Auch 2018 erwartet Sie auf den Internet Security Days ein umfangreiches Programm. Freuen Sie sich auf zahlreiche Keynotes, Vorträge, Panels und Workshops am 20. September von 09:00 Uhr bis 18:00 Uhr mit anschließender Internet Security Night und am 21. September von 9:30 Uhr bis 16:30 Uhr im Phantasialand. Die Programm-Seite wird laufend aktualisiert!

Themen der
Internet Security Days 2018

In vier parallelen Slots sind dies die Themen der ISD18

Cybercrime

Die drei Bereiche „Vorbeugen“, „Verhindern und Abwehren“ sowie „Reagieren“ sind maßgeblich für eine umfassende Sicherheitsstrategie. Awarenesskampagnen und Sensibilisierungsmaßnahmen rüsten den Faktor Mensch und ergänzen technische Abwehrmechanismen wie Firewalls, IDS/IPS und AV-Produkte. Wenn sich dennoch ein Vorfall ereignet, können Security Operations Center und intelligente Software die Arbeit der Notfallteams unterstützen. Gezielte Trainings bereiten auf den Notfall vor.

Zukunftstechnologien

Welche Technologien machen uns in Zukunft sicherer und wie steht es um die Sicherheit des autonomen Fahrens, vernetzter Fahrzeuge, IoT und SmartX? Wie können neue Ansätze wie Künstliche Intelligenz oder die Blockchain Sicherheitsprobleme von heute lösen? Wie sieht die Sicherheit von morgen aus?

Rechts- und Normenrahmen

EU-DSGVO, NIS-Richtlinie, E-Privacy-Richtlinie oder IT-Sicherheitsgesetz sind nur einige der rechtlichen Normen, die in jüngster Zeit auf den Weg gebracht wurden oder kurz vor ihrer Umsetzung stehen. Welche Auswirkungen haben sie im Unternehmensalltag? Wie kann es gelingen, damit das Internet und IT nachhaltig sicherer zu machen? Welche Rolle spielen dabei Zertifizierungen?

Tipps, Tricks & Best Practice

Anwender stehen häufig vor dem Problem, den richtigen Weg im Wald der Sicherheitslandschaft zu finden. Wie können Administratoren oder Sicherheitsverantwortliche siedabei unterstützen? Oftmals sind es gar nicht die hochkomplexen Lösungen, die zum alleinigen Erfolg führen, auch pragmatische Ansätze können sinnvoll sein. Wie kann ein bestimmtes IT-Sicherheitsproblem konkret gelöst werden? Welche Strategien haben sich in der Praxis bewährt?

Workshops

In diesem Jahr bieten wir für unsere Teilnehmer erstmalig zweistündige Workshops zu den Themenschwerpunkten der ISD18 an. In diesen erhalten die Teilnehmer die Möglichkeit, einzelne Themen ausführlicher kennenzulernen und ausgewählte Sicherheitsfragen in kleiner Runde zu besprechen. Die Workshops finden parallel zu den Security Sessions statt. Jeder Teilnehmer erhält zusätzlich Workshopunterlagen sowie auf Wunsch eine Teilnahmebestätigung. Die Teilnahme an den Workshops ist nur für Konferenzteilnehmer und nach vorheriger Anmeldung möglich. Die Kosten für die Anmeldung betragen pro Workshop 149 Euro. Die Anzahl der Anmeldungen ist limitiert. Sollte der Workshop aufgrund zu geringer Nachfrage nicht zustande kommen, werden diese Kosten zurückerstattet. Erstmals bieten eco und heise Events auch einen Workshop am Vortag zum Thema Sicheres Single Sign-on in Kerberos-Umgebungen an. Alle Informationen hierzu finden Sie bei heise Events.

Sie haben Fragen?
Kontaktieren Sie uns!

Cornelia Schildt

Cornelia Schildt
Agenda
cornelia.schildt(at)eco.de

Internet Security Days 2018 - das Branchenevent der besonderen Art! 2

Ute Roos
Agenda
ur(at)ix.de

11:00 Uhr - 11:30 Uhr
Kaffeepause

Keystage

Raum 1

Raum 2.1 / Raum 2.2

11:30 - 12:00
Keystage

Reserviert für unsere Partner

mehr...
12:00 - 12:30
Keystage
Cybercrime

Bluff me if U can

Matas stellt die neuesten tiefenpsychologischen Studien "Bluff me if U can" (Thema Social Engineering = SE) und "Von der Ente zur End-Täuschung" zum Thema Desinformation vor und warum wir wider besseren (kognitiven) Wissens immer wieder und mit zunehmender Lust auf Manipulationen reinfallen. Sie zeigt, worin im Kontext unserer sich verändernden kulturellen Bedingungen der persönliche Vorteil besteht, auf Lügen reinzufallen. Außerdem gibt sie einen Überblick über geeignete systemische Präventions- und Awareness-Maßnahmen zu Cyber Crime, Social Engineering, Fake News et cetera und zur Nachsorge im Kontext von Incident Management & Co. Hier spielen deutlich mehr als bei anderen Vorfällen Schuld und Scham infolge von Social Engineering und anderen Manipulationen eine entscheidende Rolle. In Abgrenzung zu den klassischen IT-getriggerten Meldewegen erfordert hier das Reporting und die Nachsorge psychologisches Fingerspitzengefühl, um als Organisation auch nachhaltig im Sinne einer Reifung und Resilienz zu profitieren.
mehr...
Bluff me if U can
Ivona Matas, known_sense
12:30 - 13:00
Keystage
Cybercrime

