Themen der
Internet Security Days 2019

In parallelen Slots sind dies die Themen der ISD19

Cybercrime

Der Kampf gegen Cyberattacken wird zum Katz- und Mausspiel, neuen Angriffen stehen neue Abwehrmechanismen entgegen. Welche Bedrohungen gibt es? Wie kann ich mich schützen? Wie wird der menschliche Faktor in diesem hochtechnischen Feld berücksichtigt, um ihn als schwächstes Glied zu unterstützen?

Informationssicherheit und Compliance

Fragen der Informationssicherheit berühren längst nicht mehr nur die Technik. Die Einbindung in die Prozesslandschaft wird oft zum entscheidenden Erfolgsfaktor. Regulatorische Anforderungen gilt es genauso zu berücksichtigen wie die bestehende IT-Landschaft. Wie können sich Unternehmen in diesem Spannungsfeld heute aufstellen? Welche neuen Herausforderungen birgt beispielsweise der EU Cybersecurity Act?

Notfallvorsorge

Es muss davon ausgegangen werden, dass jederzeit und überall ein Sicherheitsvorfall auftreten kann. Eine gute Vorbereitung erleich-tert die Behandlung und verkürzt eventuelle Ausfallzeiten. Wie erkenne ich einen Notfall oder kritischen Incident? Wie identifiziere ich kritische Geschäftsprozesse? Welche Maßnahmen müssen ergriffen werden? Welche Ressourcen werden benötigt? Welche Rolle spielt die Kommunikation? Wie kann für den Notfall trainiert werden

Sichere Identitäten und Infrastrukturen

Nicht nur das Internet der Dinge wirft die Frage auf, wie eine sichere Authentisierung aussehen kann. Im digitalen Zeitalter wird die Identität zum besonders schützenswerten Gut. Haben Passwörter ausgedient? Welche neuen Methoden bieten mehr Schutz? Wie kann nicht nur die Mensch-Maschine-Kommunikation, sondern auch die Maschine-zu-Maschine-Kommunikation (M2M) in komplexen Netzen sicher gestaltet werden?

The future of Security

Neue Sicherheitstechnologien strömen auf den Markt. Gleichzeitig werden noch jahrzehntealte Verfahren eingesetzt. Wie können
Methoden aus dem Bereich der Künstlichen Intelligenz die Sicherheit verbessern? Wie wird Quantencomputing die Sicherheitslandschaft verändern? Wo erweist sich der Einsatz von Blockchains als sinnvoll? Welche Technologien haben das Potential, Sicherheit
auf die nächste Stufe zu heben? Und wie sehen konkrete Einsatzszenarien aus?

Workshops

In diesem Jahr bieten wir für unsere Teilnehmerwieder zweistündige Workshops zu den Themenschwerpunkten der ISD19 an. In diesen erhalten die Teilnehmer die Möglichkeit, einzelne Themen ausführlicher kennenzulernen und ausgewählte Sicherheitsfragen in kleiner Runde zu besprechen. Die Workshops finden parallel zu den Security Sessions statt. Jeder Teilnehmer erhält zusätzlich Workshopunterlagen sowie auf Wunsch eine Teilnahmebestätigung. Die Teilnahme an den Workshops ist nur für Konferenzteilnehmer und nach vorheriger Anmeldung möglich. Die Kosten für die Anmeldung betragen pro Workshop 149 Euro. Die Anzahl der Anmeldungen ist limitiert. Sollte der Workshop aufgrund zu geringer Nachfrage nicht zustande kommen, werden diese Kosten zurückerstattet.

Sie haben Fragen?
Kontaktieren Sie uns!

Cornelia Schildt

Cornelia Schildt
Agenda
cornelia.schildt(at)eco.de

9:00
-
#ISD2019

Registrierung

9:30
-
9:45
#ISD2019

Begrüßung

  • Prof. Dr. Norbert Pohlmann - Vorstand eco e. V.

Keystage

Begrüßung
Prof. Dr. Norbert Pohlmann, Vorstand eco e. V.
Liebe Besucherinnen und Besucher, mit Workshops, Keynotes, Security-Sessions und Panel-Diskus- sionen sind die ISD 2019 wieder ganz nah an der Cybersicher- heits-Praxis. Unter dem Motto „Game of IT-Security“ vermitteln mehr als 30 Experten zwei Tage lang ein breites Spektrum an Know-how mit hervorragenden Networking-Möglichkeiten und einer begleitenden Ausstellung. In drei parallelen Tracks erwarten Sie außergewöhnliche Einbli- cke in alle aktuellen Themen der Internet-Security. Es geht um Cybercrime, Informationssicherheit und Compliance, Notfallvor- sorge, Sichere Identitäten und Infrastrukturen sowie The Future of Security. Die praktische Anwendbarkeit steht im Zentrum der Workshops mit limitierter Teilnehmerzahl. Sich kontinuierlich hinsichtlich aller Fragen der Cybersecurity auszutauschen, ist heute wichtiger denn je. Das Phantasialand in Brühl ist nun seit neun Jahren ein wichtiger Ort dafür. Hier las- sen sich Sicherheit und Spaß miteinander verbinden. Ein Beispiel dafür und Highlight der ISD 2019 ist die Internet Security Night am Donnerstagabend, 26. September. Während dieses außerge- wöhnlichen Networking-Events – vor der Kulisse der Themenwelt Mexico – steht Ihnen mit der Black Mamba eine der Hauptattrak- tionen des Freizeitparks exklusiv zur Verfügung. Lassen Sie uns die Internet Security Days 2019 dazu nutzen, miteinander zu interagieren und zu kooperieren. Lassen Sie uns Synergien schaffen und aktuelle Themen diskutieren, um einen höheren Level an Internet Security für uns alle zu erlangen und damit eine sichere und vertrauenswürdige Digitalisierung möglich zu machen. Ich wünsche uns allen eine erfolgreiche Veranstaltung, interes- sante Erkenntnisse und vielversprechende neue Kontakte! Herzliche Grüße Ihr Prof. Dr. Norbert Pohlmann Vorstand eco – Verband der Internetwirtschaft e. V. Ressort IT-Sicherheit
9:45
-
10:15
#Keynote #Cybercrime

Herausforderungen im Cyberraum

  • Frau Stein - Bundesamt für Verfassungsschutz

Keystage

Herausforderungen im Cyberraum
Frau Stein, Bundesamt für Verfassungsschutz
Mit der grundsätzlich positiven Entwicklung zur Digitalisierung und Vernetzung unserer Gesellschaft hat sich auch die Angriffsfläche für Cyberangriffe und damit die Bedrohungslage für staatliche und politische Einrichtung sowie Wirtschaft und Forschung deutlich vergrößert. Besonders die Nachrichtendienste der Russischen Föderation und der Volksrepublik China sowie des Iran entfalten Cyberspionageaktivitäten gegen deutsche Interessen. Deren Schwerpunkte orientieren sich an den politischen Vorgaben ihrer Regierungen. Dieser Gefährdungslage wird in Deutschland mit einer umfassenden Cybersicherheitsarchitektur entgegengewirkt, die sich aus einer Vielzahl von Behörden zusammensetzt. Auf Bundesebene sind dies die Nachrichtendienste BfV, BAMAD und BND, die Polizeibehörden BKA und BPOL sowie das BSI, die sich alle auf Grundlage der ihnen jeweils zugewiesen Zuständigkeiten und Befugnisse mit dem Thema Cybergefahren beschäftigen und zwischen denen eine enge Zusammenarbeit stattfindet. Das BfV als der deutsche Inlandsnachrichtendienst leistet hierbei einen wesentlichen Beitrag zur Aufklärung und Abwehr von Cybergefahren durch die Detektion von Angriffen, die Attribution zu einem bestimmten Angreifer sowie die sich aus diesen Erkenntnissen ergebenden Möglichkeiten zur Prävention.
10:15
-
10:45
#Keynote #Cybercrime #Partner

More than Security

  • Gordon Mühl - Huawei Technologies

Keystage

More than Security
Gordon Mühl, Huawei Technologies
Security wird in der ICT Branche auf der technischen Ebene mit den Security Engineering Prozessen und den spezifischen Security Technologien abgedeckt. Wenn wir uns neue Arten von Verwendungen und neue Arten von Angriffen und Bedrohungen angucken, müssen wir auch die klassischen Security Engineering Prozesse und Security Technologien in Frage stellen und diese weiterentwickeln. Was sind die neuen Verwendungen und neue Angriffe und wie sollen wir darauf regieren?

