Berggeiststraße 41
50321 Brühl
Registrierung und Begrüßung
Moderation: Jochen Spangenberg
08:30
Registrierung
09:45
Eröffnung

Prof. Dr. Norbert Pohlmann
eco – Verband der Internetwirtschaft e. V.
10:00
Keynote
1988 war der Morris Worm. Seitdem investiert die IT-Branche in Sicherheit. Gartner schätzt die Ausgaben für Information Security 2016 auf über 80 Milliarden Dollar. Die gefühlte Sicherheit hat seitdem aber eher abgenommen. Wie kommt das? Optimieren wir überhaupt in die richtige Richtung?Felix von Leitner
Blogger und IT-Sicherheitsexperte
10:30
Keynote
Synergien im Bereich staatlicher, wirtschaftlicher und privater Interessen im Hinblick auf Internetsicherheit sind dünn gesät. Neben der seltenen Erkenntnis über die Nützlichkeit von Kooperation und Kollaboration für die eigene Sache, fehlen oftmals ebenso gegenseitiges Vertrauen & Verständnis, sowie die Transparenz in Bezug auf Motivation & Zielsetzung. Dabei sollte es ein gemeinsames Ziel aller sein, eine unserer bedeutungsvollsten Errungenschaften - das Internet - zu schützen und an seiner Sicherheit kontinuierlich zu arbeiten. Denn bei dem Thema Internetsicherheit handelt es sich nicht um eine einzufordernde Selbstverständlichkeit oder einen Anspruch an eine verantwortliche Instanz, sondern vielmehr ist dies ein gemeinschaftliches und fortwährendes Mammutprojekt aller Internetnutzer. Ebenfalls muss die Sensibilisierung der Menschen für die Gefahren im Internet geweckt und in allen gesellschaftlichen Bereichen vorangetrieben werden. Hierzu gehören neben der Medienkompetenz für Alt und Jung auch ein technisches Grundverständnis für die Abläufe und Prozesse im Inneren der technischen Geräte, deren Oberflächen wir tagtäglich nutzen. Alles wird angegriffen – weil alles angegriffen werden kann! Wirtschaftsunternehmen, Industrieanlagen, ebenso wie Privatpersonen. Letztendlich alles das, was ans Internet angeschlossen ist! Warum? Weil es geht! Auf diese Art von Aufklärung und Sensibilisierung, vermittelt anhand von Beispielen aus der polizeilichen Praxis, setzen auch wir aus den Zentralen Ansprechstellen Cybercrime (ZAC) für die Wirtschaft der Länder und des Bundes. In fast allen erfolgreichen Cyber-Angriffen ist es der Mensch, der diesen final zum Erfolg führt!Christian Pursche
LKA Niedersachsen, ZAC (Zentrale Ansprechstelle Cybercrime für die niedersächsische Wirtschaft)
11:00
Kaffeepause
APTs heute: Gezielte Angriffe erkennen, verhindern und behandeln

Stefan Strobel
cirosec
Synchronized Security - Teamplay vs. Best of Breed

Michael Veit
Sophos
Wie wichtig die Kommunikation für Ihre Unternehmenssicherheit ist
Patrick Andreas
Tarox
IT-Security – eine Frage der Unternehmenskultur?!