Schwachstelle Mensch: Moderne digitale Angriffe gegen Mitarbeiter

Angriffe auf Unternehmen auf digitalem Wege werden immer häufiger und die Angreifer stets professioneller. Dabei werden Nutzer immer öfter das primäre Ziel von Hacking-Attacken. Der Vorteil für Angreifer ist klar: Ein Hacker braucht nur einen Nutzer von Tausenden, der auf seinen Angriff hereinfällt, damit er erfolgreich ist. Zusätzlich umgehen viele dieser Angriffe gegen Nutzer auch die teuersten technischen Sicherheitsmaßnahmen. Deshalb sind Angriffe gegen Mitarbeiter eine immer größere Gefahr für Unternehmen. In diesem Live-Hacking Vortrag zeigt Sascha Herzog, wie einfach und effektiv solche Angriffe sind und wie professionelle Hacker vorgehen. Teilnehmer erlangen einen Einblick in echte Attacken, die von NSIDE erfolgreich durchgeführt wurden. Dadurch wird das Bewusstsein der Teilnehmer für solche Angriffe geschärft und ein Verständnis für das Vorgehen professioneller Angreifer geschaffen.
mehr...
Schwachstelle Mensch: Moderne digitale Angriffe gegen Mitarbeiter

Sascha Herzog, NSIDE ATTACK LOGIC GmbH

11:30 - 12:00
Raum 1

Reserviert für unsere Partner

mehr...
12:00 - 12:30
Raum 1
Tipps und Tricks

Login-"Tickets" mit SSH Certificates

Admins und Entwickler lieben SSH! Und natürlich verwenden sie meist SSH-Benutzerschlüssel für den Zugriff, installiert auf den Zielsystemen als sogenannte "authorized keys". Allerdings verleiten viele gut gemeinte Anleitungen im Internet zu einer bequemen, aus Sicherheitssicht aber fragwürdigen Nutzung von SSH-Schlüsseln.

Wie werden private Schlüssel sicher gespeichert? Passphrase? Smartcard? Nutzung auf mehreren Clients und Gateways? Und wie wird die Authentizität der öffentlichen Schlüssel gewährleistet? Wie werden zuverlässig obsolete Schlüssel wieder von Zielsystemen entfernt?

Eine Lösungsmöglichkeit stellt die Nutzung von nur kurzzeitig gültigen SSH-Schlüsselzertifikaten dar, die einem Benutzer nach erfolgreicher Mehrfaktor-Authentifizierung ausgestellt werden. Eine entsprechende Implementierung für einen Hosting-Provider wird im Vortrag vorgestellt.

Dabei wird insbesondere auch erläutert, warum eine Nutzung von Smartcards in diesem Anwendungsfall nicht geeignet war.

mehr...
Login-

Michael Ströder

12:30 - 13:00
Raum 1
Tipps und Tricks

Web Application Pentesting mit OpenSource-Werkzeugen

Diese Session wird Ihnen einen fundierten Überblick über die Tools und ihre Nutzungsarten geben, die Security-Professionals und Pentester in ihrer täglichen Arbeit einsetzen, um Sicherheitslücken (manuell und teilautomatisiert) aufzuspüren. Trotz des hohen Qualitätsgrads der unterstützenden Tools in diesem Bereich ist dies für viele Entwicklungsprojekte noch ein unbekanntes Terrain und damit ungenutztes Potenzial. Da so manchem Projekt der Einsatz des einen oder anderen Werkzeugs helfen würde, sichere Software zu entwickeln, lohnt es sich, sich einen guten Überblick zu verschaffen: Nach meinem Vortrag kennen Sie die Tools der Profis mitsamt Einsatzart, Zweck sowie Vor- und Nachteilen – in der Hoffnung, dass deren Einsatz nicht nur in der Hand der Pentester bleibt, sondern zum Entwickeln besserer Software beiträgt.
mehr...
Web Application Pentesting mit OpenSource-Werkzeugen

Christian Schneider, Schneider IT-Security

Workshop
12:00 - 15:30
Raum 2.1

DSGVO-Management - Sicherstellung dauerhafter Datenschutz-Compliance

(Mittagspause: 13:00 Uhr - 14:30 Uhr)

Mit der neuen europäischen Datenschutz-Grundverordnung müssen Unternehmen Datenschutz nachhaltig implementieren und nachweislich etwas für ihre IT-Sicherheit tun. Der Workshop gibt praktische Hilfestellungen zu folgenden Schwerpunkten:

  • Überführung von DSGVO-Projekten in Unternehmensaufgaben - Dauerhafte Herstellung von gesetzeskonformer IT-Sicherheit
  • Umgang mit Dienstleistern und Unterauftragnehmern
  • Steuerung im Konzern
  • Priorisierung noch nicht erledigter Anforderungen der DSGVO
  • Rechtliche, technische, organisatorische und personelle Aufgaben
mehr...
DSGVO-Management - Sicherstellung dauerhafter Datenschutz-Compliance

Karsten Bartels, HK2 Rechtsanwälte

Workshop
12:00 - 15:30
Raum 2.2

Windows 10: Nach Hause telefonieren ... Oder eine kleine Geschichte vom Verbindungsabbruch.

(Mittagspause: 13:00 Uhr - 14:30 Uhr)

Das Thema Datensammeln ist weder neu, noch mit Windows 10 ins Unternehmen gekommen. Und es ist auch kein Alleinstellungsmerkmal des neuen Microsoft-Betriebssystems. Die Hälfte der Komponenten gibt es schon in Windows 7, nur wurden sie da meist ignoriert. Neu ist das Ausmaß sowie die Individualisierung der Datenpakete, die unterm dem Punkt "Telemetrie" definiert ist. Welche Möglichkeiten hat ein Systemverantwortlicher in einem Unternehmensumfeld, diese Datenströme zu kontrollieren, zu reduzieren oder gar abzuschalten? Es gibt offizielle Dokumente von Microsoft und von einer deutschen Behörde, in der die Methoden genannt werden. Der Workshop zeigt die wichtigsten Stellen im System und gibt Hilfestellungen bei beliebten Stolpersteinen, die sich durch das Abschalten von "Daten senden" ergeben. Datenschutz versus Sicherheit versus Funktionalität – hier gilt es, Prioritäten zu setzen und akzeptable Kompromisse zu finden.

mehr...
Windows 10: Nach Hause telefonieren ... Oder eine kleine Geschichte vom Verbindungsabbruch.