10:45 Uhr–11:30 Uhr
Kaffeepause

11:00
-
13:00
#Workshop #Zusatzbuchung

DevSecOps mit Containern und Kubernetes

  • Dr. Thomas Fricke - Endocode AG

Raum 2.1

DevSecOps mit Containern und Kubernetes
Dr. Thomas Fricke, Endocode AG
Die Automatisierung von Build Pipelines ist in vollem Gange. Die erste Welle von DevOps hat eine erstaunliche Beschleunigung der Auslieferung von Software angestoßen. Die Schwächen in der Sicherheit von DevOps werden durch die Integration von Security-Scannern, automatisierten Pentests und Compliance Prozessen gerade geschlossen. GitOps dokumentiert automatisch alle Änderungen laufender Systeme. Huckepack auf dem Deployment von Features werden Security Updates ausgeliefert. Audits laufen automatisiert mit. Es soll an Beispielen gezeigt werden, wie mit Kubernetes sichere Systeme designt werden können, die DevSecOps umsetzen und Anforderungen an kritische Infrastruktur erfüllen können. Beispiele von Marktplätzen aus dem medizinischen Bereich und Ausblicke auf Verkehrsleitsysteme und Energiesteuerungen zeigen, welche typischen Vorteile und auch Fallstricke es gibt.
11:30
-
12:00
#Cybercrime

How to pwn a global Player in two Days

  • Stephan Sekula - Compass Security

Keystage

How to pwn a global Player in two Days
Stephan Sekula, Compass Security
Weltweit agierende Konzerne sind sicher. Das wird jedenfalls häufig suggeriert und öffentlich dargestellt. Aber ist dem wirklich so? Man sollte annehmen, das große Unternehmen mehr Geld und Personal haben, um ihre Systeme und Daten abzusichern. In vielen Fällen mag dies so sein, aber definitiv nicht immer. Dieser Vortrag soll einen Einblick in den Stand der IT-Sicherheit geben und aufzeigen, dass Global Player genauso angreifbar sind wie Startups. Wir wollen die Gleichung "Umsatz=Sicherheit" an einem Fallbeispiel infrage stellen. In diesem Vortrag präsentieren wir unsere Vorgehensweise bei einem echten Pentest, bei dem wir ein gesamtes Unternehmen binnen zwei Tagen übernehmen konnten, um Kunden- und weitere sensible Daten zu "stehlen".
11:30
-
12:00
#The Future of Security

The Future of Cyber Security

  • Marc Wilczek - Link11 GmbH

Raum 1

The Future of Cyber Security
Marc Wilczek, Link11 GmbH
Der Vortrag von Marc Wilczek wird aufzeigen, wie Künstliche Intelligenz für IT-Security hilft und wieso diese unumgänglich ist. Der Mensch ist in Zeiten der Digitalisierung die größte Schwachstelle, wenn es um das Thema Verteidigung von Cyber-Attacken geht. Verletzungen der Datensicherheit werden aufgrund von 3.5 Mio. Vakanzen durchschnittlich erst nach 191 Tagen aufgedeckt und Cyber-Angriffs-Warnungen können aufgrund dessen nur zu 25% bearbeitet werden. Wie hier KI, Machine-Learning und Automation helfen und wie es rechtlich um diese Thematik steht, werden wir in unserem Vortrag thematisieren.
11:30
-
12:00
#Workshop *kostenfrei*

SIWECOS - auf der sicheren (Web)

  • Michael Weirich - eco e.V.
  • Sascha Brendel - eco e.V.

Raum 2.2

SIWECOS - auf der sicheren (Web)
Michael Weirich, eco e.V.
SIWECOS - auf der sicheren (Web)
Sascha Brendel, eco e.V.
SIWECOS steht für „Sichere Webseiten und Content Management Systeme“ und hilft kleinen und mittelständischen Unternehmen (KMU) Sicherheitslücken auf ihren Webseiten zu erkennen und zu beheben. Ein Vulnerability Scanner überprüft in regelmäßigen Abständen die Serversysteme auf bekanntgewordene Schwachstellen oder die darauf installierten Webanwendungen auf Sicherheitslücken hin, alle Tools wurden unter der Prämisse secure by design entwickelt. Im Kurzworkshop zeigt das SIWECOS-Entwicklerteam alle Schritte zur Nutzung des Dienstes oder der CMS-Plugins. Der fortgeschrittene Nutzer erfährt wie die SIWECOS Scanner in der eigenen Infrastruktur installiert und genutzt werden können.
12:00
-
12:30
#Cybercrime

Ransomware as a Service (RaaS): neues Vertriebsmodell für Cyberkriminelle?

  • Dr. Yvonne Bernard - Hornetsecurity GmbH

Keystage

Ransomware as a Service (RaaS): neues Vertriebsmodell für Cyberkriminelle?
Dr. Yvonne Bernard, Hornetsecurity GmbH
BSI und Cert warnten bereits mehrfach vor der wachsenden Bedrohung, durch die aktuelle Phishing- und Spam-Kampagne, durch die „Emotet“ verbreitet wird. Bei den betroffenen Unternehmen verursachte die Malware in verschiedensten Ausprägungen bereits Ausfälle der kompletten IT-Infrastruktur sowie immense Kapitalschäden. Seit Beginn des Jahres häufen sich Fälle, bei denen „bekannte“ Malware in neuem Gewand genutzt wird, um Schadware von anderen Kriminellen einzuschleusen: Das neue Geschäftsmodell heißt „Ransomware as a Service“. Das Hornetsecurity Security Lab meldete als erstes Security-Unternehmen weltweit eine neue Mutation dieser Schadsoftware als Rechnung im PDF Dokument getarnt, welche beim Ausführen einen Banking-Trojaner nachlädt. Im Vortrag werden beispielhaft für RaaS die den Emotet-Angriffswellen zugrundeliegenden Blended Attacks analysiert und die Killchain vom Angriffsvektor bis zum Komplettausfall betroffener Produktivsysteme ausführlich dargestellt. Im Anschluss werden wichtige Hinweise zur Absicherung des Unternehmens gegen künftige Mutationen von Emotet und anderen neuartigen Malwarevarianten, die für Ransamware as a Service genutzt werden, ab der ersten Angriffswelle gegeben.
12:00
-
12:30
#The Future of Security

Security in der KI – KI für Security

  • Prof. Dr. Jan Jürjens - Fraunhofer-Institut für Software- und Systemtechnik ISST

Raum 1

Security in der KI – KI für Security
Prof. Dr. Jan Jürjens, Fraunhofer-Institut für Software- und Systemtechnik ISST
Um mit KI-Methoden die Sicherheit verbessern zu können, müssen diese bei Angriffen und Manipulationen vertrauenswürdige Ergebnisse liefern. Dafür sind Schutzvorkehrungen im Algorithmusdesign, sowie aktive Maßnahmen zur Entdeckung von Angriffen und ihrer Abwehr notwendig. Die Algorithmen müssen möglichst robust gegenüber Manipulationen sein (“Security-by-Design”). Die Datenbasis muss auf Anomalien untersucht werden: Z.B. durch Analyse von Metadaten, die die Datenherkunft (z. B. Mac-Adressen von Sensoren) erkennen lassen, um eine Man-in-the-Middle-Attacke bei der Dateneingabe zu erkennen, oder Analyse von fortlaufenden und historischen Ausgabedaten, um Extreme und Abweichungen herauszufinden und anzuzeigen. Der Vortrag stellt die Herausforderungen sowohl bei der Betrachtung von Security in der KI, als auch dem Einsatz von KI für Security vor, sowie konkrete Ansätze und Umsetzungsmöglichkeiten zu ihrer Bewältigung, auf Basis von praktischen Erfahrungen im Industrial Data Space.
12:30
-
13:00
#Cybercrime #Partner

Eine neue Generation von Mitarbeitern und Techniken hält Einzug - IT Sicherheit Quo vadis?

  • Martin Zeitler - Palo Alto Networks
  • Christian Dittrich - Bechtle

Keystage

Eine neue Generation von Mitarbeitern und Techniken hält Einzug - IT Sicherheit Quo vadis?
Martin Zeitler, Palo Alto Networks
Eine neue Generation von Mitarbeitern und Techniken hält Einzug - IT Sicherheit Quo vadis?
Christian Dittrich, Bechtle
12:30
-
13:00
#The Future of Security

Internet der Dinge: maximaler Komfort, minimale Sicherheit?

  • Klaus J. Müller - LEITWERK AG

Raum 1

Internet der Dinge: maximaler Komfort, minimale Sicherheit?
Klaus J. Müller, LEITWERK AG
Vor wenigen Jahren noch Zukunftsmusik – inzwischen Teil unseres Alltags: das Internet der Dinge (IoT). Es sorgt dafür, dass das Katzenfutter nie ausgeht, sich die Raumtemperatur unserem Tagesablauf anpasst und das Auto das Tempolimit einhält. Die zunehmende Vernetzung bringt klare Vorteile mit sich und macht uns das Leben in vielen Bereichen spürbar leichter. Doch wie ist es um die Sicherheit bestellt? Hier läuft vieles bereits strukturell schief: Wie sonst lässt es sich erklären, dass namhafte Unternehmen Produkte verkaufen, deren IT-Komponenten auf dem Sicherheitsniveau der 90er-Jahre stehengeblieben sind? Am praktischen Beispiel eines Gegenstandes, der eigens für diesen Vortrag zum IoT-Gerät umgebaut wurde, demonstriert der Referent, wie die Entwicklung typischerweise erfolgt, wie dies zu Schwachstellen im Endprodukt führt, welche Bedrohung dadurch für den Nutzer entsteht und wie diese Probleme gelöst werden können.

