Themen der
Internet Security Days 2019

In parallelen Slots sind dies die Themen der ISD19

Cybercrime

Der Kampf gegen Cyberattacken wird zum Katz- und Mausspiel, neuen Angriffen stehen neue Abwehrmechanismen entgegen. Welche Bedrohungen gibt es? Wie kann ich mich schützen? Wie wird der menschliche Faktor in diesem hochtechnischen Feld berücksichtigt, um ihn als schwächstes Glied zu unterstützen?

Informationssicherheit und Compliance

Fragen der Informationssicherheit berühren längst nicht mehr nur die Technik. Die Einbindung in die Prozesslandschaft wird oft zum entscheidenden Erfolgsfaktor. Regulatorische Anforderungen gilt es genauso zu berücksichtigen wie die bestehende IT-Landschaft. Wie können sich Unternehmen in diesem Spannungsfeld heute aufstellen? Welche neuen Herausforderungen birgt beispielsweise der EU Cybersecurity Act?

Notfallvorsorge

Es muss davon ausgegangen werden, dass jederzeit und überall ein Sicherheitsvorfall auftreten kann. Eine gute Vorbereitung erleich-tert die Behandlung und verkürzt eventuelle Ausfallzeiten. Wie erkenne ich einen Notfall oder kritischen Incident? Wie identifiziere ich kritische Geschäftsprozesse? Welche Maßnahmen müssen ergriffen werden? Welche Ressourcen werden benötigt? Welche Rolle spielt die Kommunikation? Wie kann für den Notfall trainiert werden

Sichere Identitäten und Infrastrukturen

Nicht nur das Internet der Dinge wirft die Frage auf, wie eine sichere Authentisierung aussehen kann. Im digitalen Zeitalter wird die Identität zum besonders schützenswerten Gut. Haben Passwörter ausgedient? Welche neuen Methoden bieten mehr Schutz? Wie kann nicht nur die Mensch-Maschine-Kommunikation, sondern auch die Maschine-zu-Maschine-Kommunikation (M2M) in komplexen Netzen sicher gestaltet werden?

The future of Security

Neue Sicherheitstechnologien strömen auf den Markt. Gleichzeitig werden noch jahrzehntealte Verfahren eingesetzt. Wie können
Methoden aus dem Bereich der Künstlichen Intelligenz die Sicherheit verbessern? Wie wird Quantencomputing die Sicherheitslandschaft verändern? Wo erweist sich der Einsatz von Blockchains als sinnvoll? Welche Technologien haben das Potential, Sicherheit
auf die nächste Stufe zu heben? Und wie sehen konkrete Einsatzszenarien aus?

Workshops

In diesem Jahr bieten wir für unsere Teilnehmerwieder zweistündige Workshops zu den Themenschwerpunkten der ISD19 an. In diesen erhalten die Teilnehmer die Möglichkeit, einzelne Themen ausführlicher kennenzulernen und ausgewählte Sicherheitsfragen in kleiner Runde zu besprechen. Die Workshops finden parallel zu den Security Sessions statt. Jeder Teilnehmer erhält zusätzlich Workshopunterlagen sowie auf Wunsch eine Teilnahmebestätigung. Die Teilnahme an den Workshops ist nur für Konferenzteilnehmer und nach vorheriger Anmeldung möglich. Die Kosten für die Anmeldung betragen pro Workshop 149 Euro. Die Anzahl der Anmeldungen ist limitiert. Sollte der Workshop aufgrund zu geringer Nachfrage nicht zustande kommen, werden diese Kosten zurückerstattet.

Sie haben Fragen?
Kontaktieren Sie uns!

Cornelia Schildt

Cornelia Schildt
Agenda
cornelia.schildt(at)eco.de

Das sind die ISDs!

Schwerpunkt auf Online Security: Treffen Sie Ihre Zielgruppe

Perfekte Networking­mög­lich­keiten in entspannter Atmosphäre

Kombination aus Infor­ma­tion, Business und Spaß

Die Chance, sich mit vielen Branchen­kollegen auszu­tau­schen

Außergewöhnliche Location

Sichern Sie sich jetzt Ihr Ticket!

9:30
-
9:45
#ISD2019

Begrüßung

  • Prof. Dr. Norbert Pohlmann - Vorstand eco e.V.

Keystage

Begrüßung
Prof. Dr. Norbert Pohlmann, Vorstand eco e.V.
9:45
-
10:15
#ISD2019 #Keynote

Herausforderungen im Cyberraum

  • Michael Niemeier - Vizepräsident des Bundesamtes für Verfassungsschutz

Keystage

Herausforderungen im Cyberraum
Michael Niemeier, Vizepräsident des Bundesamtes für Verfassungsschutz
10:15
-
10:45
#ISD2019 #Keynote

Hype-Tech

  • Felix von Leitner - Code Blau GmbH

Keystage

Hype-Tech
Felix von Leitner, Code Blau GmbH

Blockchain, Smart Contracts und KI werden uns nicht retten. In diesem Vortrag erkläre ich die Technologien kurz für technikinteressierte Laien, und dann leite ich her, wieso sie uns nicht nur nicht weiterhelfen werden, sondern unsere Probleme sogar noch verschlimmern werden. Quantencomputing ist bisher im Wesentlichen als Grund für Panik unter Kryptografen aufgefallen, nicht als potentielles Heilmittel. Dieser Vortrag wird kurz erläutern, wieso dieser erste Eindruck auch für die Zukunft zutreffend bleiben wird.

10:45 Uhr - 11:30 Uhr
Kaffeepause

11:00
-
13:00
#Workshop #Zusatzbuchung

DevSecOps mit Containern und Kubernetes

  • Dr. Thomas Fricke - Endocode AG

Raum 2.1

DevSecOps mit Containern und Kubernetes
Dr. Thomas Fricke, Endocode AG
Die Automatisierung von Build Pipelines ist in vollem Gange. Die erste Welle von DevOps hat eine erstaunliche Beschleunigung der Auslieferung von Software angestoßen. Die Schwächen in der Sicherheit von DevOps werden durch die Integration von Security-Scannern, automatisierten Pentests und Compliance Prozessen gerade geschlossen. GitOps dokumentiert automatisch alle Änderungen laufender Systeme. Huckepack auf dem Deployment von Features werden Security Updates ausgeliefert. Audits laufen automatisiert mit. Es soll an Beispielen gezeigt werden, wie mit Kubernetes sichere Systeme designt werden können, die DevSecOps umsetzen und Anforderungen an kritische Infrastruktur erfüllen können. Beispiele von Marktplätzen aus dem medizinischen Bereich und Ausblicke auf Verkehrsleitsysteme und Energiesteuerungen zeigen, welche typischen Vorteile und auch Fallstricke es gibt.
11:30
-
12:00
#Cybercrime

How to pwn a Global Player in two days

  • Stephan Sekula - Compass Security

Keystage

How to pwn a Global Player in two days
Stephan Sekula, Compass Security
Weltweit agierende Konzerne sind sicher. Das wird jedenfalls häufig suggeriert und öffentlich dargestellt. Aber ist dem wirklich so? Man sollte annehmen, das große Unternehmen mehr Geld und Personal haben, um ihre Systeme und Daten abzusichern. In vielen Fällen mag dies so sein, aber definitiv nicht immer. Dieser Vortrag soll einen Einblick in den Stand der IT-Sicherheit geben und aufzeigen, dass Global Player genauso angreifbar sind wie Startups. Wir wollen die Gleichung "Umsatz=Sicherheit" an einem Fallbeispiel infrage stellen. In diesem Vortrag präsentieren wir unsere Vorgehensweise bei einem echten Pentest, bei dem wir ein gesamtes Unternehmen binnen zwei Tagen übernehmen konnten, um Kunden- und weitere sensible Daten zu "stehlen".
11:30
-
12:00
#The future of Security