Mark Heitbrink

13:00 Uhr - 14:30 Uhr
Mittagspause

14:30 - 15:00
Keystage

Reserviert für unsere Partner

mehr...
15:00 - 15:30
Keystage
Cybercrime

Wolkenbruch - Wie verwundbar sind Cloud-Lösungen

Der Referent gibt einen Überblick zu Hypervisor-Technologien und dem Management sowie Aufbau in typischen RZ-Umgebungen. Wie sehen die Vertrauensstellungen von Kunden- und Management-Systemen aus? Welche Angriffe haben welche Auswirkungen und warum sind virtualisierte Firewalls und Sicherheitsappliances nicht mehr als Makulatur?

Zu den Angriffs-Methoden werden einige prominente Angriffe aus der Vergangenheit gezeigt und die neuen "dem Nutzer unbekannten" Vektoren erläutert. CPU, RAM und VGA-Adapter sind plötzlich als ein externes Interface wie ein USB-Port oder eine Ethernet-Verbindung zu sehen.

mehr...
Wolkenbruch - Wie verwundbar sind Cloud-Lösungen

Lukas Grunwald, DN-Systems Enterprise Internet Solutions GmbH

14:30 - 15:00
Raum 1

Reserviert für unsere Partner

mehr...
15:00 - 15:30
Raum 1
Tipps und Tricks

Alice und Bob im Wunderland - Was wir aus Krypto-Fails lernen können

Die Sicherheitsziele Vertraulichkeit, Integrität, Authentizität und Nicht-Zurückweisbarkeit lassen sich mittels kryptografischer Verfahren erreichen. Kryptografische Verfahren werden allerdings häufig missverstanden und so kommt es zu unsicheren Methoden des Schlüsselaustausches oder zum Einsatz von Festplattenverschlüsselungen, wenn stattdessen eine Verschlüsselung einzelner Daten angebrachter gewesen wäre. Auch im Umfeld Datenbankverschlüsselungen gibt es gute Strategien und schlechte Umsetzungen. Zu guter Letzt wird auf einige Möglichkeiten beim Einsatz von Kryptografie in Cloud-Umgebungen eingegangen.
mehr...
Alice und Bob im Wunderland - Was wir aus Krypto-Fails lernen können

Inés Atug, HiSolutions AG

15:30 Uhr - 16:00 Uhr
Kaffepause

16:00 - 16:30
Keystage
Cybercrime

Demystification APT

Einführung in die Advanced Persistent Threats. Aufbau, Organisation und Technik von APTs. Vorstellung des Hammertoss- und Snake-Tools und der Angriffe der APT 28 und 29 Group. Vorstellung möglicher Reaktionsstrategien.
mehr...
Demystification APT

Volker Kozok, BMVG

16:30 - 17:00
Keystage
Cybercrime

Erkennung manipulierter Cyberwaffen durch Reverse Engineering

In dieser Präsentation werden einige der am häufigsten verwendeten Eigenschaften von Cyberwaffen diskutiert, wie sie manipuliert und Ihre Erkennung ermöglicht werden kann. Erkennung ermöglicht Verteidigung, Prävention alleine reicht nicht mehr aus. Je nach Zählart gibt es bis zu 1 Mio neue Malwaresample pro Tag. Dies sind jedoch meist wiederverwendete Codefragmente und Neuzusammenstellungen von alten Angriffsvektoren. Ein Beispiel hierfür ist z.B. NotPetya, welche es zur einiger Bekanntheit gebracht hat. In dem Vortrag soll beleuchtet werden, warum und wie Malwarecode wiederverwendet wird und welche Möglichkeiten bestehen, Malware anhand des wieder verwendeten Codes zu entdecken. Darüber hinaus werden die einzelnen Verfahren hinsichtlich ihrer Zuverlässigkeit besprochen sowie Wege aufgezeigt, wie mit dieser Bedrohung umhergegangen werden kann und wie Angriffe zuverlässig erkannt und beendet werden können.
mehr...
Erkennung manipulierter Cyberwaffen durch Reverse Engineering

Oliver Keizers & Nikolei Steinhage, Fidelis Cybersecurity GmbH

17:00 - 17:30
Keystage
Cybercrime

Angriffe gegen kritische Infrastrukturen. Was wir aus KRITIS gelernt haben

Die Sicherheit kritischer Infrastrukturen wird immer wichtiger und nimmt bei immer mehr Unternehmen einen hohen Stellenwert ein. Der Vortrag soll Angriffe der letzten drei Jahre darstellen und aufzeigen, inwiefern die Unternehmen daraus gelernt haben. Hierbei soll aufgezeigt werden, dass es nicht reicht, einfach nur ein Gesetz umzusetzen - in diesem Fall das BSIG sowie die Kritis-Verordnung. Sondern man sollte sich vielmehr der Gefahr der Digitalisierung bewusst werden. In vielen Unternehmen wird die IT-Sicherheit immer noch "nebenbei mitgemacht", ohne den richtigen Stellenwert zu erlangen. Die sicherheitsrelevanten Ereignisse und Rückmeldungen aus dem Markt sollen hierbei als mahnende Beispiele dienen.
mehr...
Angriffe gegen kritische Infrastrukturen. Was wir aus KRITIS gelernt haben