13:00 Uhr–14:30 Uhr
Mittagspause

14:30
-
15:00
#ISD2019

Hype-Tech

  • Felix von Leitner - Code Blau GmbH

Keystage

Hype-Tech
Felix von Leitner, Code Blau GmbH

Blockchain, Smart Contracts und KI werden uns nicht retten. In diesem Vortrag erkläre ich die Technologien kurz für technikinteressierte Laien, und dann leite ich her, wieso sie uns nicht nur nicht weiterhelfen werden, sondern unsere Probleme sogar noch verschlimmern werden. Quantencomputing ist bisher im Wesentlichen als Grund für Panik unter Kryptografen aufgefallen, nicht als potentielles Heilmittel. Dieser Vortrag wird kurz erläutern, wieso dieser erste Eindruck auch für die Zukunft zutreffend bleiben wird.

14:30
-
15:30
#The Future of Security #Panel-Diskussion

KI meets Security

  • Ralf Benzmüller - G DATA Software AG
  • Prof. Dr. Jan Jürjens - Fraunhofer-Institut für Software- und Systemtechnik ISST
  • Sebastian Kurowski - Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO
  • Bastian Flohr - PwC Deutschland GmbH
  • Andreas Weiss - eco e.V.

Raum 1

KI meets Security
Ralf Benzmüller, G DATA Software AG
KI meets Security
Prof. Dr. Jan Jürjens, Fraunhofer-Institut für Software- und Systemtechnik ISST
KI meets Security
Sebastian Kurowski, Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO
KI meets Security
Bastian Flohr, PwC Deutschland GmbH
KI meets Security
Andreas Weiss, eco e.V.
In der Bekämpfung von Cybercrime gehört die Anwendung von KI Methoden längst zum Daily Business. Sicherheitsmaßnahmen werden durch KI unterstützt, so gehen KI Algorithmen beispielsweise auf die Suche nach Anomalien in der Netzwerkstruktur und dem E-Mail Schriftverkehr. Auf der anderen Seite verwenden auch die Angreifer vermehrt KI Werkzeuge und Methoden? Wer wird dieses „Katz-und-Maus-Spiel“ für sich entscheiden? Namhafte Experten diskutieren aktuelle Trends und Entwicklungen und versuchen diese Fragen für Sie zu beantworten.
14:30
-
15:00
#Sichere Identitäten

Sichere abgeleitete digitale Identitäten auf dem Smartphone

  • Rainer Schönen - Bundesamt für Sicherheit in der Informationstechnik (BSI)

Raum 2.1

Sichere abgeleitete digitale Identitäten auf dem Smartphone
Rainer Schönen, Bundesamt für Sicherheit in der Informationstechnik (BSI)
Nutzung digitaler Identität bei behördlichen Zwecken oder der Nutzung kommerziellen Services Ableitung aus dem Personalausweis via NFC oder aus anderen Quellen (bspw. eID-Anbieter) je nach Quelle hat die abgeleitete Identität ein bestimmtes Vertrauensniveau gem. eIDAS-Verordnung je nach Vertrauensniveau sind unterschiedliche Services möglich damit das Vertrauensniveau gewährleistet werden kann, muss die mobile Identität sicher auf dem Smartphone gespeichert werden. Dazu gibt es verschiedene Möglichkeiten und Überlegungen Speicherung in Software, Speicherung in einer Trusted Execution Environment Speicherung in Hardware auf einem secure Element Speicherung in Hardware auf einer eUICC (eSIM) Außerdem werden insbesondere Erfahrungen des Projektes Optimos 2.0, das vom BMWi gefördert wird, herangezogen. Ziel des Projektes ist die Entwicklung eines praxistauglichen Ökosystem sicherer Identitäten für mobile Dienste.
14:30
-
15:00
#Anwender berichten

Zero trust - Ein Mythos? Ein Praxisfall

  • Michael Zobel - Alter Solutions Deutschland

Raum 2.2

Zero trust - Ein Mythos? Ein Praxisfall
Michael Zobel, Alter Solutions Deutschland
Vorstellung des Zero trusts Ansatzes um die "Kronjuwelen" des Unternehmens zu schützen.
15:00
-
15:30
#Cybercrime

Cybercrime–Angriffe & Cyber Incident Response – Erfahrungsberichte aus aktuellen Investigations

  • Helmut Brechtken - Warth & Klein Grant Thornton AG

Keystage

Cybercrime–Angriffe & Cyber Incident Response – Erfahrungsberichte aus aktuellen Investigations
Helmut Brechtken, Warth & Klein Grant Thornton AG
Die aktuellen Gefahren durch Cybercrime sind vielfältig und ändern sich ständig. Nur mit Kenntnis der Angriffsmethoden ist wirksamer Schutz möglich. Der Vortrag gibt einen Einblick in aktuelle Angriffsmethoden und Abwehr bzw. Investigations im Rahmen von Cyber Incident Response. Um aktuelle Cybercrime-Angriffe besser abwehren zu können, müssen die Ansätze der Angreifer bekannt sein. Dabei geht es um die zentralen Fragen: Wer sind die typischen Angreifer heute? Was ist jeweils die Motivation und was sind die Ziele der Angreifer? Welche konkreten Angriffsmethoden gibt es (Stichworte Phishing, Ransomware, President Fraud, Sabotage, Social Engineering, APT, gezielte Netzwerkangriffe)? Wie werden Cyber Incidents untersucht bzw. wie sollte man vorgehen, um Schaden vom Unternehmen abzuwenden? Mit konkreten Beispiele aus der aktuellen Untersuchungspraxis
15:00
-
15:30
#Sichere Identitäten

Integration von Self-Sovereign Identity (SSI) in bestehende Anwendungsinfrastrukturen

  • Sebastian Weidenbach - esatus AG

Raum 2.1

Integration von Self-Sovereign Identity (SSI) in bestehende Anwendungsinfrastrukturen
Sebastian Weidenbach, esatus AG
Um die Kontrolle über den heutigen "Identity Spam“ zu erlangen, haben mehrere Anbieter die Herausforderung angenommen und betrachten eine Identity Federation als valide Lösung. Dienste wie Identity as a Service (IDaaS) ermöglichen ein Single-Sign-On für Benutzer, was die individuelle Verwaltung von Konten überflüssig macht. Ein Ansatz, der IDaaS konsequent vorantreibt, aber auch ein neues Denken für alle Beteiligten erfordert, ist Self-Sovereign Identity (SSI): Eine digitale Identität, die vollständig unter der Kontrolle ihres Besitzers steht und das ohne eine zentrale Kontrollinstanz. Mit der inhärenten Möglichkeit, bestimmte Informationen für bestimmte Zwecke eindeutig freizugeben und den Zugang selbstständig und bei Bedarf zurückzuziehen. Eine der größten Herausforderungen für den Einsatz von SSI ist die Implementierung in bestehende Anwendungsinfrastrukturen. Sebastian Weidenbach demonstriert im Vortrag einen Prototypen zur Integration von SSI in bestehende Anwendungsinfrastrukturen.
15:00
-
15:30
#Anwender berichten

DevSecOps & Security Automation: Agile Sicherheit und pragmatische Lösungsansätze

  • Carsten Marmulla - carmasec Ltd. & Co. KG,

Raum 2.2

DevSecOps & Security Automation: Agile Sicherheit und pragmatische Lösungsansätze
Carsten Marmulla, carmasec Ltd. & Co. KG,
Informationen: Die Digitalisierung von Geschäftsmodellen stellt heutige Unternehmen speziell im Mittelstand in vielen Bereichen vor große Herausforderungen. Um die notwendige Umsetzungsgeschwindigkeit erreichen zu können und gleichzeitig dynamisch agieren und korrigieren zu können, werden häufig agile Methoden genutzt, in der Softwareentwicklung sind dies bereits erfolgreich praktizierte Vorgehensweisen. Mit Konzepten wie DevOps werden diese agilen Ansätze zudem zur engeren Verzahnung von Entwicklung („Development“) und Betrieb („Operations“) eingesetzt. Allerdings gibt es auf der anderen Seite auch regulatorische Rahmenbedingungen zu berücksichtigen, die nicht-funktionale Anforderungen an Qualität und Konformität beinhalten. Gerade Anforderungen aus den Bereichen Informations- und IT-Sicherheit sowie Datenschutz wurden in den letzten Monaten zusehends verschärft – leider oftmals ohne pragmatische Lösungsansätze, zu bringen und auch mittelstandsfreundlich umsetzbar zu gestalten.

15:30 Uhr–16:00 Uhr
Kaffeepause

16:00
-
16:30
#Cybercrime

The POWER HACKER: Don’t let the Lights go out – a Look inside the MIND of a Hacker

  • Joseph Carson - Thycotic

Keystage

The POWER HACKER: Don’t let the Lights go out – a Look inside the MIND of a Hacker
Joseph Carson, Thycotic

Hacking into a Power Station is something that is a scary thought about the possibility of someone being able to turn off the power or damage systems. We have seen major incidents in previous years in which the Ukrainian energy sector was hit by a cyber-attack that caused a power outage for more than 86,000 homes. This session is a real-world hack into a power station that explains the process on planning and preparation, the major challenges of hacking into a power station, adapting to the risks, the perimeter security, engines and SCADA controls. The session will reveal some of the amazing security as well as some of the most shocking findings. It is critically important to know how cybercriminals target their victims, what you can do to reduce the risk and make it more challenging for the attackers. This session explains how attackers can exploit vulnerabilities using examples such as a compromised email account password that escalates into a full-blown breach of network security.