The future of Cyber Security

  • Marc Wilczek - Link11 GmbH

Raum 1

The future of Cyber Security
Marc Wilczek, Link11 GmbH
Der Vortrag von Marc Wilczek wird aufzeigen, wie Künstliche Intelligenz für IT-Security hilft und wieso diese unumgänglich ist. Der Mensch ist in Zeiten der Digitalisierung die größte Schwachstelle, wenn es um das Thema Verteidigung von Cyber-Attacken geht. Verletzungen der Datensicherheit werden aufgrund von 3.5 Mio. Vakanzen durchschnittlich erst nach 191 Tagen aufgedeckt und Cyber-Angriffs-Warnungen können aufgrund dessen nur zu 25% bearbeitet werden. Wie hier KI, Machine-Learning und Automation helfen und wie es rechtlich um diese Thematik steht, werden wir in unserem Vortrag thematisieren.
12:00
-
12:30
#Cybercrime

RaaS: Ransomware as a Service: neues Vertriebsmodell für Cyberkriminelle?

  • Dr. Yvonne Bernard - Hornetsecurity GmbH

Keystage

RaaS: Ransomware as a Service: neues Vertriebsmodell für Cyberkriminelle?
Dr. Yvonne Bernard, Hornetsecurity GmbH
BSI und Cert warnten bereits mehrfach vor der wachsenden Bedrohung, durch die aktuelle Phishing- und Spam-Kampagne, durch die „Emotet“ verbreitet wird. Bei den betroffenen Unternehmen verursachte die Malware in verschiedensten Ausprägungen bereits Ausfälle der kompletten IT-Infrastruktur sowie immense Kapitalschäden. Seit Beginn des Jahres häufen sich Fälle, bei denen „bekannte“ Malware in neuem Gewand genutzt wird, um Schadware von anderen Kriminellen einzuschleusen: Das neue Geschäftsmodell heißt „Ransomware as a Service“. Das Hornetsecurity Security Lab meldete als erstes Security-Unternehmen weltweit eine neue Mutation dieser Schadsoftware als Rechnung im PDF Dokument getarnt, welche beim Ausführen einen Banking-Trojaner nachlädt. Im Vortrag werden beispielhaft für RaaS die den Emotet-Angriffswellen zugrundeliegenden Blended Attacks analysiert und die Killchain vom Angriffsvektor bis zum Komplettausfall betroffener Produktivsysteme ausführlich dargestellt. Im Anschluss werden wichtige Hinweise zur Absicherung des Unternehmens gegen künftige Mutationen von Emotet und anderen neuartigen Malwarevarianten, die für Ransamware as a Service genutzt werden, ab der ersten Angriffswelle gegeben.
12:00
-
12:30
#The future of Security

Security in der KI - KI für Security

  • Prof. Dr. Jan Jürjens - Fraunhofer Institut für Software- und Systemtechnik ISST

Raum 1

Security in der KI - KI für Security
Prof. Dr. Jan Jürjens, Fraunhofer Institut für Software- und Systemtechnik ISST
Um mit KI-Methoden die Sicherheit verbessern zu können, müssen diese bei Angriffen und Manipulationen vertrauenswürdige Ergebnisse liefern. Dafür sind Schutzvorkehrungen im Algorithmusdesign, sowie aktive Maßnahmen zur Entdeckung von Angriffen und ihrer Abwehr notwendig. Die Algorithmen müssen möglichst robust gegenüber Manipulationen sein (“Security-by-Design”). Die Datenbasis muss auf Anomalien untersucht werden: Z.B. durch Analyse von Metadaten, die die Datenherkunft (z. B. Mac-Adressen von Sensoren) erkennen lassen, um eine Man-in-the-Middle-Attacke bei der Dateneingabe zu erkennen, oder Analyse von fortlaufenden und historischen Ausgabedaten, um Extreme und Abweichungen herauszufinden und anzuzeigen. Der Vortrag stellt die Herausforderungen sowohl bei der Betrachtung von Security in der KI, als auch dem Einsatz von KI für Security vor, sowie konkrete Ansätze und Umsetzungsmöglichkeiten zu ihrer Bewältigung, auf Basis von praktischen Erfahrungen im Industrial Data Space.
12:30
-
13:00
#Cybercrime #Partner

Reserviert für unsere Partner

Keystage

12:30
-
13:00
#The future of Security

Internet der Dinge: maximaler Komfort, minimale Sicherheit?

  • Klaus J. Müller - LEITWERK AG

Raum 1

Internet der Dinge: maximaler Komfort, minimale Sicherheit?
Klaus J. Müller, LEITWERK AG
Vor wenigen Jahren noch Zukunftsmusik – inzwischen Teil unseres Alltags: das Internet der Dinge (IoT). Es sorgt dafür, dass das Katzenfutter nie ausgeht, sich die Raumtemperatur unserem Tagesablauf anpasst und das Auto das Tempolimit einhält. Die zunehmende Vernetzung bringt klare Vorteile mit sich und macht uns das Leben in vielen Bereichen spürbar leichter. Doch wie ist es um die Sicherheit bestellt? Hier läuft vieles bereits strukturell schief: Wie sonst lässt es sich erklären, dass namhafte Unternehmen Produkte verkaufen, deren IT-Komponenten auf dem Sicherheitsniveau der 90er-Jahre stehengeblieben sind? Am praktischen Beispiel eines Gegenstandes, der eigens für diesen Vortrag zum IoT-Gerät umgebaut wurde, demonstriert der Referent, wie die Entwicklung typischerweise erfolgt, wie dies zu Schwachstellen im Endprodukt führt, welche Bedrohung dadurch für den Nutzer entsteht und wie diese Probleme gelöst werden können.

13:00 Uhr - 14:30 Uhr
Mittagspause

14:30
-
15:00
#Cybercrime #Partner

Reserviert für unsere Partner

Keystage

14:30
-
15:30
#The future of Security #Panel

KI meets Security

  • Ralf Benzmüller - G DATA Software AG
  • Prof. Dr. Jan Jürjens - Fraunhofer-Institute for Software and Systems Engineering ISST

Raum 1

KI meets Security
Prof. Dr. Jan Jürjens, Fraunhofer-Institute for Software and Systems Engineering ISST
14:30
-
15:00
#Sichere Identitäten

Sichere abgeleitete digitale Identitäten auf dem Smartphone

  • Rainer Schönen - Bundesamt für Sicherheit in der Informationstechnik (BSI)

Raum 2.1

Sichere abgeleitete digitale Identitäten auf dem Smartphone
Rainer Schönen, Bundesamt für Sicherheit in der Informationstechnik (BSI)
Nutzung digitaler Identität bei behördlichen Zwecken oder der Nutzung kommerziellen Services
  • Ableitung aus dem Personalausweis via NFC oder aus anderen Quellen (bspw. eID-Anbieter)
  • je nach Quelle hat die abgeleitete Identität ein bestimmtes Vertrauensniveau gem. eIDAS-Verordnung
  • je nach Vertrauensniveau sind unterschiedliche Services möglich
  • damit das Vertrauensniveau gewährleistet werden kann, muss die mobile Identität sicher auf dem Smartphone gespeichert werden.
Dazu gibt es verschiedene Möglichkeiten und Überlegungen
    • Speicherung in Software,
    • Speicherung in einer Trusted Execution Environment
    • Speicherung in Hardware auf einem secure Element
    • Speicherung in Hardware auf einer eUICC (eSIM)
Außerdem werden insbesondere Erfahrungen des Projektes Optimos 2.0, das vom BMWi gefördert wird, herangezogen. Ziel des Projektes ist die Entwicklung eines praxistauglichen Ökosystem sicherer Identitäten für mobile Dienste.
14:30
-
15:30
#Anwender berichten