Daniel Jedecke, HiSolutions AG

17:30 - 18:00
Keystage
Cybercrime

Implementation eines SOC - aus der Organisations-Perspektive

Ein SOC macht doch irgendwas mit IT-Security, oder? Also wird die IT-Linienorganisation beauftragt, eine solche Organisation zukünftig zu betreiben. Oft genug ohne konkrete Zielvorgaben, ohne Abgrenzung zu bereits bestehenden Einheiten, ohne konkretes Budget. Die Erfahrung zeigt: Bereits in der Implementation eines SOC können gravierende Fehler die SOC-Mission zum Scheitern verurteilen. Der Vortrag setzt daher den Schwerpunkt der "SOC-Organisation" und plädiert für eine skalierbare Leistungseinheit mit konkreter Aufgabenstellung. Praxistipps aus abgeschlossenen Projekten und Beratungsmandaten zeigen die typischen "Showstopper" einer erfolgreichen SOC-Implementation auf. Der Vortrag beantwortet auch die Frage, wieso der Firewalladmin in der Regel nicht der geeignete SOC-Mitarbeiter ist.
mehr...
Implementation eines SOC - aus der Organisations-Perspektive

Tim Cappelmann, AirITSystems GmbH

16:00 - 16:30
Raum 1

Reserviert für unsere Partner

mehr...
16:30 - 17:00
Raum 1
Cybercrime

Awareness messen - Dos and Don'ts

Awareness ist eins der Schlagwörter unserer Zeit. Doch was ist das eigentlich? Und wie kann man die aktuelle Awareness seiner Mitarbeiter messen? Die Antwort lautet: durch realitätsnahe Simulation von Angriffen. Doch dabei gibt es einiges zu beachten. Einige Beispiele:
  • Ein häufiger Fallstrick beim Messen von Awareness ist die Aussagekraft der Ergebnisse. Es haben beispielsweise 9 % der Mitarbeiter eines Unternehmens auf eine simulierte Phishing-E-Mail geklickt. Was aber heißt das nun? Das Unternehmen ist vielleicht besser als der Branchendurchschnitt bei dieser E-Mail, aber ist es sicher? Wie sieht es bei anderen, also realen Angriffen aus?
  • Ein weiterer Fallstrick ist das Thema Betriebsrat. Mit solchen Simulationen bewegt man sich an der Grenze zur Mitarbeiterüberwachung. Wie sollte man vorgehen, um den Betriebsrat als Motivator zu gewinnen, und ihm nicht als Gegner gegenüberzustehen?
  • Ein weiteres wichtiges Thema ist die Mitarbeiter-Zufriedenheit. Wie lässt sich also eine solche Simulation in die Unternehmenskultur einbinden?
mehr...
Awareness messen - Dos and Don'ts

David Kelm, IT-Seal

17:00 - 17:30
Raum 1

Reserviert für unsere Partner

mehr...
17:30 - 18:00
Raum 1
Tipps und Tricks

Informationspflichten nach der DSGVO: Tipps und Tricks zur Umsetzung

Die DSGVO erweitert die bestehenden Informationspflichten von Unternehmen erheblich. Neben detaillierteren Pflichten bei Datenschutzerklärungen auf der Webseite ergeben sich auch zahlreiche neue Informationspflichten gegenüber sonstigen Betroffenen wie Partnern, Lieferanten, Bewerbern etc. Auf der anderen Seite sollen Informationen klar, verständlich und transparent sein. Unternehmen stehen daher vor einer großen Herausforderung. Wer ist von den Informationspflichten betroffen? Wie kann die Informationsflut den Anforderungen der DSGVO an eine klare und einfache Sprache sowie dem Gebot der Transparenz gerecht werden? Welche Rolle spielen dabei One-Pager, Piktogramme, Videos und Infografiken? Und auf welche Weise können Informationen effizient übermittelt werden? Das alles wird anhand von Praxisbeispielen sowie Best Practises (und solchen, die es noch werden können) aufgezeigt.
mehr...
Informationspflichten nach der DSGVO: Tipps und Tricks zur Umsetzung

Dr. Judith Nink, eyeo GmbH

Workshop
16:00 - 18:00
Raum 2.1

Der Mensch und seine Schwächen? Lassen Sie sich nicht (mehr) manipulieren!

Wie groß ist der menschliche Einfluss auf die IT-/Informationssicherheit? Der Mensch kann ein positiver Sicherheitsfaktor, aber auch eine Sicherheitslücke sein. Der Wirtschaftsschutz (eine Unterabteilung des Verfassungsschutzes Niedersachsen, präventive Spionageabwehr) berät zu Themen des Know-how-Schutzes, unter anderem zu „Social Engineering“. Diese sehr erfolgreiche Angriffsart, das gezielte Ansprechen und Manipulieren von Menschen, ist ein effizientes Werkzeug in der Spionage beziehungsweise Wirtschaftsspionage. Anhand von Beispielen werden im Workshop verschiedene Perspektiven beleuchtet (sensibilisierter Mitarbeiter bis hin zur Innentäterproblematik) und Schlüsse/Empfehlungen daraus abgeleitet.

mehr...
Der Mensch und seine Schwächen? Lassen Sie sich nicht (mehr) manipulieren!