16:00
-
16:30
#Sichere Idenditäten

2FA: Dos and Don'ts

  • Dr. Dirk Häger - Bundesamt für Sicherheit in der Informationstechnik

Raum 1

2FA: Dos and Don'ts
Dr. Dirk Häger , Bundesamt für Sicherheit in der Informationstechnik
16:00
-
18:00
#Workshop #Zusatzbuchung

DSGVO: Meldepflicht bei Datenpannen (Security Breach Notification) und ihre (Bußgeld-)Risiken

  • Dr. Jens Eckhardt - Derra, Meyer & Partner Rechtsanwälte PartGmbB

Raum 2.1

DSGVO: Meldepflicht bei Datenpannen (Security Breach Notification) und ihre (Bußgeld-)Risiken
Dr. Jens Eckhardt, Derra, Meyer & Partner Rechtsanwälte PartGmbB
Die DSGVO sieht die Pflicht vor, Verletzungen des Schutzes personenbezogener Daten der Aufsichtsbehörde zu melden und die betroffenen Personen zu benachrichtigen. Jeder Verletzung der IT-Sicherheit muss damit die Prüfung, ob eine Meldung und Benachrichtigung erfolgen muss. Das Unternehmen muss auf diese Prüfung vorbereitet sein und Klarheit über die Voraussetzungen der Meldepflicht, den inhaltlichen Anforderungen einer Meldung und der Umsetzung der Pflicht haben. Gerade die Rolle von Subunternehmern bei dieser Meldung muss dabei ebenfalls berücksichtigt und im Vorfeld geklärt sein. Bereits bei der Meldung und deren Vorbereitung muss sich das Unternehmen bewusst sein, dass die Meldung der Beginn eines Bußgeldverfahrens und von Ansprüchen betroffener Personen sein kann. Bei der Meldung muss daher auch der Zusammenhang zwischen Meldepflicht und Bußgeldregelungen der DSGVO einbezogen werden.
16:00
-
16:30
#Anwender berichten

Anomaly-Detection-System – ein Erfahrungsbericht

  • Rolf Strehle - ditis Systeme

Raum 2.2

Anomaly-Detection-System – ein Erfahrungsbericht
Rolf Strehle, ditis Systeme
Als IT-Tochter eines weltweit agierenden Maschinenbaukonzerns mit über 20.000 Mitarbeitern konzipiert und betreibt die ditis ein Anomaly-Detection-System zur Früherkennung von Cyberangriffen. Ein Praxisbericht: Threat-Management, SIEM und Anomaly-Detection - warum? Aufbau und Vorgehen - hacke dein Netz, bevor es andere tun Praxisbeispiele Kennzahlen und ISO 27001-Anforderungen Anleitung zum Nachmachen
16:30
-
17:00
#Cybercrime

Wie unsichere IoT Geräte und APIs das neue Schlachtfeld im Internet bilden

  • Eberhard Scheuble - Akamai

Keystage

Wie unsichere IoT Geräte und APIs das neue Schlachtfeld im Internet bilden
Eberhard Scheuble, Akamai
16:30
-
17:00
#The Future of Security

Social Engineering und künstliche Intelligenz – eine explosive Mischung?

  • David Kelm - IT-Seal GmbH

Raum 1

Social Engineering und künstliche Intelligenz – eine explosive Mischung?
David Kelm, IT-Seal GmbH
Social Engineering beschreibt die Kunst, sein Gegenüber so zu beeinflussen, dass ein bestimmtes Verhalten, z.B. die Preisgabe von vertraulichen Informationen, durchgeführt wird. Dabei benötigt der Social Engineer Fingerspitzengefühl und setzt feine psychologische Tricks ein. Künstliche Intelligenz (KI) ist im Gegensatz dazu das intelligente aber kalte, maschinelle Vorgehen, um ein definiertes Problem zu lösen. Dabei muss nicht, aber kann Machine Learning zum Einsatz kommen. Wie passt das also zusammen? Aktuelle Angriffe wie EMOTET zeigen, dass die Kriminellen Wege finden, um immer bessere Social Engineering-Angriffe automatisiert und teilweise mit KI durchzuführen. In diesem Vortrag möchte ich einen Überlick über aktuelle Entwicklungen geben und aufzeigen, mit welcher Art von Angriffen wir es in den nächsten Monaten und Jahren zu tun haben werden. Darüber hinaus werde ich einen Ausblick geben, welche Schutzmaßnahmen weiterhin funktionieren und wo neue Entwicklungen notwendig sind.
16:30
-
17:00
#Anwender berichten

99 Prozent der Informationssicherheitsmanagementsysteme sind unvollständig

  • Kristin Klinner - Bosch Sicherheitssysteme GmbH
  • Jörg Wießner - Bosch Sicherheitssysteme GmbH

Raum 2.2

99 Prozent der Informationssicherheitsmanagementsysteme sind unvollständig
Kristin Klinner, Bosch Sicherheitssysteme GmbH
99 Prozent der Informationssicherheitsmanagementsysteme sind unvollständig
Jörg Wießner, Bosch Sicherheitssysteme GmbH
  • Ausfall aller Videokameras am Flughafen – stundenlange Vollsperrung;
  • Abschaltung der Gefahrenmeldeanlage im Kernkraftwerk – Schutz gefährdet;
  • Fehler in der Zutrittskontrollanlage einer Bankfiliale – enorme Schäden.

Die (gesetzlichen) Anforderungen an die Informationssicherheit verschärfen sich, Hackerangriffe nehmen drastisch zu, die klassische Netzwerkinfrastruktur wird immer besser abgesichert. Jedoch wird die physische Sicherheitsinfrastruktur als Schutztor der Informationstechnik in nahezu allen Informationssicherheitskonzepten vergessen. Diese Lücke nutzen immer mehr Angreifer erfolgreich aus. In den Ursprüngen der IT-Sicherheit lag der Fokus auf der physischen Sicherheit, mit dem Strukturwandel der IT hin zur Informationssicherheit gerät dieser Aspekt fataler Weise in Vergessenheit. Was passiert jedoch mit dem gehärteten Rechner, wenn dieser ungeschützt auf der „grünen Wiese“ steht? Wir geben einen Einblick in die Anforderungen und Herausforderungen zur ganzheitlichen Absicherung.

17:00
-
17:30
#Cybercrime

Zur Sicherheit von IoT und Smart Home-Produkten durch Tests und Zertifizierung - Eric Clausing, AV-Test GmbH

  • Eric Clausing - AV-Test GmbH

Keystage

Zur Sicherheit von IoT und Smart Home-Produkten durch Tests und Zertifizierung - Eric Clausing, AV-Test GmbH
Eric Clausing, AV-Test GmbH
17:00
-
17:30
#Cybercrime

Fake Webshops – Erkennung, Analyse und Gegenmaßnahmen in der Schweiz

  • Michael Hausding - SWITCH
  • Christoph Gerber - Kantonspolizei Zürich

Raum 1

Fake Webshops – Erkennung, Analyse und Gegenmaßnahmen in der Schweiz
Michael Hausding, SWITCH
Fake Webshops – Erkennung, Analyse und Gegenmaßnahmen in der Schweiz
Christoph Gerber, Kantonspolizei Zürich
Fake Webshops sind weit verbreitet und stellen eine nicht zu unterschätzende Gefahr für Internetnutzer dar. Die falschen Webshops sind für Internetnutzer nur schwer von seriösen Anbietern zu unterscheiden, gemäß der Verbraucherzentrale Brandenburg sollen bereits 4,4 Millionen Bundesbürger Opfer von Fake Webshops geworden sein. Auch in der Schweiz tritt das Phänomen der Fake Webshops seit ca. 2 Jahren verstärkt auf. Die Registrierungsstelle für .ch Domain Namen SWITCH hat bereits über 10'000 Domain-Namen-Registrierungen für falsche Webshops gelöscht. Zur Erkennung, Analyse und zum Löschen, der meist mit gefälschten oder gestohlenen Identitäten registrierten Domain Namen, kooperiert SWITCH dabei mit dem Kompetenzzentrum Cybercrime der Kantonspolizei Zürich. Gemeinsam gelingt es mittlerweile, die neu registrierten Fake Shops innerhalb von wenigen Tagen zu erkennen und zu löschen. Die Gefahr für Internetnutzer wird so minimiert und das Geschäftsmodell der Fake Webshops gestört.
17:00
-
17:30
#Anwender berichten

Cloud: Sicherer Anbieter oder Wolkenkuckucksheim?

