgeführten Attacken wird das Referat mit einigen konkreten Hinweisen, wie sich eine Firma möglichst gut vor Social Engineering Attacken schützen kann, abgerundet.
Ivano Somaini
Compass Security
Advanced Cybercrime
16:00
Hauptbühne (EG)
Password Cracking - altes Problem und neue Bedrohungslage
Passworte sind der mit Abstand wichtigste Schutzmechanismus für IT-Systeme. Leistungsstarke Hardware und frei verfügbare Cracking Tools führen dazu, dass viele weit verbreitete Anwendungen kaum noch zu schützen sind. Der Vortrag liefert einen Überblick zum Stand der Technik, erläutert die veränderte Bedrohungslage und gibt Hinweise zu Schutzvorkehrungen und alternativen Lösungen.
Dr. Thilo Zieschang
Cybertrusion
17:00
Hauptbühne (EG)
One Click to Rule Them All: Warum ein Mausklick Schaden anrichten kann
Seit langem ist bekannt, dass transparente Elemente innerhalb eines Webbrowsers eine Gefahr für Benutzer darstellen: Ein Opfer kann auf ein solches Element klicken, ohne zu sehen, dass dadurch ein Klick auf eine andere Schaltfläche erfolgt (Clickjacking). Dabei hat ein Angreifer bspw. die Möglichkeit, ohne Wissen des Opfers Zugriff auf die Kamera oder das Mikrofon zu erhalten. Der Vortrag zeigt wie gefährlich ein Mausklick sein kann. Ein wesentlicher Aspekt ist, dass Programmcode ab dem Zeitpunkt einer vertrauenswürdigen Benutzer-Interaktion in einem höher privilegierten Kontext arbeiten kann.
Marcus Niemietz
Hackmanit
17:30
Hauptbühne (EG)
Deanonymisierung - Grenzen und Möglichkeiten
Deanonymisierung ist eine Gefahr für den Schutz von persönlichen Daten, für Ermittler allerdings eine Notwendigkeit. Dieser Vortrag gibt einen Überblick über das Themenfeld Deanonymisierung und beschreibt Gründe, warum diese eingesetzt wird. Anhand von Beispielen wird gezeigt wie vermeintlich anonymisierte Daten durch die Kombination aus verschiedenen Quellen und mit Wahrscheinlichkeitsberechnungen wieder aggregiert werden können. Aufgezeigt wird welche Möglichkeiten zur Deanonymisierung in Tor-Netzwerken im Darknet in der Forschung diskutiert wurden und welche Methoden vermeintlich von Ermittlungsbehörden eingesetzt werden. Des Weiteren wird gezeigt welche Ansätze entwickelt wurden, um vermeintlich anonyme Websites einem Ersteller bzw. Programmierer zuzuordnen. Dazu werden alle Merkmale einer Website extrahiert und damit ein eindeutiges Profil erzeugt. Dieses Profil kann daraufhin mit anderen Seiten verglichen werden und so kann eine Zuordnung erfolgen.
Tobias Scheible
Hochschule Albstadt-Sigmaringen
Faktor Mensch
16:00
Raum 1 (OG)
KMU Aware/NoPhish - effektive Sensibilisierungsmaßnahmen
Angriffe mit betrügerischen Nachrichten (z.B. in Form von E-Mails, SMS sowie Nachrichten und Posts in sozialen oder beruflichen Netzwerken) stellen nach wie vor eine große Bedrohung für Unternehmen und Privatpersonen dar. Die Verfahren zur automatischen Erkennung gerade bei plausibel aussehenden Nachrichten hängen oft Stunden, Tage oder sogar Monate hinterher. In dieser Zeitspanne ist der Endanwender gefragt die Erkennung schnell und effizient manuell durchzuführen. Bisherige Sensibilisierungsmaßnahmen sind wenig effektiv. Im Rahmen eines vom BMWi geförderten Projektes hat die TU Darmstadt Sensibilisierungsmaßnahmen entwickelt, die nachweislich effektiv sind. Ziel des Vortrages ist es die Probleme existierender Sensibilisierungsmaßnahmen aufzuzeigen, das eigene Konzept und die Ergebnisse der Evaluation vorzustellen sowie die verschiedenen Umsetzungsformen vorzustellen. Die Materialien sind kostenlos unter der Creative Commons Lizenz CC BY-NC-ND-4.0 auf unserer Webseite verfügbar.