Jörg Peine-Paulsen, Niedersächsischen Ministerium für Inneres und Sport

Workshop
16:00 - 18:00
Raum 2.2

Sicherheit von Windows-Umgebungen

Seit 2015 ist mit Windows 10 das „letzte“ und „sicherste“ Windows aller Zeiten auf dem Markt. Dass nicht nur Marketing hinter den Slogans steckt, zeigen beispielsweise die Entwicklungen im Fall „Creators Update". So bietet sowohl Windows 10 als auch Server 2016 zahlreiche neue Sicherheitsfunktionen, die versprechen, bisherige Drittprodukte abzulösen. Von Windows Defender über Just Enough Administration bis hin zu den Sicherheitsmechanismen, die über Azure und Office 365 bereitgestellt werden, liefert Microsoft für viele bekannte Probleme eine hauseigene, integrierte Lösung. Was diese Features wirklich leisten und wo die Tücken stecken, verrät Microsoft oftmals nicht – wir schon.

mehr...
Sicherheit von Windows-Umgebungen

Christian Biehler, cirosec GmbH

ab 18:30 Uhr
Internet Security Night

Keystage

Raum 1

Workshops

9:30 - 10:00
Keystage
Zukunftstechnologien

Spectre & Co. für Normalsterbliche – Wie man Muggels Schwachstellen erklärt

In dem Maße, wie Schwachstellen, Exploits und IT-Risiken immer komplexer werden, wird es zunehmend schwieriger, neue Entwicklungen Laien, die von ihnen betroffen sind, verständlich zu machen. Auch viele IT- und sogar Security-Experten ringen damit, Meltdown, Spectre, Rowhammer, KRACK und Co. so schnell ausreichend tief zu verstehen, dass sie die Auswirkungen auf eine bestimmte Infrastruktur zeitnah beurteilen können.

Ich habe in den letzten Monaten mit verschiedenen Bildern experimentiert, die helfen können, dass auch Anna und Otto Normalverbraucher die Auswirkung von Spectre auf ihr Fotoalbum in AWS verstehen können - oder Menschenrechtsaktivisten und andere Nicht-IT-Profis ihre Angreifbarkeit besser beurteilen. Im Idealfall könnten die von mir vorgeschlagenen Metaphern Einsteigern in die Sicherheitsforschung einen Schnellstart in neue, aufregende Themen oder Welten eröffnen.

mehr...
Spectre & Co. für Normalsterbliche – Wie man Muggels Schwachstellen erklärt

David Fuhr, HiSolutions AG

10:00 - 11:30
Keystage
Zukunftstechnologien

ID4me: Authentisierung per Domain, Datenhoheit per Default: Universelles Single Sign-On offen, frei & sicher

Non-Profit-Initiative ID4me: Eine ID für alles.

Es handelt sich dabei um eine sichere, unabhängige und open-source-basierte Single-Sign On-Möglichkeit für User. Eine Alternative zu Facebook und Co, bei der User die Datenhoheit behalten.

ID4me soll Nutzern ein einfaches Tool an die Hand geben, mit dem sie festlegen können, welchen Online-Unternehmen sie etwa ihre vollständigen persönlichen Daten anvertrauen wollen, wem sie die Postadresse nicht geben, weil diese nicht benötigt wird, und wem gegenüber sie nur mit Pseudonym auftreten wollen. Die Zugriffsberechtigungen lassen sich auch nachträglich ändern oder widerrufen.

Neben Unabhängigkeit von ID4me und Datenhoheit der Benutzer gibt es eine weitere sicherheitsrelevante Differenzierung zu den gängigen Single Sign-Ons: Es findet eine Trennung zwischen "Identity Authority" und "Identity Agent" statt, also Passwort und Userdaten werden bei getrennten Anbietern abgefragt und damit ein weitaus höherer Schutz bei Angriffen geboten.

mehr...
ID4me: Authentisierung per Domain, Datenhoheit per Default: Universelles Single Sign-On offen, frei & sicher

Marcos Sanz Grossón, Denic

10:30 - 11:00
Keystage
Zukunftstechnologien

Kann die Blockchain eine PKI ersetzen?

Die Blockchain-Technik ist vor allem durch Krypto-Währungen wie Bitcoin bekannt. Doch mit einer Blockchain lässt sich auch ein öffentlicher Schlüssel an eine Identität binden – dadurch entsteht eine Alternative zu einer klassischen Public-Key-Infrastruktur (PKI). Im Gegensatz zu einer herkömmlichen PKI besitzt eine Blockchain jedoch keine übergeordnete Stelle, die prüft, ob die betreffende Person wirklich den jeweiligen Schlüssel besitzt. Um diesen Gegensatz aufzulösen, gibt es verschiedene Ansätze, die vom Einbinden einer vertrauenswürdigen Instanz bis zum völligen Verzicht auf eine Prüfung reichen. Teilweise verliert man hierbei bestimmte Vorteile einer Blockchain, teilweise sind einige PKI-Anwendungen nicht mehr möglich. Den unbestrittenen Möglichkeiten einer Blockchain-PKI stehen nicht nur deshalb auch einige Nachteile gegenüber. Dieser Vortrag führt in das Thema Blockchain-PKI ein und geht auf Nutzen und Risiken dieser Technologie ein.

mehr...
Kann die Blockchain eine PKI ersetzen?

Klaus Schmeh, cryptovision

11:00 - 11:30
Keystage

Reserviert für unsere Partner

mehr...
9:30 - 10:00
Raum 1

Reserviert für unsere Partner

mehr...
10:00 - 10:30
Raum 1
Rechts- und Normenrahmen

Das neue Geheimnisschutzgesetz - Rechtsschutz nur gegen Vorleistung der Unternehmen

Am 8.6.2018 endet die Umsetzungsfrist für die EU-Richtlinie zum Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse). In Deutschland soll künftig ein "Geheimnisschutzgesetz" gelten und regeln, wann und unter welchen Umständen ein Unternehmen Rechtsmittel gegen die Verletzung von Geschäftsgeheimnissen erhält. Ein Geschäftsgeheimnis liegt nur vor, wenn es sich um geheime Informationen handelt, die deswegen einen kommerziellen Wert haben, weil sie geheim sind. Außerdem müssen sie "Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person (sein), die die rechtmäßige Kontrolle über die Informationen besitzt". Unternehmer sind also gefragt, solche Geheimhaltungsmaßnahmen zu definieren und umzusetzen. Zudem sollen Whistleblower geschützt werden. Wie das geschehen soll, ist umstritten. Für Unternehmen stellt sich die Frage, wie sie auch in dieser Hinsicht möglichst rechtssicher verhalten und aufstellen sollten.

mehr...
Das neue Geheimnisschutzgesetz - Rechtsschutz nur gegen Vorleistung der Unternehmen

Tobias Haar, Vogel & Partner Rechtsanwälte mbB

10:30 - 11:00
Raum 1
Rechts- und Normenrahmen

Wie anonym ist anonym?