CISO Talk

Raum 2.2

15:00
-
15:30
#Cybercrime

Cybercrime–Angriffe & Cyber Incident Response – Erfahrungsberichte aus aktuellen Investigations

  • Helmut Brechtken - Warth & Klein Grant Thornton AG

Keystage

Cybercrime–Angriffe & Cyber Incident Response – Erfahrungsberichte aus aktuellen Investigations
Helmut Brechtken, Warth & Klein Grant Thornton AG

Die aktuellen Gefahren durch Cybercrime sind vielfältig und ändern sich ständig. Nur mit Kenntnis der Angriffsmethoden ist wirksamer Schutz möglich. Der Vortrag gibt einen Einblick in aktuelle Angriffsmethoden und Abwehr bzw. Investigations im Rahmen von Cyber Incident Response. Um aktuelle Cybercrime-Angriffe besser abwehren zu können müssen die Ansätze der Angreifer bekannt sein. Dabei geht es um die zentralen Fragen:

  • Wer sind die typischen Angreifer heute?
  • Was ist jeweils die Motivation und was sind die Ziele der Angreifer?
  • Welche konkreten Angriffsmethoden gibt es (Stichworte Phishing, Ransomware, President Fraud, Sabotage, Social Engineering, APT, gezielte Netzwerkangriffe)?
  • Wie werden Cyber Incidents untersucht bzw. wie sollte man vorgehen um Schaden vom Unternehmen abzuwenden?

Mit konkreten Beispiele aus der aktuellen Untersuchungspraxis

15:00
-
15:30
#Sichere Identitäten

Integration von Self-Sovereign Identity (SSI) in bestehende Anwendungsinfrastrukturen

  • Sebastian Weidenbach - esatus AG

Raum 2.1

Um die Kontrolle über den heutigen "Identity Spam“ zu erlangen, haben mehrere Anbieter die Herausforderung angenommen und betrachten eine Identity Federation als valide Lösung. Dienste wie Identity as a Service (IDaaS) ermöglichen ein Single-Sign-On für Benutzer, was die individuelle Verwaltung von Konten überflüssig macht. Ein Ansatz, der IDaaS konsequent vorantreibt, aber auch ein neues Denken für alle Beteiligten erfordert, ist Self-Sovereign Identity (SSI): Eine digitale Identität, die vollständig unter der Kontrolle ihres Besitzers steht und dass ohne eine zentrale Kontrollinstanz. Mit der inhärenten Möglichkeit, bestimmte Informationen für bestimmte Zwecke eindeutig freizugeben und den Zugang selbstständig und bei Bedarf zurückzuziehen. Eine der größten Herausforderungen für den Einsatz von SSI ist die Implementierung in bestehende Anwendungsinfrastrukturen. Sebastian Weidenbach demonstriert im Vortrag einen Prototypen zur Integration von SSI in bestehende Anwendungsinfrastrukturen.

15:30 Uhr - 16:00 Uhr
Kaffepause

16:00
-
16:30
#Cybercrime

The POWER HACKER – Don’t Let the Lights Go Out – A Look Inside the MIND of a Hacker

  • Joseph Carson - Thycotic

Keystage

The POWER HACKER – Don’t Let the Lights Go Out – A Look Inside the MIND of a Hacker
Joseph Carson, Thycotic

Hacking into a Power Station is something that is a scary thought about the possibility of someone being able to turn off the power or damage systems. We have seen major incidents in previous years in which the Ukrainian energy sector was hit by a cyber-attack that caused a power outage for more than 86,000 homes. This session is a real-world hack into a power station that explains the process on planning and preparation, the major challenges of hacking into a power station, adapting to the risks, the perimeter security, engines and SCADA controls. The session will reveal some of the amazing security as well as some of the most shocking findings. It is critically important to know how cybercriminals target their victims, what you can do to reduce the risk and make it more challenging for the attackers. This session explains how attackers can exploit vulnerabilities using examples such as a compromised email account password that escalates into a full-blown breach of network security.

16:00
-
16:30
#The future of Security

Social Engineering und künstliche Intelligenz - eine explosive Mischung?

  • David Kelm - IT-Seal GmbH

Raum 1

Social Engineering und künstliche Intelligenz - eine explosive Mischung?
David Kelm, IT-Seal GmbH
Social Engineering beschreibt die Kunst, sein Gegenüber so zu beeinflussen, dass ein bestimmtes Verhalten, z.B. die Preisgabe von vertraulichen Informationen, durchgeführt wird. Dabei benötigt der Social Engineer Fingerspitzengefühl und setzt feine psychologische Tricks ein. Künstliche Intelligenz (KI) ist im Gegensatz dazu das intelligente aber kalte, maschinelle Vorgehen, um ein definiertes Problem zu lösen. Dabei muss nicht, aber kann Machine Learning zum Einsatz kommen. Wie passt das also zusammen? Aktuelle Angriffe wie EMOTET zeigen, dass die Kriminellen Wege finden, um immer bessere Social Engineering-Angriffe automatisiert und teilweise mit KI durchzuführen. In diesem Vortrag möchte ich einen Überlick über aktuelle Entwicklungen geben und aufzeigen, mit welcher Art von Angriffen wir es in den nächsten Monaten und Jahren zu tun haben werden. Darüber hinaus werde ich einen Ausblick geben, welche Schutzmaßnahmen weiterhin funktionieren und wo neue Entwicklungen notwendig sind.
16:00
-
18:00
#Workshop #Zusatzbuchung

DS-GVO: Meldepflicht bei Datenpannen (Security Breach Notification) und ihre (Bußgeld-)Risiken

  • Dr. Jens Eckhardt - Derra, Meyer & Partner Rechtsanwälte PartGmbB

Raum 2.1

DS-GVO: Meldepflicht bei Datenpannen (Security Breach Notification) und ihre (Bußgeld-)Risiken
Dr. Jens Eckhardt, Derra, Meyer & Partner Rechtsanwälte PartGmbB
Die DS-GVO sieht die Pflicht vor, Verletzungen des Schutzes personenbezogener Daten der Aufsichtsbehörde zu melden und die betroffenen Personen zu benachrichtigen. Jeder Verletzung der IT-Sicherheit muss damit die Prüfung, ob eine Meldung und Benachrichtigung erfolgen muss. Das Unternehmen muss auf diese Prüfung vorbereitet sein und Klarheit über die Voraussetzungen der Meldepflicht, den inhaltlichen Anforderungen einer Meldung und der Umsetzung der Pflicht haben. Gerade die Rolle von Subunternehmern bei dieser Meldung muss dabei ebenfalls berücksichtigt und im Vorfeld geklärt sein. Bereits bei der Meldung und deren Vorbereitung muss sich das Unternehmen bewusst sein, dass die Meldung der Beginn eines Bußgeldverfahrens und von Ansprüchen betroffener Personen sein kann. Bei der Meldung muss daher auch der Zusammenhang zwischen Meldepflicht und Bußgeldregelungen der DS-GVO einbezogen werden.
16:00
-
16:30
#Anwender berichten

Anomaly-Detection-System - ein Erfahrungsbericht

  • Rolf Strehle - ditis Systeme

Raum 2.2

Anomaly-Detection-System - ein Erfahrungsbericht
Rolf Strehle, ditis Systeme

Als IT-Tochter eines weltweit agierenden Maschinenbaukonzerns mit über 20.000 Mitarbeitern konzipiert und betreibt die ditis ein Anomaly-Detection-System zur Früherkennung von Cyberangriffen.