Prof. Dr. Melanie Volkamer
Marco Ghiglieri
TU Darmstadt
16:30
Raum 1 (OG)
Internationale Security-Awareness-Kampagnen – interkulturelle Anpassung vonnöten!
Innerhalb des Vortrags wird verdeutlicht, warum Security Awareness Kampagnen nicht eins zu eins in andere Länder ausgerollt werden sollten. Dabei werden der Einfluss der nationalen Kultur sowie die daraus resultierenden Anpassungen bei Kommunikations, Trainings und Schulungsmaßnahmen betrachtet. Das GLOBE Modell zur Evaluation von nationalen Kulturen wird in diesem Rahmen vorgestellt und der Zusammenhang zwischen diesem und Informationssicherheitskampagnen hergestellt. Es können konkrete Länderbeispiele untersucht werden. Im Fokus des Vortrags steht somit die Verbesserung des Erfolgs von Security Awareness Kampagnen in globalen Konzernen.
Angela Baudach
Hewlett Packard Enterprise
17:00
Raum 1 (OG)
Gamification: Awareness für IT-Security durch Business-Simulationen
Eine Kette ist nur so stark wie ihr schwächstes Glied und bei vollständiger digitaler Vernetzung lauern praktisch überall Fallstricke. Der Faktor Mensch bildet dabei einen zentralen Baustein mit maßgeblichem Einfluss auf die IT-Sicherheit im kleinen wie im großen, positiv wie negativ. Weil Maßnahmen für IT-Security nicht immer ohne Komfortverlust und oft auch mit Aufwand verbunden sind, ist es enorm wichtig, Menschen zu überzeugen, zu motivieren und zum nachhaltigen korrekten Handeln anzuregen.
Das bedeutet, Menschen müssen nicht nur Grundlagen und theoretisches Wissen aufbauen und aktuell halten, sondern dies auch praktisch umsetzen können. Der Vortrag stellt den Simulationsansatz vor und beleuchtet ob und wie mit Gamification Menschen als IT-Anwender sowie als IT Experten IT Sicherheit trainieren können. Die Referenten berichten über Grundlagen, Vor- und Nachteile von spielerischen Simulationen und stellen ihre eigene Praxiserfahrung auf Basis selbst durchgeführter Security-Simulationen vor.
Der Vortrag ist neutral und werbefrei, denn wir (DigiTrace / die Referenten) bieten außer gelegentlichen Capture-The-Flag-Schulungen keine Veranstaltungen im Format Gamification an.
Das bedeutet, Menschen müssen nicht nur Grundlagen und theoretisches Wissen aufbauen und aktuell halten, sondern dies auch praktisch umsetzen können. Der Vortrag stellt den Simulationsansatz vor und beleuchtet ob und wie mit Gamification Menschen als IT-Anwender sowie als IT Experten IT Sicherheit trainieren können. Die Referenten berichten über Grundlagen, Vor- und Nachteile von spielerischen Simulationen und stellen ihre eigene Praxiserfahrung auf Basis selbst durchgeführter Security-Simulationen vor.
Der Vortrag ist neutral und werbefrei, denn wir (DigiTrace / die Referenten) bieten außer gelegentlichen Capture-The-Flag-Schulungen keine Veranstaltungen im Format Gamification an.
Martin Wundram
DigiTrace GmbH
Connected World
09:30
Hauptbühne (EG)
The Internet is a Rollercoaster - You Just Have to Ride – IT-Security-Herausforderungen 2017
Getoastet, ausgeblutet, zerschmettert, massakriert: Was für ein Jahr der Internet-Security liegt hinter uns. Die Herausforderungen der vergangenen 12 Monate haben eindrücklich gezeigt, dass die Risiken durch die zunehmende Vernetzung immer größer werden, insbesondere durch die unterschiedliche „Security-Reife“ verschiedener Klassen von Netzbewohnern. Brauchen wir ein Internet der verschiedenen Security-Geschwindigkeiten ähnlich wie manche es wirtschaftlich-politisch für Europa fordern? Oder ist der kleinste gemeinsame Nenner mit vereinter Anstrengung schnell genug anzuheben? In einem Parforceritt durch die drängendsten Security- Herausforderungen 2017 möchte ich zeigen, dass sich analog zur Vernetzung der Geräte auch die Risiken stärker vernetzt haben und was das für eine erfolgreiche Steuerungsstrategie bedeutet.