  • Peter Kaminski - Santander Consumer Bank
  • Robert Heitz - Santander Consumer Bank

Raum 2.2

Cloud: Sicherer Anbieter oder Wolkenkuckucksheim?
Peter Kaminski, Santander Consumer Bank
Cloud: Sicherer Anbieter oder Wolkenkuckucksheim?
Robert Heitz, Santander Consumer Bank
Unternehmen nutzen immer häufiger Cloud Dienste oder planen dies zumindest in der nächsten Zeit. Da es beim Einsatz einer Cloud in der Regel um die Speicherung bzw. Verarbeitung von Daten geht, muss der Cloud-Anbieter ein vorgegebenes Mindestmaß an Sicherheitsanforderungen umsetzen können. Für ein Unternehmen besteht nun die Schwierigkeit VOR Vertragsabschluss eine Einschätzung vorzunehmen, ob der Cloud Dienstleister die Anforderungen an die IT Sicherheit erfüllen kann. Diese Einschätzung kann mit Hilfe eines Fragebogens, der vom Anbieter beantwortet werden muss, vorbereitet werden. Inhalte des Bogens sind Fragen zum Management von IT Sicherheit, Notfallkonzepten, Infrastruktur etc. Mit einer Prüfung der Antworten und evtl. Nachfragen erhält das Unternehmen ein Bild, wie der Cloud-Anbieter Anforderungen an die IT Sicherheit gewährleistet. Das Ergebnis der Prüfung kann - auch im Vergleich mit anderen Anbietern - als Basis für eine Entscheidung genutzt werden.
17:30
-
18:00
#Cybercrime

Analoge IT-Security

  • Markus Bartsch - TÜV Informationstechnik GmbH (TÜViT)

Keystage

Analoge IT-Security
Markus Bartsch, TÜV Informationstechnik GmbH (TÜViT)
Bei der Implementierung von IT Security Funktionalitäten hat man sich bisher auf die hohe Wirksamkeit von Schutzmaßnahmen konzentriert. Sichere Identitäten, Access Control, Firewalls und VPNs waren die Schlüsselbegriffe möglichst hoher „Protection“. In einer Welt des IoT mit n-n Beziehungen, komplett verteilter und sich verändernder Funktionalitäten sind diese starren Schutzkonzepte schwer zu implementieren. Das Paradigma des maximalen Schutzes gegen Cyberattacken sollte relativiert werden zu einem geeigneten zeitabhängigen Schutz (Time Based Security): Die Maßnahmen zur Protection sollten einen Angreifer so lange aufhalten, dass parallel diese entdeckt werden („Detection“) und Gegenmaßnahmen („Reaction“) ergriffen werden können: P(t) > D(t) + R(t) Damit gewinnt ein hochsicheres Monitoring (Persistant Automated Inspection) mehr und mehr Bedeutung für das zukünftige IoT: Wenn die Cyberattacke nicht nahezu unmöglich ist, dann muss sie rechtzeitig erkannt und aufgehalten werden.
17:30
-
18:00
#Cybercrime

Wie infizierte Online-Werbung kritische Infrastrukturen in Gefahr bringt

  • Peter Meyer - eyeo GmbH

Raum 1

Wie infizierte Online-Werbung kritische Infrastrukturen in Gefahr bringt
Peter Meyer, eyeo GmbH
Der Vortrag „Wie infizierte Online-Werbung kritische Infrastrukturen in Gefahr bringt“ gibt einen Einblick darüber, wie schädliche Werbung (Malvertising) auf legalem Weg auf große Online-Portale gelangt, zielgerichtet Malware an potentielle Opfer wie Unternehmen, Behörden oder Privatnutzer ausspielt und dabei auch kritische Infrastrukturen, z.B. durch Ransomware oder DDoS-Angriffe, gefährdet. Der Vortrag zeigt dabei, wo mögliche Einfallstore in das komplexe Netzwerk des Online Advertising zu finden sind, wie Kriminelle dabei vorgehen und was Werbetreibende, Unternehmen und Nutzer tun können, um sich vor einer Kompromittierung durch schadhafte Online-Werbung zu schützen.
17:30
-
18:00
#Anwender berichten

Qualitätsorientierte Risikogovernance in Unternehmen

  • Sebastian Kurowski - Fraunhofer-Institut für Arbeitswirtschaft und Organisation

Raum 2.2

Qualitätsorientierte Risikogovernance in Unternehmen
Sebastian Kurowski, Fraunhofer-Institut für Arbeitswirtschaft und Organisation
Sicherheitsmaßnahmen werden immer seltener durch Kundenspezifikationen und legislative Vorgaben vorgegeben. Die nachvollziehbare und begründbare Abwägung von Risiken und entsprechender Gegenmaßnahmen wird hingegen vermehrt gefordert. Dies erfordert jedoch häufig einen hohen Aufwand an Dokumentation, Kompetenzen und personellen Ressourcen, an welchem existierende Risikoanalyseframeworks häufig scheitern. In diesem Vortrag wird daher ein neues, qualitätsorientiertes und systematisches Verfahren zur Risikogovernance vorgestellt. Es wird gezeigt wie dieser Ansatz in Organisationen integriert werden kann, welche Fallstricke dabei auftauchen können und welche Vorteile der Ansatz birgt. Schließlich wird gezeigt welche Teile der Risikogovernance sinnvoll durch den Einsatz künstlicher
18:00
-

Ende des ersten Veranstaltungstages

ab 18:30 Uhr

Internet Security Night 2019

Die außergewöhnlichen Umgebung des Phantasialands nutzt die Internet Security Night auch 2019 und sorgt für eine besondere Atmosphäre mit vielen Möglichkeiten zum Networking.

Gastgeber der Internet Security Night

9:30
-
10:00
#Erkennen & Abwehren

Locked Shield 2019 – die größte Echtzeit-Cyberabwehr-Übung der Welt

  • Major Bernd Kammermeier - Zentrum für Cyber-Sicherheit der Bundeswehr

Keystage

Locked Shield 2019 – die größte Echtzeit-Cyberabwehr-Übung der Welt
Major Bernd Kammermeier, Zentrum für Cyber-Sicherheit der Bundeswehr

Am 10./11. April 2019 fand die Cyberabwehr-Übung "Locked Shields" statt. Die Übung wurde durch das NATO Cooperative Cyber Defense Center of Excellence (CCDCoE) in Tallinn/Estland organisiert. Die Übung findet seit 2010 jährlich statt. 2017 war ich der Referent als stv. Teamleiter, 2018 und 2019 als Teamleiter für das DEU BlueTeam, also für die deutsche Übungsbeteiligung verantwortlich. An der Locked Shields 2019 nahmen 24 Nationen mit insgesamt ca. 1200 Teilnehmern an der Übung teil. Die Übungsteilnehmer kommen üblicherweise aus den nationalen Cyber-Sicherheitsbehörden und/oder aus den militärischen Bereichen. Deutschland war im Schwerpunkt mit dem Zentrum für Cyber-Sicherheit der Bundeswehr sowie anderen militärischen Dienststellen vertreten. Darüber hinaus waren aber auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI), Siemens, Symantec, Fraunhofer Institut im Team vertreten. Ziel der Übung war es, ein vorgegebenes IT-Netzwerk aus ca. 30 Servern und 100 Clients gegen Angriffe eines Red Teams abzusichern. Eine besondere Bedeutung kam dabei dem Schutz der Kritischen Infrastrukturen (KRITIS) Stromkraftwerk, Stromverteilungsanlage und Wasseraufbereitungsanlage zu Gute. Darüber hinaus wurde bei der Übung auch die Interaktion mit den Medien geübt, d.h. unsere Medienexperten mussten durch Twitter-Feeds und News-Artikel eine fiktive Bevölkerung über Sicherheitsrisiken und Bedrohungen informieren. Parallel mussten die Rechtsberater, welche ebenfalls zum Team gehörten, zahlreiche sowie hochkomplexe Fragestellungen vom IT-Recht bis zum Völkerrecht beantworten - immer mit dem Bezug zu Cyber-Sicherheit. Insgesamt fanden in den zwei Tagen ca. 100 Angriffe gegen unser Netzwerk statt. Vom einfachen Website-Defacement über störende DDoS-Angriffe bis hin zur Manipulation der KRITIS inklusive BlackOut und Ausfall der Trinkwasserversorgung.

9:30
-
10:00
#ISMS und Compliance #Partner

Über das alltägliche Scheitern der Informationssicherheit

  • Prof. Dr. Thomas Jäschke - DATATREE AG

Raum 1

Über das alltägliche Scheitern der Informationssicherheit
Prof. Dr. Thomas Jäschke, DATATREE AG

Es gibt sie – und es sind viele: Unternehmen, die im Bereich der Informationssicherheit am Puls der Zeit sind. Doch warum sind anderswo elementarste Themen wie Backup, Restore oder rudimentäre Notfallplanung noch immer ungelöste Themen? Prof. Dr. Thomas Jäschke ist seit rund 25 Jahren im Bereich der Informationssicherheit aktiv und erklärt, warum Informationssicherheit nicht immer eine Budget-Frage ist. Dabei geht es nicht nur um schlechte Berater, Managementfehler und zum Scheitern verurteilte Projekte. Es stehen auch umgängige Best-Practice Ansätze der Informationssicherheit, Verantwortlichkeiten und ein funktionierendes Projektmanagement im Fokus. Darüber hinaus liefert Prof. Thomas Jäschke Antworten auf die Frage, was eigentlich passiert, wenn diese Aspekte regelmäßig missachtet werden.