Ein Praxisbericht:

  • Threat-Management, SIEM und Anomaly-Detection - warum?
  • Aufbau und Vorgehen - hacke dein Netz, bevor es andere tun
  • Praxisbeispiele
  • Kennzahlen und ISO 27001-Anforderungen
  • Anleitung zum Nachmachen
16:30
-
17:00
#Cybercrime

Fake Webshops - Erkennung, Analyse und Gegenmassnahmen in der Schweiz

  • Michael Hausding - SWITCH

Keystage

Fake Webshops - Erkennung, Analyse und Gegenmassnahmen in der Schweiz
Michael Hausding, SWITCH
Fake-Webshops sind weit verbreitet und stellen eine nicht zu unterschätzende Gefahr für Internetnutzer dar. Die falschen Webshops sind für Internetnutzer nur schwer von seriösen Anbietern zu unterscheiden, gmäss der Verbraucherzentrale Brandenburg sollen bereits 4,4 Millionen Bundesbürger Opfer von Fake Webshops geworden sein. Auch in der Schweiz tritt das Phänomen der Fake Webshops seit ca. 2 Jahren verstärkt auf. Die Registrierungsstelle für .ch Domain Namen SWITCH hat bereits über 10'000 Domain-Namen Registrierungen für falsche Webshops gelöscht. Zur Erkennung, Analyse und zum Löschen, der meist mit gefälschten oder gestohlenen Identitäten registrierten Domain Namen, kooperiert SWITCH dabei mit dem Kompetenzzentrum Cybercrime der Kantonspolizei Zürich. Gemeinsam gelingt es mittlerweile die neu registrierten Fake Shops innerhalb von wenigen Tagen zu erkennen und zu löschen. Die Gefahr für Internetnutzer wird so minimiert und das Geschäftsmodell der Fake-Webshops gestört.
16:30
-
17:00
#The future of Security #Partner

Reserviert für unsere Partner

Raum 1

Social Engineering beschreibt die Kunst, sein Gegenüber so zu beeinflussen, dass ein bestimmtes Verhalten, z.B. die Preisgabe von vertraulichen Informationen, durchgeführt wird. Dabei benötigt der Social Engineer Fingerspitzengefühl und setzt feine psychologische Tricks ein. Künstliche Intelligenz (KI) ist im Gegensatz dazu das intelligente aber kalte, maschinelle Vorgehen, um ein definiertes Problem zu lösen. Dabei muss nicht, aber kann Machine Learning zum Einsatz kommen. Wie passt das also zusammen? Aktuelle Angriffe wie EMOTET zeigen, dass die Kriminellen Wege finden, um immer bessere Social Engineering-Angriffe automatisiert und teilweise mit KI durchzuführen. In diesem Vortrag möchte ich einen Überlick über aktuelle Entwicklungen geben und aufzeigen, mit welcher Art von Angriffen wir es in den nächsten Monaten und Jahren zu tun haben werden. Darüber hinaus werde ich einen Ausblick geben, welche Schutzmaßnahmen weiterhin funktionieren und wo neue Entwicklungen notwendig sind.
16:30
-
17:00
#Anwender berichten

99 Prozent der Informationssicherheitsmanagementsysteme sind unvollständig

  • Kristin Klinner - Bosch Sicherheitssysteme GmbH
  • Jörg Wießner - Bosch Sicherheitssysteme GmbH

Raum 2.2

99 Prozent der Informationssicherheitsmanagementsysteme sind unvollständig
Kristin Klinner, Bosch Sicherheitssysteme GmbH
99 Prozent der Informationssicherheitsmanagementsysteme sind unvollständig
Jörg Wießner, Bosch Sicherheitssysteme GmbH
  • Ausfall aller Videokameras am Flughafen – stundenlange Vollsperrung;
  • Abschaltung der Gefahrenmeldeanlage im Kernkraftwerk – Schutz gefährdet;
  • Fehler in der Zutrittskontrollanlage einer Bankfiliale – enorme Schäden.

Die (gesetzlichen) Anforderungen an die Informationssicherheit verschärfen sich, Hackerangriffe nehmen drastisch zu, die klassische Netzwerkinfrastruktur wird immer besser abgesichert. Jedoch wird die physische Sicherheitsinfrastruktur als Schutztor der Informationstechnik in nahezu allen Informationssicherheitskonzepten vergessen. Diese Lücke nutzen immer mehr Angreifer erfolgreich aus. In den Ursprüngen der IT-Sicherheit lag der Fokus auf der physischen Sicherheit, mit dem Strukturwandel der IT hin zur Informationssicherheit gerät dieser Aspekt fataler Weise in Vergessenheit. Was passiert jedoch mit dem gehärteten Rechner, wenn dieser ungeschützt auf der „grünen Wiese“ steht? Wir geben einen Einblick in die Anforderungen und Herausforderungen zur ganzheitlichen Absicherung.

17:00
-
17:30
#Cybercrime

Analoge IT-Security

  • Markus Bartsch - TÜViT

Keystage

Analoge IT-Security
Markus Bartsch, TÜViT
Bei der Implementierung von IT Security Funktionalitäten hat man sich bisher auf die hohe Wirksamkeit von Schutzmaßnahmen konzentriert. Sichere Identitäten, Access Control, Firewalls und VPNs waren die Schlüsselbegriffe möglichst hoher „Protection“. In einer Welt des IoT mit n-n Beziehungen, komplett verteilter und sich verändernder Funktionalitäten sind diese starren Schutzkonzepte schwer zu implementieren. Das Paradigma des maximalen Schutzes gegen Cyberattacken sollte relativiert werden zu einem geeigneten zeitabhängigen Schutz (Time Based Security): Die Maßnahmen zur Protection sollten einen Angreifer so lange aufhalten, das parallel diese entdeckt werden („Detection“) und Gegenmaßnahmen („Reaction“) ergriffen werden können: P(t) > D(t) + R(t) Damit gewinnt ein hochsicheres Monitoring (Persistant Automated Inspection) mehr und mehr Bedeutung für das zukünftige IoT: Wenn die Cyberattacke nicht nahezu unmöglich ist, dann muss sie rechtzeitig erkannt und aufgehalten werden.
17:00
-
17:30
#The future of Security

Qualitätsorientierte Risikogovernance in Unternehmen

  • Sebastian Kurowski - Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO

Raum 1

Qualitätsorientierte Risikogovernance in Unternehmen
Sebastian Kurowski, Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO
Sicherheitsmaßnahmen werden immer seltener durch Kundenspezifikationen und legislative Vorgaben vorgegeben. Die nachvollziehbare und begründbare Abwägung von Risiken und entsprechender Gegenmaßnahmen wird hingegen vermehrt gefordert. Dies erfordert jedoch häufig einen hohen Aufwand an Dokumentation, Kompetenzen und personellen Ressourcen, an welchem existierende Risikoanalyseframeworks häufig scheitern. In diesem Vortrag wird daher ein neues, qualitätsorientiertes und systematisches Verfahren zur Risikogovernance vorgestellt. Es wird gezeigt wie dieser Ansatz in Organisationen integriert werden kann, welche Fallstricke dabei auftauchen können und welche Vorteile der Ansatz birgt. Schließlich wird gezeigt welche Teile der Risikogovernance sinnvoll durch den Einsatz künstlicher Intelligenz unterstützt werden könnten und Ausblick auf zukünftige Entwicklungen hierzu gegeben.
17:00
-
17:30
#Anwender berichten

Cloud: Sicherer Anbieter oder Wolkenkuckucksheim?