Einführend erläutert der Vortrag den Kontext des Themas Anonymität zur DSGVO sowie ihrer Bedeutung als Teil der Privatsphäre. Es erfolgt zunächst eine Erläuterung von Anonymität im regulatorischen Sinne. Dann werden die Begriffe Anonymisierung und Pseudonymisierung voneinander abgegrenzt und beispielhaft (technische) Methoden der Anonymisierung vorgestellt.

Einer Übersicht über gängige Praktiken der Datenauswertung folgend wird veranschaulicht, dass die Verknüpfung von Daten mit immer größeren Datenmengen auch einen höheren Aufwand bei der Anonymisierung notwendig macht.

Anhand eines Beispiels wird vermittelt, wie verschiedene Datenquellen verwendet werden können, um eine Anonymisierung rückgängig zu machen. Erkenntnisse aus jüngeren Fällen von Datenpannen, Ausblicke auf Geschäftsmodelle mit personenbezogenen Daten und Vorschläge für Anforderungen an Anonymisierungsmaßnahmen zur effektiven Gewährleistung des Datenschutzes runden den Vortrag ab.

mehr...
Wie anonym ist anonym?

Daniel Breidenbroich, usd AG

11:00 - 11:30
Raum 1

Reserviert für unsere Partner

mehr...
Workshop
9:30 - 11:30
Raum 2.1

Forensic Readiness: Gemeinsam bereit machen für den IT-Ernstfall

Die Teilnehmer betrachten zunächst gemeinsam mit den Referenten Grundbegriffe, wesentliche Zusammenhänge und Definitionen zu IT-Forensik und Incident Response. Sie erfahren, warum das Thema jeden betrifft (nicht nur im beruflichen Umfeld!) und welche Katastrophen Dritte bereits erlitten und vielleicht sogar gemeistert haben. Daraus wird abgeleitet, ob und warum diese Fälle Beispiele für gute oder schlechte Forensic Readiness waren, und welche Erkenntnisse daraus zu gewinnen sind. Schließlich entwickeln Referenten und Teilnehmer gemeinsam einen "10-Punkte-Plan", der als Leitfaden für Unternehmen bewährte Best-Practices liefert.
mehr...

Martin Wundram

Phil Knüfer

Workshop
9:30 - 11:30
Raum 2.2

„Gamification – neue Ansätze der Mitarbeitersensibilisierung“ oder „Security rocks“

Jaja, werden Sie denken. Alter Wein in neuen Schläuchen. Gamification, schön denglisch, damit es einen zum Lesen animiert. Aber halt, tatsächlich wollen die Referenten mit Ihnen zusammenarbeiten. Gemeinsam mit Studenten haben sie Ideen, Spielprinzipien und Vorgehensweisen zum Einsatz eines mobilen Escape Rooms entwickelt, der es Unternehmen ermöglicht, die Sensibilisierung für Sicherheitsrisiken mit mehr Emotionen und Spannung zu gestalten. In diesem Workshop geht Probieren über Studieren. Die Ideen stehen nicht auf auf Papier oder Flipcharts, sondern werden vor Ort ausgetestet. Referenten und Workshop-Teilnehmer entwickeln gemeinsam neue Rätsel. Vielleicht hakt hier und da noch der Zusammenhang im Komplex Escape Room, vielleicht streikt auch mal die Technik – ist ja alles live – aber die Grundidee bleibt: Security Awareness schaffen unter Wettbewerbsbedingungen.

mehr...

Angela Baudach

Marcus Beyer

11:30 Uhr - 12:00 Uhr
Kaffeepause

12:00 - 12:30
Keystage
Zukunftstechnologien

Bevor die Zombie-Armee die Welt überrennt – Resiliente Update Mechanismen für ein sicheres Internet der Dinge

Als der Hacker Anna-Senpai das Mirai-Botnet aufbaute, war er über seinen Erfolg überrascht. In kürzester Zeit gelang es ihm, über eine halbe Million Geräte im Internet der Dinge zu kapern. Er schuf die bis dato mächtigste DDoS-Waffe der Welt. Dieser Erfolg stützte sich auf 63 bekannte Sicherheitslücken.

Dauerhafte Updates sind allzu oft nicht Teil des Geschäftsmodells von Herstellern. Zudem ist Sicherheit in komplexen Lieferantenketten für IoT-Geräte nur schwer beherrschbar. Verfahren für Software-Updates stoßen hier auf ökonomische und technische Grenzen.

Für IoT-Geräte sind daher neue Modelle zur Update-Versorgung notwendig. Der Schlüssel liegt im Aufbau resilienter Netzwerke, die dezentral und schnell die "Heilung" infizierter Geräte ermöglichen. Neue Technologien wie Blockchain, Distributed Ledger und Tangle können hier einen wichtigen Beitrag leisten.

Der Vortrag beleuchtet die Aspekte zum Aufbau resilienter Update-Strategien im Internet der Dinge und deren Umsetzung.

mehr...
Bevor die Zombie-Armee die Welt überrennt – Resiliente Update Mechanismen für ein sicheres Internet der Dinge

Mirko Ross, digital worx

12:30 - 13:00
Keystage
Zukunftstechnologien

Die digitale Disruption in der Prüfwelt – Virtueller Trust

Die bisherige Welt der Prüfung durch TÜVs sieht so aus: Bei Inverkehrbringen eines Produktes erfolgt eine Baumusterprüfung mit anschließenden periodischen technischen Inspektionen (PTI). Dies kennt der Endverbraucher z. B. von Aufzugsprüfungen und Kraftfahrzeugen.