David Fuhr
HiSolutions
10:00
Hauptbühne (EG)
Automotive Plattform: Ein Lösungsansatz für Datensicherheit und Datenschutz im Fahrzeug
In Zukunft wird die Vernetzung des Automobils weiter zunehmen. Um die Daten des Fahrzeugnutzers zu schützen und den Schutz vor Cyberangriffen zu erhöhen, sollte eine Sicherheitsarchitektur (Automotive Platform) im zukünftig vernetzten Fahrzeug verbaut werden. Eine derartige Plattform schafft einen einheitlichen und interoperablen Standard bezüglich IT-Security und funktionaler Sicherheit (Safety) im Fahrzeug, schützt das Fahrzeug vor unbefugten Zugriffen von außen und kann datenschutzrechtliche Anforderungen „by-Design/by-Default“ abbilden. Anhand des neuen Referenzarchitekturmodells Automotive (RAMA) wird dieser Lösungsansatz skizziert.
Markus Bartsch
TÜViT
10:30
Hauptbühne (EG)
Industroyer – die größte Bedrohung für KRITIS seit Stuxnet
75 lange Minuten herrschte im letzten Dezember Dunkelheit in Kiew. Ein Malware-Angriff hatte erfolgreich einen Stromversorger lahmgelegt. Infolgedessen untersuchten die Experten von ESET eine Malware, die nicht nur zu diesem Angriff in der Lage gewesen wäre, sondern darüber hinaus beliebig anpassbar industrielle Steuerungsanlagen in aller Welt angreifen kann. Passend wurde der Schädling „Industroyer“ getauft. Was genau Industroyer damit gefährlicher macht als Stuxnet & Co., was für Lehren daraus gezogen werden müssen und wie man sich wappnen kann, zeigt dieser Vortrag.
Thomas Uhlemann
ESET
Security by Design
10:00
Raum 1 (OG)
Security by Design für Cloud-basierte Datenaustauschplattformen: Der Industrial Data Space
Thema ist ein Ansatz für Security by Design für Cloud-basierte Datenaustauschplattformen, der insbesondere die werkzeuggestützte Analyse von Dokumenten und Artefakten beinhaltet, die in der Entwicklung dieser Services erstellt werden, auf Einhaltung von solchen Anforderungen. Dies beinhaltet textuelle Anforderungen, modellbasierte Spezifikationen (beispielsweise in der Unified Modeling Language, UML), Programmquellcode (beispielsweise in der Programmiersprache C), und Konfigurationsdaten (beispielsweise Benutzerberechtigungen). Diese Artefakte werden mit automatischen Analysewerkzeugen auf die Einhaltung der jeweils relevanten regulatorischen und insbesondere Sicherheitsanforderungen verifiziert. Der Ansatz unterstützt die Dokumentation und Bewertung gemäß einschlägiger Standards, z. B. ISO 27002 und BSI Grundschutzhandbuch, durch seine Flexibilität aber auch zukünftige in diesem Bereich zu erwartende Standards.
Weiterhin die Anwendung auf den Industrial Data Space1 vorgestellt.
Prof. Dr. Jan Jürjens
University of Koblenz-Landau
10:30
Raum 1 (OG)
Referenzimplementierung von Security by Design anhand eines industriellen Datenerfassers
Der Vortrag zeigt anhand einer Referenzimplementierung die Integration von Security by Design in einem embedded Linux-System eines IoT-Datenkollektors für Industrie 4.0 basierend auf einem TPM 2.0-Chip.
Markus Jostock
Arend Prozessautomation
Connected World
11:30
Hauptbühne (EG)
Wie kann rechtskonforme Big Data-Analyse im Auto aussehen?
Das BMWi fördert im Rahmen der Smart Service Welt ein Forschungsprojekt zur sicheren Datenverarbeitung im Auto. Mit dem Projekt CAR-BITS.de soll Datenschutz in der Automobil-Branche Wirklichkeit werden.