  • Peter Kaminski - Santander Consumer Bank
  • Robert Heitz - Santander Consumer Bank

Raum 2.2

Cloud: Sicherer Anbieter oder Wolkenkuckucksheim?
Peter Kaminski, Santander Consumer Bank
Cloud: Sicherer Anbieter oder Wolkenkuckucksheim?
Robert Heitz, Santander Consumer Bank
Unternehmen nutzen immer häufiger Cloud Dienste oder planen dies zumindest in der nächsten Zeit. Da es beim Einsatz einer Cloud in der Regel um die Speicherung bzw. Verarbeitung von Daten geht, muß der Cloud-Anbieter ein vorgegebenes Mindestmaß an Sicherheitsanforderungen umsetzen können. Für ein Unternehmen besteht nun die Schwierigkeit VOR Vertragsabschluss eine Einschätzung vornehmen, ob der Cloud Dienstleister die Anforderungen an die IT Sicherheit erfüllen kann. Diese Einschätzung kann mit Hilfe eines Fragebogens, der vom Anbieter beantwortet werden muss, vorbereitet werden. Inhalte des Bogens sind Fragen zum Management von IT Sicherheit, Notfallkonzepten, Infrastruktur etc. Mit einer Prüfung der Antworten und evtl. Nachfragen erhält das Unternehmen ein Bild, wie der Cloud-Anbieter Anforderungen an die IT Sicherheit gewährleistet. Das Ergebnis der Prüfung kann - auch im Vergleich mit anderen Anbietern - als Basis für eine Entscheidung genutzt werden.
17:30
-
18:00
#Cybercrime

Wie infizierte Online-Werbung kritische Infrastrukturen in Gefahr bringt

  • Peter Meyer - eyeo GmbH

Keystage

Wie infizierte Online-Werbung kritische Infrastrukturen in Gefahr bringt
Peter Meyer, eyeo GmbH
Der Vortrag „Wie infizierte Online-Werbung kritische Infrastrukturen in Gefahr bringt“ gibt einen Einblick darüber, wie schädliche Werbung (Malvertising) auf legalem Weg auf große Online-Portale gelangt, zielgerichtet Malware an potentielle Opfer wie Unternehmen, Behörden oder Privatnutzer ausspielt und dabei auch kritische Infrastrukturen, z.B. durch Ransomware oder DDoS-Angriffe, gefährdet. Der Vortrag zeigt dabei, wo mögliche Einfallstore in das komplexe Netzwerk des Online Advertising zu finden sind, wie Kriminelle dabei vorgehen und was Werbetreibende, Unternehmen und Nutzer tun können, um sich vor einer Kompromittierung durch schadhafte Online-Werbung zu schützen.
17:30
-
18:00
#The future of Security #Partner

Reserviert für unsere Partner

Raum 1

17:30
-
18:00
#Anwender berichten

Zero trust - Ein Mythos? Ein Praxisfall

  • Michael Zobel - Alter Solutions Deutschland

Raum 2.2

Zero trust - Ein Mythos? Ein Praxisfall
Michael Zobel, Alter Solutions Deutschland
  • Vorstellung des Zero trusts Ansatzes um die "Kronjuwelen" des Unternhems zu schütze
  •  Restvertrauen?
  •  Was muss alles beachtet werden?
  •  Komplexität als Todesurteil
  •  Das Vorgehensmodell
  •  Das Lifecylemanagement
  •  Die benötigten Ressourcen
  •  Zurücklehnen und entspannen?
  •  Der Ausblick

ab 18:30 Uhr

Internet Security Night 2019

Die außergewöhnlichen Umgebung des Phantasialands nutzt die Internet Security Night auch 2019 und sorgt für eine besondere Atmosphäre mit vielen Möglichkeiten zum Networking.

Gastgeber der Internet Security Night

9.30
-
10:00
#Erkennen & Abwehren

Locked Shield 2019 - Die größte Echtzeit-Cyberabwehr-Übung der Welt

  • Major Bernd Kammermeier - Zentrum für Cyber-Sicherheit der Bundeswehr

Keystage

Locked Shield 2019 - Die größte Echtzeit-Cyberabwehr-Übung der Welt
Major Bernd Kammermeier, Zentrum für Cyber-Sicherheit der Bundeswehr

Am 10./11. April 2019 fand die Cyberabwehr-Übung "Locked Shields" statt. Die Übung wurde durch das NATO Cooperative Cyber Defense Center of Excellence (CCDCoE) in Tallinn/Estland organisiert. Die Übung findet seit 2010 jährlich statt. 2017 war ich der Referent als stv. Teamleiter, 2018 und 2019 als Teamleiter für das DEU BlueTeam, also für die deutsche Übungsbeteiligung verantwortlich. An der Locked Shields 2019 nahmen 24 Nationen mit insgesamt ca. 1200 Teilnehmern an der Übung teil. Die Übungsteilnehmer kommen üblicherweise aus den nationalen Cyber-Sicherheitsbehörden und/oder aus den militärischen Bereichen. Deutschland war im Schwerpunkt mit dem Zentrum für Cyber-Sicherheit der Bundeswehr sowie anderen militärischen Dienststellen vertreten. Darüber hinaus waren aber auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI), Siemens, Symantec, Fraunhofer Institut im Team vertreten. Ziel der Übung war es, ein vorgegebenes IT-Netzwerk aus ca. 30 Servern und 100 Clients gegen Angriffe eines Red Teams abzusichern. Eine besondere Bedeutung kam dabei dem Schutz der Kritischen Infrastrukturen (KRITIS) Stromkraftwerk, Stromverteilungsanlage und Wasseraufbereitungsanlage zu Gute. Darüber hinaus wurde bei der Übung auch die Interaktion mit den Medien geübt, d.h. unsere Medienexperten mussten durch Twitter-Feeds und News-Artikel eine fiktive Bevölkerung über Sicherheitsrisiken und Bedrohungen informieren. Parallel mussten die Rechtsberater, welche ebenfalls zum Team gehörten, zahlreiche sowie hochkomplexe Fragestellungen vom IT-Recht bis zum Völkerrecht beantworten - immer mit dem Bezug zu Cyber-Sicherheit. Insgesamt fanden in den zwei Tagen ca. 100 Angriffe gegen unser Netzwerk statt. Vom einfachen Website-Defacement über störende DDoS-Angriffe bis hin zur Manipulation der KRITIS inklusive BlackOut und Ausfall der Trinkwasserversorgung.

9.30
-
10:00
#ISMS und Compliance #Partner

Über das alltägliche Scheitern der Informationssicherheit

  • Prof. Dr. Thomas Jäschke - DATATREE AG

Raum 1

Über das alltägliche Scheitern der Informationssicherheit
Prof. Dr. Thomas Jäschke, DATATREE AG

Es gibt sie – und es sind viele: Unternehmen, die im Bereich der Informationssicherheit am Puls der Zeit sind. Doch warum sind anderswo elementarste Themen wie Backup, Restore oder rudimentäre Notfallplanung noch immer ungelöste Themen? Prof. Dr. Thomas Jäschke ist seit rund 25 Jahren im Bereich der Informationssicherheit aktiv und erklärt, warum Informationssicherheit nicht immer eine Budget-Frage ist. Dabei geht es nicht nur um schlechte Berater, Managementfehler und zum Scheitern verurteilte Projekte. Es stehen auch um gängige Best-Practice Ansätze der Informationssicherheit, Verantwortlichkeiten und ein funktionierendes Projektmanagement im Fokus. Darüber hinaus liefert Prof. Thomas Jäschke Antworten auf die Frage was eigentlich passiert, wenn diese Aspekte regelmäßig missachtet werden.