In einer voll vernetzten Welt muss der Prüfer sich aber nicht mehr jedes Jahr die Maschine anschauen. Über Condition-Monitoring-Systeme kann er jederzeit nachschauen, ob das Gerät einwandfrei funktioniert. Daraus ergeben sich folgende Fragen: Werden die übertragenen Daten authentisch vom Gerät geliefert, sodass die Prüfung durch einen unabhängigen Dritten mit belastbaren Ergebnissen durchgeführt werden kann? Kann ausgeschlossen werden, dass jemand System-Daten so manipuliert hat, dass ein Prüfunternehmen eventuell zu falschen Ergebnissen kommt? Durch die Integration von modernen IT-Security-Funktionen in das zu prüfende Objekt und in das Condition-Monitoring-System könnten diese Fragen bejaht werden.

mehr...
Die digitale Disruption in der Prüfwelt – Virtueller Trust

Markus Bartsch, TÜViT

12:00 - 12:30
Raum 1
Rechts- und Normenrahmen

§8a,b BSIG und BSI- Kritisverordnung für Betreiber Kritischer Infrastruktur

Es wird zunächst das Zusammenspiel von BSI-Gesetz und BSI-Kritisverordnung dargelegt und erläutert, wie diese zu interpretieren sind. Danach wird gezeigt, wie eine Umsetzung grundsätzlich vorgenommen werden kann und welche Etappen es dabei gibt. Diese decken auch das Meldeverfahren nach § 8b BSIG mit ab. Es werden in dem Zusammenhang die vielen Möglichkeiten der Umsetzung mit und ohne branchenspezifische Sicherheitsstandards (B3S) dargestellt. Genannt werden auch die Anforderungen an die prüfende Stelle und das prüfende Team einschließlich des Branchenexperten. Näher eingegangen wird im Anschluss auf die verschiedenen Optionen, ein ISMS umzusetzen und auf das Zusammenspiel der Nachweiserbringung nach § 8a BSIG mit unterschiedlichen Zertifizierungen für das ISMS sowie die Möglichkeiten, andere Zulassungen und Prüfungen wie z. B. Penetrationstests oder Revisionsprüfungen im Rahmen der Nachweiserbringung zu nutzen.

mehr...
§8a,b BSIG und BSI- Kritisverordnung für Betreiber Kritischer Infrastruktur

Manuel Atug, HiSolutions AG

12:30 - 13:00
Raum 1
Rechts- und Normenrahmen

Praxisbericht zur Umsetzung und Nachweiserbringung gemäß §8a

Der Vortrag soll einen Praxisbericht für ein Unternehmen aus dem IKT-Sektor darstellen, das als Betreiber einer kritischen Anlage im Sinne der BSI-KritisV erfolgreich die Vorgaben des IT-Sicherheitsgesetzes anhand von internationalen Normen und Standards umgesetzt und den Nachweis gemäß §8a BSIG gegenüber dem Gesetzgeber vor kurzem erfolgreich erbracht hat.

mehr...
Praxisbericht zur Umsetzung und Nachweiserbringung gemäß §8a

Boban Krsic, DENIC

Workshop
12:00 - 15:30
Raum 2.1

Tests von Webanwendungen: Auf der Jagd nach dem mysteriösen DOM-Based Cross-Site Scripting

(Mittagspause 13:00-14:30)

Cross-Site Scripting (XSS) manifestiert sich in mehreren Spielarten, von denen Stored XSS und Reflected XSS in der Literatur reichlich Aufmerksamkeit genießen und allgemein als gut verstanden gelten. DOM-Based XSS wird dagegen eher vernachlässigt, vermutlich deswegen, weil es schwerer greifbar und schwerer zu finden ist. Der Trend zu Webanwendungen, bei denen wesentliche Teile des Anwendungscodes auf dem Clientbrowser laufen, legt jedoch nahe, sich näher mit DOM-Based XSS und verwandten Themen wie HTML- und CSS-Injection zu befassen. In diesem Workshop wird gezeigt, wie man DOM-Based XSS - etwa im Rahmen eines Penetrationstests - einigermaßen zuverlässig finden kann.

mehr...
Tests von Webanwendungen: Auf der Jagd nach dem mysteriösen DOM-Based Cross-Site Scripting

Dr. Safuat Hamdy, Virtual Forge GmbH

12:00 - 13:00
Raum 2.2

Panel: Cybercrime und Cyberwar - wie schützt der Staat die Wirtschaft?

Cybercrime, Industriespionage und Hackerangriffe stellen eine Herausforderung dar. Nicht nur Regierungen und Bürger werden bedrängt. Gerade IT-Unternehmen, Beratungsfirmen und Diensteanbieter sind für Hacker lukrative Ziele. Aber was kann, was muss der Staat tun, um die Unternehmen zu schützen? Welche Angebote bieten Bund und Länder, um Unternehmen im Falle eines Angriffs oder einer Kompromittierung ihrer Sicherheit zu unterstützen? Wie gehen sie dabei vor? Woher kommen die Angriffe? Und wie können Staat und Wirtschaft sie gemeinsam besser abwehren? Was müssen Staat und Wirtschaft gemeinsam angehen, um für mehr Sicherheit zu sorgen und wo bestehen Kooperationsansätze?

Das Panel soll die zentralen Möglichkeiten und Aktivitäten von Bund und Ländern beim Schutz von Wirtschaft und IT-Unternehmen darstellen. Bestehende Herausforderungen, die Behörden aber auch Unternehmen dabei regelmäßig begegnen, sollen ebenfalls adressiert werden. Angriffsvektoren sowohl aus krimineller als auch aus Drittstaaten heraus sollen ebenfalls adressiert werden.

mehr...