Wenn vernetzte Autos durch die Straßen fahren, übermitteln Sensoren den jeweiligen Standort, den Zustand der Straßen oder wie schnell das Auto fährt. Daten wie diese sind so lange unbedenklich, solange sie nicht in Zusammenhang mit Personen gebracht werden können. Leider ist eine Korrelation heute für die Hersteller noch immer ein Leichtes. Gemeinsam mit der Continental Automotive GmbH, dem Fraunhofer Institut AISEC und der Hochschule Bonn-Rhein-Sieg entwickeln die Sealed Cloud Technologies Experten von Uniscon einen Prototyp, der zeigt, wie Big Data auszuwerten ist, ohne dass Datenschutzrechte verletzt werden. Ziel ist es, eine Dienste-Plattform zu verwirklichen, die verschiedenen Anwendungsbereichen Daten zur Verfügung stellt, welche aus den Systemen von Autos stammen. Gleichzeitig muss das Recht des Fahrers auf informationelle Selbstbestimmung gewahrt bleiben. Damit bietet CAR-BITS.de die Möglichkeit, Big Data aus dem Straßenverkehr effizient zu nutzen.
Dr. Hubert Jäger
Uniscon
12:00
Hauptbühne (EG)
Sichere Softwarearchitekturen für Industrial Security
Wie erstellt man Software für industrielle Anwendungen so, dass möglichst wenige Sicherheitslücken enthalten sind? Welche Architekturen begrenzen den Schaden bei den verbleibenden Lücken ?In diesem Vortrag wird diskutiert, wie aktuelle Verfahren der Softwareentwicklung und Architektur wie etwa Container, Microservices, Unikernels, funktionale Programmierung und andere auf die Entwicklung von embedded Software übertragen werden können.
Prof. Till Hänisch
Duale Hochschule BW
12:30
Hauptbühne (EG)
Unterzeichnung der Kooperationsvereinbarung zwischen dem eco e. V., dem Landeskriminalamt Nordrhein-Westfahlen und dem networker NRW e. V.
Security by Design
11:30
Raum 1 (OG)
Ist Identity & Access Management mit Need-To-Know-Prinzip möglich? Ja!
Æ-DIR ist ein paranoides Identity & Access Management mit OpenLDAP. Im Gegensatz zu anderen LDAP-Servern muss für an Æ-DIR angeschlossene Systeme die Sichtbarkeit von Benutzern und Gruppen immer explizit erlaubt werden. Dies erfolgt rein über Datenpflege in Æ-DIR. LDAP-fähige Anwendungen müssen auch dank Schemakompabilität nicht speziell für Æ-DIR angepasst werden. Zudem wird die Administration auf mehreren Ebenen an kleine Benutzergruppen delegiert, um zu mächtige Stellvertreter-Rollen zu vermeiden. Dies macht auch Genehmigungsprozesse überflüssig. Strikte Vorgaben im System dienen der langfristigen Auditierbarkeit und somit als Grundlage für detaillierte Compliance-Prüfungen. Ferner wird die Integration von Zwei-Faktor-Authentifizierung mit OATH-LDAP und ein sicherer Initialisierungsprozess für die Ausgabe von yubikey-Tokens vorgestellt. Eine Vorgängerversion dieses Konzepts wird z.B. in einem Internet-Unternehmen für administrative Zugriffe auf 15000+ Linux-Server eingesetzt.
Michael Ströder
Ströder Consulting
Connected World
14:30
Hauptbühne (EG)
Geteilte Verantwortungen in der Connected World – Chance oder Schicksal?
In der Connected World sind wir zunehmend auf die Verlässlichkeit von IT-Systemen angewiesen. Software treibt Alltagsgegenstände, Beförderungsmittel und Lebenswichtiges an. Die damit verbundenen Risiken sind nicht immer voraussehbar. Teils verlagern sie sich überraschend. Die Nutzer – aber auch scheinbar Unbeteiligte - sind ihnen ausgesetzt. Zu jeder Dienstleistung und jedem Produkt tragen Viele bei – nicht selten sitzen sie auch noch in unterschiedlichen Ländern. Geht etwas schief, ist oft nicht klar, wer die Verantwortung trägt. Dieser Vortrag soll aufzeigen, wie Verantwortung in der Connected World sinnvoll verteilt werden kann. Welche Mittel stehen zur Verfügung? Wie kann man Sicherheiten schaffen und Risiken minimieren? Welche juristischen Wege stehen zur Verfügung? Bieten Verträge hinreichende Sicherheit? Wie ist das Verhältnis zwischen Haftung für ein Produkt und tatsächlichem Einfluss auf ein Produkt? Diese und weitere Fragen sollen aus einer wirtschaftlich-technisch-juristischen Sicht beleuchtet werden. Praxisnahe Lösungsansätze sowie Risikoverteilung stehen im Fokus der Präsentation.