9.30
-
11:30
#Workshop #Zusatzbuchung

Der Regenmacher - Die Sicherheit von Cloud basierten Infrastrukturen aus der Sicht eines Penetrationstesters

  • Jan-Tilo Kirchhoff - Compass Security Deutschland GmbH

Raum 2

Der Regenmacher - Die Sicherheit von Cloud basierten Infrastrukturen aus der Sicht eines Penetrationstesters
Jan-Tilo Kirchhoff, Compass Security Deutschland GmbH
Der Trend zur Nutzung von Cloud Computing ist ungebrochen. Die Komplexität der Ökosysteme nimmt beständig zu und Lösungsangebote werden fast täglich erweitert und neuen Anforderungen angepasst. Bei der Planung von Sicherheitsprüfungen wird diese Thematik heute von vielen Nutzern nicht berücksichtigt. Die Verantwortung für die Sicherheit der Infrastruktur liegt scheinbar beim Cloud-Anbieter. Der Nutzer / Applikationsentwickler hört "Serverless" und meint sich nur noch um die Funktionalität seiner Anwendung kümmern zu müssen. Dieser Vortrag zeigt, wie wir als Penetrationstester bei der Planung und Durchführung von Sicherheitsprüfungen vorgehen, auf welche Art und Weise es uns gelingt Löcher in die Wolken zu stechen und was beachtet werden sollte, um einen großen "Datenwolkenbruch" zu verhindern.
10.00
-
10:30
#Erkennen & Abwehren

Incident Response Tabletop

  • Maximilian Müller - usd AG

Keystage

Incident Response Tabletop
Maximilian Müller, usd AG

In Zeiten, in denen fast täglich Hacker-Angriffe und Datendiebstähle durchgeführt werden, ist das Reagieren auf solch einen Vorfall überlebenswichtig, um nicht durch Imageverlust langfristige Schäden davonzutragen. Daher ist ein erfolgreiches Incident Management in der heutigen Zeit ein Muss für jedes größere Unternehmen. Die Sicherstellung, dass der Incident Response Prozess auch wirklich funktioniert, erweist sich jedoch häufig als schwierig. Oftmals sind diese Prozesse recht umfangreich und somit aufwendig zu überprüfen. Eine Lösung dafür ist ein sogenannter „Incident Response Tabletop“ (IRT). Darin wird ein Incident theoretisch durchgespielt, während das für die Behebung zuständige Team darauf mündlich reagiert. Die Reaktionen werden dokumentiert und im Anschluss ausgewertet. Im Vortrag wird der Ablauf des IRT detailliert vorgestellt, sowie Bewertungsaspekte dargelegt, nach denen der Erfolg des IRT beurteilt werden kann. Auch werden verschiedene Erfahrungen aus der Praxis berichtet.

10.00
-
10:30
#ISMS und Compliance

Nutzung von Synergieeffekten zur effizienten Bewältigung regulatorischer Anforderungen des Datenschutzes und der IT-Sicherheit

  • Tobias Theelen - esatus AG

Raum 1

Nutzung von Synergieeffekten zur effizienten Bewältigung regulatorischer Anforderungen des Datenschutzes und der IT-Sicherheit
Tobias Theelen, esatus AG

Die Digitalisierung von Prozessen schreitet schnell voran und mir ihr auch die regulatorischen Anforderungen an Digitalisierungsprojekte. Die letzten Jahre waren geprägt von neuen Gesetzgebungen des Datenschutzes und der Informationssicherheit: Die DSGVO oder das IT-Sicherheitsgesetz schaffen neue Herausforderungen, die von vielen Unternehmen fast schon als Showstopper der Digitalisierung bewertet werden. In unserem Vortrag möchten wir Ihnen einen Überblick über regulatorische Anforderungen der IT-Sicherheit und des Datenschutzes geben, insb. zur EU-DSGVO, BDSG, EU-Cybersecurity-Act, NIS-RL, BSIG und der Geheimnisschutzrichtlinie. Zudem werden Schnittstellen der verschiedenen Anforderungen dargestellt und wie durch eine Kombination verschiedener Best Practise Frameworks (ISO 27001, COBIT, ISO 22301 etc.) mit minimalem Dokumentations- und Implementierungsaufwand möglichst viele Anforderungen bewältigt werden können.

10.30
-
11:00
#Erkennen & Abwehren #Partner

Reserviert für unsere Partner

Keystage

10.30
-
11:00
#ISMS und Compliance

Know-how-Schutz im Unternehmen umsetzen - Anforderungen an die IT-Sicherheit

  • Dr. Johanna Schmidt-Bens, LL.M. - HK2 Comtection GmbH

Raum 1

Know-how-Schutz im Unternehmen umsetzen - Anforderungen an die IT-Sicherheit
Dr. Johanna Schmidt-Bens, LL.M., HK2 Comtection GmbH
Am 21. März 2019 hat der Bundestag knapp drei Jahre nach in Kraft treten der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) beschlossen. Um sich auf das neue Gesetz berufen zu können, müssen Unternehmen in Zukunft angemessene Maßnahmen zum Schutz ihrer Geschäftsgeheimnisse nachweisen können. Dabei betreffen die Geheimhaltungsmaßnahmen insbesondere die IT-Sicherheit. Die Neuregelungen des Geheimnisschutzgesetzes bilden eine Zäsur im Know-how-Schutz und werden weitreichende Auswirkungen auf die Praxis haben. Welche Schritte müssen Unternehmen jetzt als erstes einleiten? Wie sind die Fachbereiche zu beteiligen und welche Herausforderungen kommen bei der Umsetzung auf die Unternehmen zu? Was ist zukünftig bei der Rechtsdurchsetzung zu beachten? Diesen Fragen wird anhand von Beispielsfällen nachgegangen.
11.00
-
11:30
#Erkennen & Abwehren

Warum Notfallvorsorge wertlos ist!

  • Gerald Kortschak - sevian7 IT development GmbH

Keystage

Warum Notfallvorsorge wertlos ist!
Gerald Kortschak, sevian7 IT development GmbH
Warum Notfallvorsorge bei CyberIncidents meistens wertlos ist? Angelehnt an von Moltke lautet die Antwort „Kein Plan überlebt den ersten Feindkontakt“. Allen gängigen Methoden ist gemeinsam, dass sie für bekannte Gefahrensituationen bekannte Lösungen suchen und daher am Unvorhergesehenen und Unvorhersehbaren scheitern. Würde man sich jedoch mit den Konsequenzen einzelner Situationen näher befassen, also ein Konsequenzenmanagement betreiben, so würde man über die Symptome hinausblicken können und sich eine Situationelastizität bewahren, jenseits von starren Prozessen. Sind mir die Konsequenzen einer Störung bekannt so kann ich rasch identifizieren ob und wenn ja welche personellen, finanziellen und technischen Ressourcen wann, wo und in welcher Menge benötigt werden und warum. Es ist wertlos zu glauben man könne auf alles proaktiv vorbereitet sein. Wichtiger ist es, die Konsequenzen von Störungen zu kennen, um von einem Reagieren zu einem Agieren zu gelangen und Schaden einzudämmen.
11.00
-
11:30
#ISMS und Compliance #Partner

Reserviert für unsere Partner

Raum 1

11:30 Uhr - 12:00 Uhr
Kaffeepause

12.00
-
12:30
#Faktor Mensch

Alles Lug und Betrug – mit welchen psychologischen Tricks Hacker erfolgreich sind