13:00 Uhr - 14:30 Uhr
Mittagspause

14:30 - 16:00
Keystage

Warstories: "Incident Response"


mehr...


16:00 - 16:30
Keystage

Keynote


mehr...

Markus Hartmann, Oberstaatsanwalt

14:30 - 16:00
Room 1

Panel DSGVO


mehr...


14:30 - 15:30
Raum 2.2

Wettbewerb Faktor Mensch

mehr...

16:30 Uhr
Ende der ISD18 - wir sehen uns 2019 wieder!

Inés Atug

Inés Atug

HiSolutions AG
Manuel Atug

Manuel Atug

HiSolutions AG
Karsten U. Bartels

Karsten U. Bartels

HK2 Rechtsanwälte
Markus Bartsch

Markus Bartsch

TÜViT
Angela Baudach 1

Angela Baudach

DXC Technology
ISD 2018 - Agenda Test 5

Marcus Beyer

DXC Technology
Christian Strache

Christian Biehler

cirosec GmbH
Daniel Breidenbroich

Daniel Breidenbroich

usd AG
ISD 2018 - Agenda Test 1

Tim Cappelmann

AirITSystems GmbH
David Fuhr 1

David Fuhr

HiSolutions AG
Lukas Grunwald

Lukas Grunwald

DN-Systems Enterprise Internet Solutions GmbH
ISD 2018 - Agenda Test 5

Tobias Haar

Vogel & Partner Rechtsanwälte mbB
Dr. Safuat Hamdy

Dr. Safuat Hamdy

Virtual Forge GmbH
ISD 2018 - Agenda Test 5

Mark Heitbrink

Sascha Herzog

Sascha Herzog

NSIDE ATTACK LOGIC GmbH
Daniel Jedecke 1

Daniel Jedecke

HiSolutions AG
Oliver Keizers

Oliver Keizers

Fidelis Cybersecurity GmbH
ISD 2018 - Agenda Test 2

David Kelm

IT-Seal
Phil Knüfer

Phil Knüfer

Digitrace GmbH
ISD 2018 - Agenda Test 5

Volker Kozok

BMVG
Boban Krsic

Boban Krsic

DENIC
ISD 2018 - Agenda Test

Ivona Matas

known_sense
ISD 2018 - Agenda Test 3

Dr. Judith Nink

eyeo GmbH
Jörg Peine-Paulsen

Jörg Peine-Paulsen

Niedersächsischen Ministerium für Inneres und Sport

Prof. Dr. Norbert Pohlmann

Vorstand Ressort IT-Sicherheit
Mirko Ross

Mirko Ross

digital worx
ISD 2018 - Agenda Test 4

Marcos Sanz Grossón

DENIC
Klaus Schmeh

Klaus Schmeh

cryptovision
ISD 2018 - Agenda Test 6

Christian Schneider

Schneider IT-Security
Nikolei Steinhage

Nikolei Steinhage

Fidelis Cybersecurity GmbH
Michael Ströder 1

Michael Ströder

Martin Wundram

Martin Wundram

TronicGuard GmbH

Einmal anmelden, alles nutzen: Kerberos-basiertes Single Sign-on-Zugang zu allen IT-Diensten im Unternehmen bietet nicht nur mehr Bequemlichkeit für die Benutzer, sondern theoretisch auch mehr Sicherheit – aber nur, wenn man es richtig aufsetzt. Welche Fehler man unbedingt vermeiden muss und wo versteckte Fallen lauern, erläutert der eintägige Workshop.

Der Workshop widmet sich der Sicherheit von Kerberos-basiertem Single Sign-on in Linux- und Windows-Umgebungen.

Teilnahmegebühr Workshop (inkl. MwSt.):
Frühbucherticket: 500,64 Euro (bis 08.08.2018)
Standardticket: 589,00 Euro

Teilnahmegebühr ISD 2018 & Workshop (inkl. MwSt.):
Frühbucher-Kombiticket: 900,14 (bis 08.08.2018)
Standard-Kombiticket: 1.058,98 Euro

Der erste Teil behandelt die Sicherheit von MIT-Kerberos in Linux-Umgebungen. Dabei geht es zunächst um die Kerberos-Infrastruktur, konkret um die Absicherung der hochsensiblen KDC-Daten und wie diese in der Praxis umzusetzen ist. Dabei werden auch die Endsysteme betrachtet, auf denen sensible Daten in Form von so genannten Keytab-Dateien und Ticket-Caches vorliegen. Die Teilnehmer lernen die Sicherheitsrelevanz dieser Daten kennen und erhalten so das notwendige Verständnis, um mögliche Angriffsszenarien sowie deren Auswirkungen einschätzen zu können.

Praktisch werden in diesem Teil auch die verschiedenen Credential-Cache-Typen von MIT-Kerberos betrachtet und es wird auf die Notwendigkeit der Ticket-Validierung beim Einsatz von Kerberos-basierten PAM-Modulen eingegangen.

Im nächsten Teil dient eine Active-Directory-Umgebung als Beispiel, um so genannte Pass-the-Hash-Angriffe zu demonstrieren. Gefälschte Kerberos-Tickets – so genannte Silver- und Golden-Tickets – und wie Angreifer diese erzeugen können, soll hier ebenfalls vorgestellt werden.

Abschließend geht es noch einmal detailliert um die Funktionsweise des Kerberos-v5-Protokolls und die möglichen Angriffe auf dessen verschiedene verschlüsselte Elemente. Da solche Angriffe in der Praxis insbesondere bei Verwendung von einfachen Benutzerpasswörtern zum Tragen kommen, werden der Einsatz von Smartcards (PKINIT) und One-Time-Passwords (OTP) im Rahmen von Kerberos als sichere Mechanismen der Primärauthentisierung behandelt.