9:30
-
11:30
#Workshop #Zusatzbuchung

Der Regenmacher – die Sicherheit von Cloud-basierten Infrastrukturen aus der Sicht eines Penetrationstesters

  • Stephan Sekula - Compass Security Deutschland GmbH

Raum 2

Der Regenmacher – die Sicherheit von Cloud-basierten Infrastrukturen aus der Sicht eines Penetrationstesters
Stephan Sekula, Compass Security Deutschland GmbH
Der Trend zur Nutzung von Cloud Computing ist ungebrochen. Die Komplexität der Ökosysteme nimmt beständig zu und Lösungsangebote werden fast täglich erweitert und neuen Anforderungen angepasst. Bei der Planung von Sicherheitsprüfungen wird diese Thematik heute von vielen Nutzern nicht berücksichtigt. Die Verantwortung für die Sicherheit der Infrastruktur liegt scheinbar beim Cloud-Anbieter. Der Nutzer / Applikationsentwickler hört "Serverless" und meint, sich nur noch um die Funktionalität seiner Anwendung kümmern zu müssen. Dieser Vortrag zeigt, wie wir als Penetrationstester bei der Planung und Durchführung von Sicherheitsprüfungen vorgehen, auf welche Art und Weise es uns gelingt, Löcher in die Wolken zu stechen und was beachtet werden sollte, um einen großen "Datenwolkenbruch" zu verhindern.
10:00
-
10:30
#Erkennen & Abwehren

Incident Response Tabletop

  • Maximilian Müller - usd AG

Keystage

Incident Response Tabletop
Maximilian Müller, usd AG

In Zeiten, in denen fast täglich Hacker-Angriffe und Datendiebstähle durchgeführt werden, ist das Reagieren auf solch einen Vorfall überlebenswichtig, um nicht durch Imageverlust langfristige Schäden davonzutragen. Daher ist ein erfolgreiches Incident Management in der heutigen Zeit ein Muss für jedes größere Unternehmen. Die Sicherstellung, dass der Incident Response Prozess auch wirklich funktioniert, erweist sich jedoch häufig als schwierig. Oftmals sind diese Prozesse recht umfangreich und somit aufwendig zu überprüfen. Eine Lösung dafür ist ein sogenannter „Incident Response Tabletop“ (IRT). Darin wird ein Incident theoretisch durchgespielt, während das für die Behebung zuständige Team darauf mündlich reagiert. Die Reaktionen werden dokumentiert und im Anschluss ausgewertet. Im Vortrag wird der Ablauf des IRT detailliert vorgestellt, sowie Bewertungsaspekte dargelegt, nach denen der Erfolg des IRT beurteilt werden kann. Auch werden verschiedene Erfahrungen aus der Praxis berichtet.

10:00
-
10:30
#ISMS und Compliance

Nutzung von Synergieeffekten zur effizienten Bewältigung regulatorischer Anforderungen des Datenschutzes und der IT-Sicherheit

  • Tobias Theelen - esatus AG

Raum 1

Nutzung von Synergieeffekten zur effizienten Bewältigung regulatorischer Anforderungen des Datenschutzes und der IT-Sicherheit
Tobias Theelen, esatus AG

Die Digitalisierung von Prozessen schreitet schnell voran und mit ihr auch die regulatorischen Anforderungen an Digitalisierungsprojekte. Die letzten Jahre waren geprägt von neuen Gesetzgebungen des Datenschutzes und der Informationssicherheit: Die DSGVO oder das IT-Sicherheitsgesetz schaffen neue Herausforderungen, die von vielen Unternehmen fast schon als Showstopper der Digitalisierung bewertet werden. In unserem Vortrag möchten wir Ihnen, einen Überblick über regulatorische Anforderungen der IT-Sicherheit und des Datenschutzes geben, insb. zur EU-DSGVO, BDSG, EU-Cybersecurity-Act, NIS-RL, BSIG und der Geheimnisschutzrichtlinie. Zudem werden Schnittstellen der verschiedenen Anforderungen dargestellt und wie durch eine Kombination verschiedener Best Practise Frameworks (ISO 27001, COBIT, ISO 22301 etc.) mit minimalem Dokumentations- und Implementierungsaufwand möglichst viele Anforderungen bewältigt werden können.

10:30
-
11:00
#Cybercrime #Partner

Security Monitoring – Widerstand ist möglich

  • Jens Kroppmann - CONET

Keystage

Security Monitoring – Widerstand ist möglich
Jens Kroppmann , CONET
Die Härtung und sicherheitsgerichtete Überwachung von IT-Infrastrukturen hinsichtlich Cyber-Angriffen, Cyber-Spionage und Cyber-Kriminalität steht derzeit im Fokus. Die Bedrohungslage hat sich insofern verändert, dass sich nicht nur eine signifikante Vermehrung der Angriffsversuche ergeben hat, sondern auch die Qualität und die Organisation der Angreifer zunehmend professioneller geworden sind. Um diesen Herausforderungen gerecht zu werden, müssen Unternehmen kompetentes Personal, gehärtete IT-Infrastrukturen mit IT-Security-Monitoring und hierfür ausgerichtete Prozesse aufbauen und betreiben. Eine zielführende Lösung ist die Beauftragung eines Security Operations Center (SOC) – das Service-Angebot des CONET-SOC fokussiert sich auf Netflow-Analyse, um die IT-Sicherheit mit Hilfe von konzertiertem fachlichen Know-how und technischen Lösungen für die IT-Infrastrukturen von Kunden zu gewährleisten. CONET Technologies Holding GmbH
10:30
-
11:00
#ISMS und Compliance

Know-how-Schutz im Unternehmen umsetzen – Anforderungen an die IT-Sicherheit

  • Dr. Johanna Schmidt-Bens, LL.M. - HK2 Comtection GmbH

Raum 1

Know-how-Schutz im Unternehmen umsetzen – Anforderungen an die IT-Sicherheit
Dr. Johanna Schmidt-Bens, LL.M., HK2 Comtection GmbH
Am 21. März 2019 hat der Bundestag knapp drei Jahre nach in Kraft treten der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) beschlossen. Um sich auf das neue Gesetz berufen zu können, müssen Unternehmen in Zukunft angemessene Maßnahmen zum Schutz ihrer Geschäftsgeheimnisse nachweisen können. Dabei betreffen die Geheimhaltungsmaßnahmen insbesondere die IT-Sicherheit. Die Neuregelungen des Geheimnisschutzgesetzes bilden eine Zäsur im Know-how-Schutz und werden weitreichende Auswirkungen auf die Praxis haben. Welche Schritte müssen Unternehmen jetzt als erstes einleiten? Wie sind die Fachbereiche zu beteiligen und welche Herausforderungen kommen bei der Umsetzung auf die Unternehmen zu? Was ist zukünftig bei der Rechtsdurchsetzung zu beachten? Diesen Fragen wird anhand von Beispielsfällen nachgegangen.
11:00
-
11:30
#Erkennen & Abwehren

Warum Notfallvorsorge wertlos ist!

  • Gerald Kortschak - sevian7 IT development GmbH

Keystage

Warum Notfallvorsorge wertlos ist!
Gerald Kortschak, sevian7 IT development GmbH
Warum Notfallvorsorge bei CyberIncidents meistens wertlos ist? Angelehnt an von Moltke lautet die Antwort „Kein Plan überlebt den ersten Feindkontakt“. Allen gängigen Methoden ist gemeinsam, dass sie für bekannte Gefahrensituationen bekannte Lösungen suchen und daher am Unvorhergesehenen und Unvorhersehbaren scheitern. Würde man sich jedoch mit den Konsequenzen einzelner Situationen näher befassen, also ein Konsequenzenmanagement betreiben, so würde man über die Symptome hinausblicken können und sich eine Situationelastizität bewahren, jenseits von starren Prozessen. Sind mir die Konsequenzen einer Störung bekannt, so kann ich rasch identifizieren, ob und wenn ja, welche personellen, finanziellen und technischen Ressourcen wann, wo und in welcher Menge benötigt werden und warum. Es ist wertlos zu glauben, man könne auf alles proaktiv vorbereitet sein. Wichtiger ist es, die Konsequenzen von Störungen zu kennen, um von einem Reagieren zu einem Agieren zu gelangen und Schaden einzudämmen.
11:00
-
11:30
Integrierte Managementsysteme – ISMS & IKS in der Praxis

Integrierte Managementsysteme – ISMS & IKS in der Praxis

  • Marius Wiersch - HiSolutions AG

Raum 1

Integrierte Managementsysteme – ISMS & IKS in der Praxis
Marius Wiersch, HiSolutions AG

Organisationen erhalten von außen immer mehr Anforderungen die sie über Managementsysteme erfüllen müssen. Die Anforderungen kommen teilweise von Aufsichtsbehörden (wie BaFin, BNetzA), teilweise vom Gesetzgeber (wie DSGVO, BSI-Gesetz) oder aber teils auch von anderen Organisationen im Rahmen des Dienstleistermanagement. Oft werden solche Anforderungen getrennt voneinander angegangen, so dass Mehraufwände zur Planung, zum Betrieb und zur Weiterentwicklung von Managementsystemen entstehen. Ziel sollte es aber sein, sich aus der operativen Sicht zu lösen und ein einheitliches Managementsystem für mehrere Systeme aufzubauen. In diesem Vortrag wird an einem Beispiel aus der Praxis aufgezeigt wie sich ein Informationssicherheitsmanagementsystem und ein Internes Kontrollsystem unter Nutzung von Synergien gleichzeitig implementieren lassen. Zudem wird ein Ausblick auf weitere Schnittstellen und Synergien zu beispielsweise Business-Continuity-Management, opRisk und Compliance gegeben.