Thorsten Raucamp
Raucamp Consulting
Mit Spannung, Spaß und Spiel zu mehr Sicherheit
Zu einer erfolgreichen Unternehmenssicherheit zählen Anwenderinnen und Anwender, die mit ihrem gesunden Menschenverstand und fundierten Kenntnissen, Bedrohungen erkennen und abwehren können. Doch die Praxis zeigt, dass Manipulationen, Neugier, Irrtum und Sorglosigkeit dafür sorgen, dass Mitarbeiter IT-Sicherheit nicht leben.
Die Kunst besteht darin, sicherheitsbewusstes Handeln zu fördern und das Risikobewusstsein zu schärfen. Auch ernste Themen können spielend erlernt werden. Der Vortrag stellt Lernen durch Erleben in den Mittelpunkt und zeigt Optionen, wie Mitarbeiter mit Spaß und Spannung an die Thematik Informationssicherheit herangeführt werden können. Dabei erleben die Mitarbeiter interaktiv, zu welchen teils dramatischen Auswirkungen ein achtloser Umgang mit Daten und Dokumenten führen kann. Wer am eigenen Leib erfährt, wie sicherheitsgefährdend das eigene Verhalten sein kann, hat die besten Chancen, künftig mit offenen Augen durch den Arbeitsalltag zu gehen. Klassische Kommunikationskonzepte und bekannte Schulungsmaßnahmen erfahren so eine nachhaltige Ergänzung für die IT-Security-Awareness.

Nadin Ebel
MATERNA
Technischer Datenschutz in der Datenschutz-Grundverordnung

Merlin Backer
HK2 Rechtsanwälte
IT-Grundschutz in der Praxis
Der Vortragende wird dabei viele Praxisbeispiele aus der Wirtschaft aufzeigen. Schwerpunkt des Vortrags wird der Baustein B 3 IT-Systeme sein und richtet sich daher an IT-Verantwortliche und Administratoren. So werden beispielsweise die Maßnahmen M 5.8 Regelmäßiger Sicherheitscheck des Netzes sowie M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates teil des Vortrages sein.

Daniel Jedecke
HiSolutions
Informationssicherheit für den Mittelstand - VdS 3473
Die Idee war, bestehende Cyber-Standards zu modernisieren und soweit zu konsolidieren, dass der neue Standard auf eine deutlich höhere Akzeptanz im Anwenderkreis trifft. Ziel ist ein sich insgesamt stetig erhöhendes Sicherheitsniveau, das sich proportional mit der Verbreitung des neuen Standards entwickelt und sich der dramatisch entwickelnden Bedrohungslage entgegensetzt. Im Ergebnis entstand ein neuer, einzigartiger Standard VdS 3473, der einen minimalen Satz an organisatorischen Vorgaben mit aktuellen Anforderungen zu Analyse, Technik, Betrieb und Prävention kombiniert. Neu ist bei diesem Standard auch, dass lediglich Anforderungen formuliert werden, ohne detaillierte Ansätze für die Umsetzung normativ vorzugeben. Dieser zusätzliche Freiheitsgrad ist ein entscheidender akzeptanzerhöhender Faktor. Der Standard fordert einen umfassenden Basisschutz für alle identifizierten IT-Ressourcen, aber lediglich sieben Richtlinien im Sinne von Verfahrensanweisungen und eine schlanke Risikoanalyse, die sich auf die Unternehmens-Kernprozesse konzentriert. Der Basisschutz umfasst unter anderem unverzichtbare Aspekte wie das Management von Software-Sicherheitsupdates, Protokollierung des Netzwerkbetriebs, den Umgang mit Schadsoftware oder zusätzliche Maßnahmen für mobile IT-Systeme. Vergleichende Analysen mit bereits etablierten Standards zeigen, dass sich so bereits mit 20 Prozent des bisher üblichen Aufwands ein sehr wirksames Schutzniveau erreichen lässt. Zusätzlich wurde ein webbasiertes Tool zur Selbstbewertung und ein eintägiges Quick-Audit entwickelt, um den Anwendern die Möglichkeit zu geben, sich der Einführung eines ISMS im Rahmen der praktisch zur Verfügung stehenden Ressourcen zu naehern.

Markus Edel
VdS
13:00
Mittagspause inkl. Ladies Lunch
Mirai Botnet: Der Beginn einer neuen DDoS-Ära in Deutschland

Jens-Philipp Jung
Link11
Wieso Ransomware nur die Spitze des Eisbergs ist...