  • Dr. Niklas Hellemann - SoSafe GmbH

Keystage

Alles Lug und Betrug – mit welchen psychologischen Tricks Hacker erfolgreich sind
Dr. Niklas Hellemann, SoSafe GmbH
Jede Branche, jedes Unternehmen, jeder einzelne Mensch tickt unterschiedlich – und fällt auf unterschiedliche Tricks rein, wenn es um das Thema Cyberkriminalität geht. Denn die Angreifer nutzen unsere menschlichen Schwächen schamlos aus – mit immer perfideren Betrugsversuchen. Doch welche psychologische Taktik ist eigentlich am erfolgreichsten, wenn es um das Thema Social Engineering geht? Funktioniert z.B. der Aufbau von Druck in einer Phishing-Mail besser als das Inaussichtstellen von Geld oder Rabatten? Oder schlägt doch das Ausnutzen der Neugier der Nutzer alle anderen Taktiken? Und gibt es firmen- und branchenübergreifende Trends? Und was können Organisationen aus diesen Erkenntnissen lernen, um den Hackern einen Schritt voraus zu sein? Basierend auf proprietären Daten und konkreten Fallbeispielen wird gezeigt, wo die größten Schwachstellen liegen – und wie man diese beheben kann. Hierzu wird auf den Erfahrungsschatz aus über 50 Phishing-Simulationen bei Kunden zurückgegriffen.
12:00
-
12:30
#ISMS und Compliance

Managerhaftung für Schäden aus Cyberangriffen - Haftungsszenarien erkennen und vermeiden

  • Dr. Paul Malek LL.M. - Clyde & Co LLP

Raum 1

Managerhaftung für Schäden aus Cyberangriffen - Haftungsszenarien erkennen und vermeiden
Dr. Paul Malek LL.M., Clyde & Co LLP
Cyberrisiken sind nicht nur ein tatsächliches Problem, sondern ziehen auch viele rechtliche Implikationen nach sich. Nach einer Cyberattacke sind Unternehmen vielfältigen zivilrechtlichen Haftungsrisiken ausgesetzt (z.B. wg. Nichterfüllung von Lieferverpflichtungen). Die juristische Auseinandersetzung kostet Geld. In der Praxis stellt sich die Frage, ob Schadensersatzansprüche gegen den Vorstand bzw. Geschäftsführer bestehen. Leitungsorgane von Unternehmen müssen z.B. ausreichende organisatorische Maßnahmen treffen, um Cyberangriffe – soweit dies nach dem Stand der Technik möglich ist – weitestgehend zu verhindern. Tun Sie dies nicht, haften Sie. In meinen Vortrag adressiere ich die Leistungsorgane udn gebe einen Überblick über die Haftungsrisiken und fasse die Ergebnisse in zwei "To Do" Listen zusammen mit juristischen Fokus: Reaktion nach einem Cyberangriff und Präventive Maßnahmen
12:00
-
12:30
#ISMS und Compliance

Wir suchen unsere Ersatzteile in Kleinanzeigen - Erfahrungen eines Prüfers mit kritischen Infrastrukturen

  • Daniel Jedecke - HiSolutions AG

Raum 2

Wir suchen unsere Ersatzteile in Kleinanzeigen - Erfahrungen eines Prüfers mit kritischen Infrastrukturen
Daniel Jedecke, HiSolutions AG
Ihre Waschmaschine ist kaputt und der Hersteller liefert keine Ersatzteile mehr. Was machen Sie? Sie suchen sich die Ersatzteile in Anzeigen. Dieses Vorgehen klingt ja erst einmal sinnvoll. Handelt es hier bei der Waschmaschine jedoch um eine Speicherprogrammierbare Steuerung (SPS) und läuft diese in einer für die Bevölkerung kritischen Infrastruktur, so erwartet man hier eher eine sichere Infrastruktur mit einer hohen Ausfallsicherheit. Als Prüfer für kritische Infrastrukturen erlebt man jeden Tag neue interessante Herausforderungen der Betreiber. So läuft bei einem Betreiber die Hauptwasserleitung durch den Raum der Steuerung und bei einem anderen Betreiber muss die Hardware bis zum Austausch noch 5 Jahre halten und man sucht sich Ersatzteile in Anzeigen. Dies zeigt wie wichtig der §8a BSIG ist und das kritische Infrastrukturen ein Mindestmaß an Anforderungen benötigen. Eine Reise durch interessante Mängel und wie uns das IT-Sicherheitsgesetz als Bevölkerung hilft.
12.30
-
13:00
#Faktor Mensch

Nutzer*in vs. Security - Von Vorurteilen, Stereotypen und unbewusster Inkompetenz

  • Katja Dörlemann - SWITCH

Keystage

Nutzer*in vs. Security - Von Vorurteilen, Stereotypen und unbewusster Inkompetenz
Katja Dörlemann, SWITCH
Die meisten Nutzer*innen von IT verfügen über genügend Wissen, um Internet und Technologie zu nutzen. Es reicht aber nicht immer aus, um verantwortungsvoll und selbstbestimmt mit den eigenen Daten umzugehen. Das Problem ist schon lange erkannt. Das Fachgebiet Security Awareness soll es lösen. Gezielte Massnahmen zum Thema Informationssicherheit machen aufmerksam, informieren, trainieren und klären Nutzer*innen über Ihre Rechte sowie Pflichten auf. Für Unternehmen und Organisationen gehört der Faktor Mensch aktuell dennoch zur grössten Gefahr für den Schutz der Daten und Informationen. Zudem lässt sich beobachten, dass Social Engineering zunehmend zur favorisierten Methode krimineller Hacker wird, um illegal an Daten und Informationen zu gelangen. Hat Security Awareness versagt? Woran scheitert das Vorhaben? Was müsste passieren? Auf der Suche nach Antworten auf diese Fragen, trifft man auf Vorurteile, Stereotypen und unbewusste Inkompetenz.
12:30
-
13:00
#ISMS und Compliance

Hersteller- und Verkäuferpflichten bei softwarebezogenen IT-Sicherheitsupdates: Rechtsgrundlagen und Umfang

  • Dr. Dennis-Kenji Kipker - VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.

Raum 1

Hersteller- und Verkäuferpflichten bei softwarebezogenen IT-Sicherheitsupdates: Rechtsgrundlagen und Umfang
Dr. Dennis-Kenji Kipker, VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.
Tagtäglich werden neue Schwachstellen in der IT-Sicherheit entdeckt. Damit einhergehend stellt sich für Hersteller und Verkäufer von IT-Produkten die Frage, in welchen Fällen, in welchem Umfang und für wie lange sie ihren Kunden IT-sicherheitsbezogene Softwareupdates zur Verfügung stellen müssen. Der Beitrag soll die gegenwärtige Situation im Vertrags- und deliktischen Haftungsrecht für die nicht immer klar geregelten Updatepflichten im B2B-Bereich vor allem aus der Herstellerperspektive beleuchten – insbesondere auch jenseits individuell vereinbarter Garantieverträge. Einbezogen werden dabei die drei möglichen Parteien Hersteller, (Zwischen-)Händler/Intermediär und Kunde/Nutzer. Im Rahmen der Darstellung wird insbesondere Wert auf die Laienverständlichkeit der juristischen Ausführungen gelegt.
12:30
-
13:00
#ISMS und Compliance

Neue Anforderungen durch E DIN EN 62443-3-2 Sicherheitsrisikobeurteilung und Systemgestaltung bei industriellen Automatisierungssystemen

  • Prof. Stefan Loubichi - KSG mbH / GfS mbH

Raum 2

Neue Anforderungen durch E DIN EN 62443-3-2 Sicherheitsrisikobeurteilung und Systemgestaltung bei industriellen Automatisierungssystemen
Prof. Stefan Loubichi, KSG mbH / GfS mbH
Die Sicherheitsrisikobeurteilung und Systemgestaltung bei industriellen Automatisierungssystemen ist derzeit die Achillessehne der Informationssicherheit. Mit der Umsetzung Normenreihe 62443-x-x wird sich diese Lücke schließen, zugleich wird aber hier den Organisationen aber einiges abverlangt. Diese neuen Herausforderungen werden hier präsentiert.