11:30 Uhr–12:00 Uhr
Kaffeepause

12:00
-
12:30
#Faktor Mensch

Alles Lug und Betrug – mit welchen psychologischen Tricks Hacker erfolgreich sind

  • Dr. Niklas Hellemann - SoSafe GmbH

Keystage

Alles Lug und Betrug – mit welchen psychologischen Tricks Hacker erfolgreich sind
Dr. Niklas Hellemann, SoSafe GmbH
Jede Branche, jedes Unternehmen, jeder einzelne Mensch tickt unterschiedlich – und fällt auf unterschiedliche Tricks rein, wenn es um das Thema Cyberkriminalität geht. Denn die Angreifer nutzen unsere menschlichen Schwächen schamlos aus – mit immer perfideren Betrugsversuchen. Doch welche psychologische Taktik ist eigentlich am erfolgreichsten, wenn es um das Thema Social Engineering geht? Funktioniert z.B. der Aufbau von Druck in einer Phishing-Mail besser als das Inaussichtstellen von Geld oder Rabatten? Oder schlägt doch das Ausnutzen der Neugier der Nutzer alle anderen Taktiken? Und gibt es firmen- und branchenübergreifende Trends? Und was können Organisationen aus diesen Erkenntnissen lernen, um den Hackern einen Schritt voraus zu sein? Basierend auf proprietären Daten und konkreten Fallbeispielen wird gezeigt, wo die größten Schwachstellen liegen – und wie man diese beheben kann. Hierzu wird auf den Erfahrungsschatz aus über 50 Phishing-Simulationen bei Kunden zurückgegriffen.
12:00
-
12:30
#ISMS und Compliance

Managerhaftung für Schäden aus Cyberangriffen – Haftungsszenarien erkennen und vermeiden

  • Dr. Paul Malek LL.M. - Clyde & Co LLP

Raum 1

Managerhaftung für Schäden aus Cyberangriffen – Haftungsszenarien erkennen und vermeiden
Dr. Paul Malek LL.M., Clyde & Co LLP
Cyberrisiken sind nicht nur ein tatsächliches Problem, sondern ziehen auch viele rechtliche Implikationen nach sich. Nach einer Cyberattacke sind Unternehmen vielfältigen zivilrechtlichen Haftungsrisiken ausgesetzt (z.B. wg. Nichterfüllung von Lieferverpflichtungen). Die juristische Auseinandersetzung kostet Geld. In der Praxis stellt sich die Frage, ob Schadensersatzansprüche gegen den Vorstand bzw. Geschäftsführer bestehen. Leitungsorgane von Unternehmen müssen z.B. ausreichende organisatorische Maßnahmen treffen, um Cyberangriffe – soweit dies nach dem Stand der Technik möglich ist – weitestgehend zu verhindern. Tun Sie dies nicht, haften Sie. In meinen Vortrag adressiere ich die Leistungsorgane und gebe einen Überblick über die Haftungsrisiken und fasse die Ergebnisse in zwei "To Do" Listen zusammen mit juristischen Fokus: Reaktion nach einem Cyberangriff und Präventive Maßnahmen
12:00
-
12:30
#ISMS und Compliance

Wir suchen unsere Ersatzteile in Kleinanzeigen – Erfahrungen eines Prüfers mit kritischen Infrastrukturen

  • Daniel Jedecke - HiSolutions AG

Raum 2

Wir suchen unsere Ersatzteile in Kleinanzeigen – Erfahrungen eines Prüfers mit kritischen Infrastrukturen
Daniel Jedecke, HiSolutions AG
Ihre Waschmaschine ist kaputt und der Hersteller liefert keine Ersatzteile mehr. Was machen Sie? Sie suchen sich die Ersatzteile in Anzeigen. Dieses Vorgehen klingt ja erst einmal sinnvoll. Handelt es hier bei der Waschmaschine jedoch um eine Speicherprogrammierbare Steuerung (SPS) und läuft diese in einer für die Bevölkerung kritischen Infrastruktur, so erwartet man hier eher eine sichere Infrastruktur mit einer hohen Ausfallsicherheit. Als Prüfer für kritische Infrastrukturen erlebt man jeden Tag neue interessante Herausforderungen der Betreiber. So läuft bei einem Betreiber die Hauptwasserleitung durch den Raum der Steuerung und bei einem anderen Betreiber muss die Hardware bis zum Austausch noch 5 Jahre halten und man sucht sich Ersatzteile in Anzeigen. Dies zeigt wie wichtig der §8a BSIG ist und das kritische Infrastrukturen ein Mindestmaß an Anforderungen benötigen. Eine Reise durch interessante Mängel und wie uns das IT-Sicherheitsgesetz als Bevölkerung hilft.
12:30
-
13:00
#Faktor Mensch

Nutzer*in vs. Security – Von Vorurteilen, Stereotypen und unbewusster Inkompetenz

  • Katja Dörlemann - SWITCH

Keystage

Nutzer*in vs. Security – Von Vorurteilen, Stereotypen und unbewusster Inkompetenz
Katja Dörlemann, SWITCH
Die meisten Nutzer*innen von IT verfügen über genügend Wissen, um Internet und Technologie zu nutzen. Es reicht aber nicht immer aus, um verantwortungsvoll und selbstbestimmt mit den eigenen Daten umzugehen. Das Problem ist schon lange erkannt. Das Fachgebiet Security Awareness soll es lösen. Gezielte Maßnahmen zum Thema Informationssicherheit machen aufmerksam, informieren, trainieren und klären Nutzer*innen über Ihre Rechte sowie Pflichten auf. Für Unternehmen und Organisationen gehört der Faktor Mensch aktuell dennoch zur größten Gefahr für den Schutz der Daten und Informationen. Zudem lässt sich beobachten, dass Social Engineering zunehmend zur favorisierten Methode krimineller Hacker wird, um illegal an Daten und Informationen zu gelangen. Hat Security Awareness versagt? Woran scheitert das Vorhaben? Was müsste passieren? Auf der Suche nach Antworten auf diese Fragen, trifft man auf Vorurteile, Stereotypen und unbewusste Inkompetenz.
12:30
-
13:00
#ISMS und Compliance

Hersteller- und Verkäuferpflichten bei softwarebezogenen IT-Sicherheitsupdates: Rechtsgrundlagen und Umfang

  • Dr. Dennis-Kenji Kipker - Verband der Elektrotechnik Elektronik und Informationstechnik (VDE) e. V.

Raum 1

Hersteller- und Verkäuferpflichten bei softwarebezogenen IT-Sicherheitsupdates: Rechtsgrundlagen und Umfang
Dr. Dennis-Kenji Kipker, Verband der Elektrotechnik Elektronik und Informationstechnik (VDE) e. V.
Tagtäglich werden neue Schwachstellen in der IT-Sicherheit entdeckt. Damit einhergehend stellt sich für Hersteller und Verkäufer von IT-Produkten die Frage, in welchen Fällen, in welchem Umfang und für wie lange sie ihren Kunden IT-sicherheitsbezogene Softwareupdates zur Verfügung stellen müssen. Der Beitrag soll die gegenwärtige Situation im Vertrags- und deliktischen Haftungsrecht für die nicht immer klar geregelten Updatepflichten im B2B-Bereich vor allem aus der Herstellerperspektive beleuchten – insbesondere auch jenseits individuell vereinbarter Garantieverträge. Einbezogen werden dabei die drei möglichen Parteien Hersteller, (Zwischen-)Händler/Intermediär und Kunde/Nutzer. Im Rahmen der Darstellung wird insbesondere Wert auf die Laienverständlichkeit der juristischen Ausführungen gelegt.
12:30
-
13:00
#ISMS und Compliance

Neue Anforderungen durch E DIN EN 62443-3-2 Sicherheitsrisikobeurteilung und Systemgestaltung bei industriellen Automatisierungssystemen

  • Prof. Stefan Loubichi - KSG mbH / GfS mbH

Raum 2

Neue Anforderungen durch E DIN EN 62443-3-2 Sicherheitsrisikobeurteilung und Systemgestaltung bei industriellen Automatisierungssystemen
Prof. Stefan Loubichi, KSG mbH / GfS mbH
Die Sicherheitsrisikobeurteilung und Systemgestaltung bei industriellen Automatisierungssystemen ist derzeit die Achillessehne der Informationssicherheit. Mit der Umsetzung Normenreihe 62443-x-x wird sich diese Lücke schließen, zugleich wird aber hier den Organisationen aber einiges abverlangt. Diese neuen Herausforderungen werden hier präsentiert.