Dr. Timm Neu
cleverbridge
15:00
Hauptbühne (EG)
Der Mensch an der Schnittstelle zur Technik – Praxishilfe in der Umsetzung von Cybersicherheit durch den IT-Security-Navigator
Die aktuellen Vorgaben der IT-Sicherheit werden vorwiegend aus technischen Normen und Standards sowie aus Gesetzen abgeleitet, die von Experten entworfen und durch entsprechende Beratungsunternehmen sowie Inhouse-Consulting-Maßnahmen für das einzelne Unternehmen konkretisiert werden. Was jedoch, wenn ein Unternehmen weder über eigenen technischen noch juristischen Sachverstand verfügt, aber dennoch zur Umsetzung angemessener IT-Security verpflichtet ist – nicht selten müssen sich gerade zahlreiche KMUs diese Frage stellen. Abhilfe schafft hier der IT-Security-Navigator: In ihm sind alle deutschen und europäischen Rechtsvorschriften zur Cybersicherheit gelistet, verknüpft mit sämtlichen Normen und Standards für diesen Bereich – und das branchenübergreifend. Zugleich werden gesetzliche Begriffe wie der „Stand der Technik“ unmittelbar durch die technische Normung konkretisiert. Ein einzigartiges Tool, das dem Anwender eine sofortige und zuverlässige Erst-Entscheidungshilfe zur Verfügung zu stellt, wie verpflichtende IT-Security-Maßnahmen richtig implementiert werden können.
Dr. Dennis-Kenji Kipker, Universität Bremen
Sven Müller, VDE
Security by Design
14:30
Raum 1 (OG)
Continuous Security in Modernen Webanwendungen
Gerade vor dem Hintergrund von immer kürzeren Releases (Continuous Delivery und Continuous Integration) wird häufig die Sicherheit vernachlässigt. Penetrationstests sind dabei als Sicherheitsmaßnahmen nicht ausreichend. Durch die Schnelligkeit und Häufigkeit von Deployments, steht gerade die IT-Sicherheit vor neuen Herausforderungen und es sind ähnlich wie bei der DevOps-Intitiative weitere Maßnahmen nötig, um die IT-Sicherheit und die Entwicklung enger zu verzahnen. Dabei wird ironischerweise auch vom Continuous Anonymen geprochen. Neben der klassischen Java-Architektur gilt es bei einer solchen Betrachtung aber auch die gerade aktuell sehr populären JavaScript-Umgebungen mit einzubeziehen. Deren Schnelllebigkeit bringt dabei eine weitere Dimension in die Betrachtung, die aber damit auch eine Chance bietet, wie im Folgenden dargestellt wird.
Martin Reinhardt
Holisticon
15:00
Raum 1 (OG)
Wie kann die Sicherheit eines Produktes und Entwicklungsprozesses gemessen werden?
Security by Design Prozesse sind mehr und mehr gefragt und es gibt weitentwickelte Frameworks die benutzt werden können, wie Microsoft Secure Development Lifecycle (SDL), Adobe SPLC oder BSIMM. Aber es ist noch immer schwer diese Prozesse mit Agile zu verbinden, und das Einführen der Prozesse kann nicht von einen Tag auf den anderen passieren. Wo steht man? Wie steht man verglichen zu den Anderen? Was ist das Ziel bis Ende des Jahres? Das sind Fragen die wir oft von unseren Produkt Managern hören. Um diese Fragen beantworten zu können haben wir die für uns wertvollsten 5 Kernaktivitäten der existierenden Systeme genommen und diese messbar gemacht. In der Präsentation werde ich zeigen wie unser Core-SDL Ansatz benutzt werden kann um diese Fragen zu beantworten. Ich werde auch zeigen wie der aktuelle Status gemessen und visualisiert wird, weiterhin zeige ich auch eine Repräsentation die für den Aufsichtsrat hilfreich ist.
Dr.rer.nat. Mark Vinkovits
LogMeIn Hungary
15:30
Keynote