13:00 Uhr - 14:15 Uhr
Mittagspause

14:15
-
15:15
#Erkennen & Abwehren

Warstories "Notfallmanagement"

  • Cornelia Schildt - eco e.V (Moderation)
  • Markus Schaffrin - eco e.V (Moderation)
  • Thomas Wallutis - @-yet GmbH

Keystage

Warstories
Cornelia Schildt, eco e.V (Moderation)
Warstories
Markus Schaffrin, eco e.V (Moderation)
Warstories
Thomas Wallutis, @-yet GmbH
War Stories: Notfallvorsorge und -behandlung Experten gehen davon aus, dass Sicherheitsvorfälle nicht gänzlich vermieden werden können. Anwendern müssen sich also nicht nur damit beschäftigen, wie Angriffe abgewehrt werden können, sondern auch damit wie erfolgreiche Angriffe erkannt, behandelt und die Schäden minimiert werden können. Geladene Podiumsteilnehmer aus verschiedenen Unternehmen und Organisationen berichten aus ihren Erfahrungen und beantworten Zuschauerfragen.
14:15
-
15:15
#ISMS und Compliance #Panel

IT-Sicherheit in der Gesetzgebung

  • Nicolas Goss - eco e.V (Moderation)
  • Jan Dombrowski - Unitymedia
  • Dr. Thomas Drucks - Bundesnetzagentur
  • Steve Ritter - Bundesamt für Sicherheit in der Informationstechnik
  • Josef Urban - Nokia Bell Labs

Raum 1

IT-Sicherheit in der Gesetzgebung
Nicolas Goss, eco e.V (Moderation)
IT-Sicherheit in der Gesetzgebung
Jan Dombrowski, Unitymedia
IT-Sicherheit in der Gesetzgebung
Dr. Thomas Drucks, Bundesnetzagentur
IT-Sicherheit in der Gesetzgebung
Steve Ritter, Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheit in der Gesetzgebung
Josef Urban, Nokia Bell Labs
Die Sicherheit und die Integrität informationstechnischer Systeme und der Datenschutz sind für eco und seine Mitglieder seit jeher wichtige Anliegen. Deren Verbesserung nach einem evidenz- und risikobasierten Ansatz ist im Interesse der Internetwirtschaft, der Gesellschaft und des Staates. Wichtig ist, dass eine differenzierende Betrachtung vorgenommen wird, sachgerechte Kriterien entwickelt werden und ein vernünftiger Ausgleich der berechtigten Interessen erreicht wird, u. a. bei dem angekündigten IT-Sicherheitsgesetz 2.0. Was kann, was muss der Staat tun, um die Unternehmen zu schützen? Wie können Staat und Wirtschaft gemeinsam die IT-Sicherheit stärken? Konkret möchten wir einen Bogen spannen von der Digitalen Agenda des Bundesministeriums des Inneren zu IT-Sicherheit, den Eckpunkten der Bundesnetzagentur Sicherheitsanforderungen für TK-Unternehmen und dem Cyber Security Act.
15:15
-
16:00
#ISD2019 #Keynote

Abschlusskeynote

Keystage

16:00 Uhr
Ende der ISD19 - wir sehen uns 2020 wieder!

Markus Bartsch

Markus Bartsch

TÜV Informationstechnik GmbH
Dr. Yvonne Bernard

Dr. Yvonne Bernard

Hornetsecurity GmbH
Helmuth Brechtken

Helmut Brechtken

Warth & Klein Grant Thornton AG
Joseph Carson 1

Joseph Carson

Thycotic
Jan Dombrowski

Jan Dombrowski

Unitymedia
Katja Dörlemann

Katja Dörlemann

SWITCH
ISD 2019 - Agenda 3

Dr. Thomas Drucks

Bundesnetzagentur
Dr. Jens Eckhardt 2

Dr. Jens Eckhardt

Derra, Meyer & Partner Rechtsanwälte PartGmbB
Dr. Thomas Fricke

Dr. Thomas Fricke

Endocode AG

Christoph Gerber

Kantonspolizei Zürich
Nicolas Goß

Nicolas Goß

Legal Consultant for Telecommunications
Michael Hausding

Michael Hausding

SWITCH

Robert Heitz

Santander Consumer Bank
Dr. Niklas Hellemann

Dr. Niklas Hellemann

SoSafe GmbH
Prof. Dr. Jan Jürjens 1

Prof. Dr. Jan Jürjens

Fraunhofer Institut für Software- und Systemtechnik ISST
Blackout - Vorbereitung für den Ernstfall 1

Prof. Dr. Thomas Jäschke

Datatree AG
Daniel Jedecke

Daniel Jedecke

HiSolutions AG
Peter Kaminski

Peter Kaminski

Santander Consumer Bank
Blackout - Vorbereitung für den Ernstfall 1

Bernd Kammermeier

Zentrum für Cyber-Sicherheit der Bundeswehr
Dr. Dennis-Kenji Kipker 1

Dr. Dennis-Kenji Kipker

VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.
Jan-Tilo Kirchhoff

Jan-Tilo Kirchhoff

Compass Security Deutschland GmbH
Kristin Klinner

Kristin Klinner

Bosch Sicherheitssysteme GmbH
Blackout - Vorbereitung für den Ernstfall 1

Gerald Kortschak

sevian7 IT development GmbH

Sebastian Kurowski

Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO
Prof. Stefan Loubichi

Prof. Stefan Loubichi

KSG mbH / GfS mbH
Chris Lichtenthäler

Chris Lichtenthäler

Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft
Dr. Paul Malek LL.M.

Dr. Paul Malek LL.M.

Clyde & Co LLP
Peter Meyer

Peter Meyer

eyeo GmbH
Klaus J. Müller

Klaus J. Müller

LEITWERK AG
Maximilian Müller

Maximilian Müller

usd AG
Michael Niemeier

Michael Niemeier

Bundesamt für Verfasungsschutz
Prof. Dr. Norbert Pohlmann (f)

Prof. Dr. Norbert Pohlmann

eco e.V
Rainer Schönen

Rainer Schönen

Bundesamt für Sicherheit in der Informationstechnik
Steve Ritter

Steve Ritter

Bundesamt für Sicherheit in der Informationstechnik
Stephan Sekula

Stephan Sekula

Compass Security Deutschland GmbH
Dr. Johanna Schmidt-Bens, LL.M.

Dr. Johanna Schmidt-Bens, LL.M.

HK2 Comtection GmbH

Rolf Strehle

ditis Systeme
Josef Urban

Josef Urban

Nokia Bell Labs
Tobias Theelen

Tobias Theelen

esatus AG
Blackout - Vorbereitung für den Ernstfall 1

Felix von Leitner

Code Blau GmbH
Blackout - Vorbereitung für den Ernstfall 1

Thomas Wallutis

Sebastian Weidenbach

Sebastian Weidenbach

esatus AG
Jörg Wießner

Jörg Wießner

Bosch Sicherheitssysteme GmbH
Marc Wilczek

Marc Wilczek

Link 11 GmbH