13:00 Uhr–14:15 Uhr
Mittagspause

14:15
-
15:15
#Erkennen & Abwehren #Panel

War Stories "Notfallmanagement"

  • Cornelia Schildt - eco e. V (Moderation)
  • Markus Schaffrin - eco e. V (Moderation)
  • Thomas Wallutis - @-yet GmbH
  • Georg Nold - Heise Medien
  • Andreas Dewald - ERNW Research GmbH
  • Thomas Hungenberg - Bundesamt für Sicherheit in der Informationstechnik

Keystage

War Stories
Cornelia Schildt, eco e. V (Moderation)
War Stories
Markus Schaffrin, eco e. V (Moderation)
War Stories
Thomas Wallutis, @-yet GmbH
War Stories
Georg Nold, Heise Medien
War Stories
Andreas Dewald, ERNW Research GmbH
War Stories
Thomas Hungenberg, Bundesamt für Sicherheit in der Informationstechnik
War Stories: Notfallvorsorge und -behandlung Experten gehen davon aus, dass Sicherheitsvorfälle nicht gänzlich vermieden werden können. Anwender müssen sich also nicht nur damit beschäftigen, wie Angriffe abgewehrt werden können, sondern auch damit, wie erfolgreiche Angriffe erkannt, behandelt und die Schäden minimiert werden können. Geladene Podiumsteilnehmer aus verschiedenen Unternehmen und Organisationen berichten aus ihren Erfahrungen und beantworten Zuschauerfragen.
14:15
-
15:15
#ISMS und Compliance #Panel

IT-Sicherheit in der Gesetzgebung

  • Nicolas Goss - eco e. V (Moderation)
  • Jan Dombrowski - Unitymedia
  • Dr. Thomas Drucks - Bundesnetzagentur
  • Steve Ritter - Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Josef Urban - Nokia Bell Labs
  • Gordon Mühl - Huawei Technologies

Raum 1

IT-Sicherheit in der Gesetzgebung
Nicolas Goss, eco e. V (Moderation)
IT-Sicherheit in der Gesetzgebung
Jan Dombrowski, Unitymedia
IT-Sicherheit in der Gesetzgebung
Dr. Thomas Drucks, Bundesnetzagentur
IT-Sicherheit in der Gesetzgebung
Steve Ritter, Bundesamt für Sicherheit in der Informationstechnik (BSI)
IT-Sicherheit in der Gesetzgebung
Josef Urban, Nokia Bell Labs
IT-Sicherheit in der Gesetzgebung
Gordon Mühl, Huawei Technologies
Die Sicherheit und die Integrität informationstechnischer Systeme und der Datenschutz sind für eco und seine Mitglieder seit jeher wichtige Anliegen. Deren Verbesserung nach einem evidenz- und risikobasierten Ansatz ist im Interesse der Internetwirtschaft, der Gesellschaft und des Staates. Wichtig ist, dass eine differenzierende Betrachtung vorgenommen wird, sachgerechte Kriterien entwickelt werden und ein vernünftiger Ausgleich der berechtigten Interessen erreicht wird, u. a. bei dem angekündigten IT-Sicherheitsgesetz 2.0. Was kann, was muss der Staat tun, um die Unternehmen zu schützen? Wie können Staat und Wirtschaft gemeinsam die IT-Sicherheit stärken? Konkret möchten wir, einen Bogen spannen von der Digitalen Agenda des Bundesministeriums des Inneren zu IT-Sicherheit, den Eckpunkten der Bundesnetzagentur Sicherheitsanforderungen für TK-Unternehmen und dem Cyber Security Act.
15:15
-
16:00
#Keynote #FaktorMensch

Warum ignorieren Menschen IT-Sicherheitsregeln?

  • Prof. Dr. Angela Sasse - Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum

Keystage

Warum ignorieren Menschen IT-Sicherheitsregeln?
Prof. Dr. Angela Sasse, Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum
Sicherheitsexperten beklagen oft das Angestellte in Unternehmen Sicherheitsmaßnahmen umgehen, und die meisten Konsumenten Ratschläge wie man sicher im Internet unterwegs ist ignorieren. Als Grund vermuten Experten das diesen Menschen die Risiken nicht bewußt sind. Neue Forschungsergebnisse zeigen jedoch das viele Sicherheitsmaßnahmen zeitraubend und kompliziert sind, und Benutzer die Befolgung von Ratschlägen als"unmöglich" erfahren. Der Vortag wird zeigen IT Sicherheit durch Vereinfachung, nutzerzentriertes Design und bessere Kommunikation machbar wird.

16:00 Uhr
Ende der #ISD19 – wir sehen uns 2020 wieder!

Markus Bartsch

Markus Bartsch

TÜV Informationstechnik GmbH
Ralf Benzmüller

Ralf Benzmüller

G DATA Security
Dr. Yvonne Bernard

Dr. Yvonne Bernard

Hornetsecurity GmbH
Helmuth Brechtken

Helmut Brechtken

Warth & Klein Grant Thornton AG
Sascha Brendel

Sascha Brendel

eco e.V.
ISD 2019 - Agenda 24

Eric Clausing

AV-Test Gmbh
Joseph Carson 1

Joseph Carson

Thycotic
ISD 2019 - Agenda 21

Dr.-Ing. Andreas Dewald

Managing Director / Geschäftsführer
Christian Dittrich

Christian Dittrich

Jan Dombrowski

Jan Dombrowski

Unitymedia
Katja Dörlemann

Katja Dörlemann

SWITCH
ISD 2019 - Agenda 3

Dr. Thomas Drucks

Bundesnetzagentur
Dr. Jens Eckhardt 2

Dr. Jens Eckhardt

Derra, Meyer & Partner Rechtsanwälte PartGmbB
Bastian Flohr

Bastian Flohr

PwC Deutschland GmbH
Dr. Thomas Fricke

Dr. Thomas Fricke

Endocode AG
Christoph Gerber

Christoph Gerber

Kantonspolizei Zürich
Nicolas Goß

Nicolas Goß

Legal Consultant for Telecommunications
Michael Hausding

Michael Hausding

SWITCH
Robert Heitz

Robert Heitz

Santander Consumer Bank
Dr. Niklas Hellemann

Dr. Niklas Hellemann

SoSafe GmbH
Prof. Dr. Jan Jürjens 1

Prof. Dr. Jan Jürjens

Fraunhofer Institut für Software- und Systemtechnik ISST
Prof. Dr. Thomas Jäschke

Prof. Dr. Thomas Jäschke

Datatree AG
Daniel Jedecke

Daniel Jedecke

HiSolutions AG
Peter Kaminski

Peter Kaminski

Santander Consumer Bank
ISD 2019 - Agenda 24

Bernd Kammermeier

Zentrum für Cyber-Sicherheit der Bundeswehr
Dr. Dennis-Kenji Kipker 1

Dr. Dennis-Kenji Kipker

VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.
5 Fragen an David Kelm, IT-SEAL GmbH

David Kelm

IT Seal
Kristin Klinner

Kristin Klinner

Bosch Sicherheitssysteme GmbH
Gerald Kortschak

Gerald Kortschak

sevian7 IT development GmbH
Jens Kroppmann

Jens Kroppmann

CONET
Sebastian Kurowski

Sebastian Kurowski

Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO
Prof. Stefan Loubichi

Prof. Stefan Loubichi

KSG mbH / GfS mbH
Chris Lichtenthäler

Chris Lichtenthäler

Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft
Dr. Paul Malek LL.M.

Dr. Paul Malek LL.M.

Clyde & Co LLP
Carsten Marmulla

Carsten Marmulla

carmasec Ltd. & Co. KG
Peter Meyer

Peter Meyer

eyeo GmbH
Gordon Mühl

Gordon Mühl

Huawei Technologies GmbH
Klaus J. Müller

Klaus J. Müller

LEITWERK AG
Maximilian Müller

Maximilian Müller

usd AG
Prof. Dr. Norbert Pohlmann (f)

Prof. Dr. Norbert Pohlmann

eco e.V
Markus Schaffrin 1

Markus Schaffrin

Geschäftsbereichsleiter Mitglieder Services
Eberhard Scheuble 1

Eberhard Scheuble

Akamai
Cornelia Schildt

Cornelia Schildt

Projektmanagerin IT-Sicherheit
Rainer Schönen

Rainer Schönen

Bundesamt für Sicherheit in der Informationstechnik
Steve Ritter

Steve Ritter

Bundesamt für Sicherheit in der Informationstechnik
Automatisch gespeicherter Entwurf 46

Prof. Dr. Angela Sasse

Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum
Stephan Sekula

Stephan Sekula

Compass Security Deutschland GmbH
Dr. Johanna Schmidt-Bens, LL.M.

Dr. Johanna Schmidt-Bens, LL.M.

HK2 Comtection GmbH
Blackout - Vorbereitung für den Ernstfall 1

Frau Stein

Bundesamt für Verfassungsschutz
Rolf Strehle

Rolf Strehle

ditis Systeme
Josef Urban

Josef Urban

Nokia Bell Labs
Tobias Theelen

Tobias Theelen

esatus AG
Blackout - Vorbereitung für den Ernstfall 1

Felix von Leitner

Code Blau GmbH
Thomas Wallutis

Thomas Wallutis

@yet
Sebastian Weidenbach

Sebastian Weidenbach

esatus AG
Michael Weirich

Michael Weirich

Security Analyst
Andreas Weiss 2

Andreas Weiss

Geschäftsbereichsleiter Digitale Geschäftsmodelle
Jörg Wießner

Jörg Wießner

Bosch Sicherheitssysteme GmbH
Marius Wiersch 1

Marius Wiersch

HiSolutions AG
Marc Wilczek

Marc Wilczek

Link 11 GmbH
Martin Zeitler

Martin Zeitler

Palo Alto
Michael Zobel 1

Michael Zobel

Alter Solutions Deutschland GmbH