Frank Schumann
A10 Networks
Social Engineering Live Demo
Basierend auf diesen erfolgreich durchgeführten Attacken wird das Referat mit einigen konkreten Hinweisen, wie sich eine Firma möglichst gut vor Social Engineering Attacken schützen kann, abgerundet.

Ivano Somaini
Compass Security
Vorgehen zu einer Sicherheitsüberprüfung nach IEC 62443 (Industrial IT Security)
Kathrin Schäberle
Tobias Glemser
secuvera
15:30
Kaffeepause
Password Cracking - altes Problem und neue Bedrohungslage

Dr. Thilo Zieschang
Cybertrusion
One Click to Rule Them All: Warum ein Mausklick Schaden anrichten kann

Marcus Niemietz
Hackmanit
Deanonymisierung - Grenzen und Möglichkeiten

Tobias Scheible
Hochschule Albstadt-Sigmaringen
KMU Aware/NoPhish - effektive Sensibilisierungsmaßnahmen
Prof. Dr. Melanie Volkamer
Marco Ghiglieri
TU Darmstadt
Internationale Security-Awareness-Kampagnen – interkulturelle Anpassung vonnöten!

Angela Baudach
Hewlett Packard Enterprise
Gamification: Awareness für IT-Security durch Business-Simulationen
Das bedeutet, Menschen müssen nicht nur Grundlagen und theoretisches Wissen aufbauen und aktuell halten, sondern dies auch praktisch umsetzen können. Der Vortrag stellt den Simulationsansatz vor und beleuchtet ob und wie mit Gamification Menschen als IT-Anwender sowie als IT Experten IT Sicherheit trainieren können. Die Referenten berichten über Grundlagen, Vor- und Nachteile von spielerischen Simulationen und stellen ihre eigene Praxiserfahrung auf Basis selbst durchgeführter Security-Simulationen vor.
Der Vortrag ist neutral und werbefrei, denn wir (DigiTrace / die Referenten) bieten außer gelegentlichen Capture-The-Flag-Schulungen keine Veranstaltungen im Format Gamification an.

Martin Wundram
DigiTrace GmbH
Schutz der kritischen Infrastrukturen: Strategischer Gesamtblick auf Gesetze und Regelungen, Etablierung eines ISMS
Wie kann ich Holistisch, also ganzheitlich ein Datacenter- und Cloud-Automatisierung umsetzen?
Die Automation Roadmap ist die Guideline, wie Sie schnell und effizient Automation nutzen können!
Analyse, Methodisch und die Identifizierung von Low Hanging Fruits in Form von Use Cases.
Björn Bausch
Axel Himmelreich
Dr. Peter Kanyion
SYSback
18:00
Ende des ersten Veranstaltungstages
18:30
Internet Security Night
The Internet is a Rollercoaster - You Just Have to Ride – IT-Security-Herausforderungen 2017
Getoastet, ausgeblutet, zerschmettert, massakriert: Was für ein Jahr der Internet-Security liegt hinter uns. Die Herausforderungen der vergangenen 12 Monate haben eindrücklich gezeigt, dass die Risiken durch die zunehmende Vernetzung immer größer werden, insbesondere durch die unterschiedliche „Security-Reife“ verschiedener Klassen von Netzbewohnern. Brauchen wir ein Internet der verschiedenen Security-Geschwindigkeiten ähnlich wie manche es wirtschaftlich-politisch für Europa fordern? Oder ist der kleinste gemeinsame Nenner mit vereinter Anstrengung schnell genug anzuheben? In einem Parforceritt durch die drängendsten Security- Herausforderungen 2017 möchte ich zeigen, dass sich analog zur Vernetzung der Geräte auch die Risiken stärker vernetzt haben und was das für eine erfolgreiche Steuerungsstrategie bedeutet.

David Fuhr
HiSolutions
Automotive Plattform: Ein Lösungsansatz für Datensicherheit und Datenschutz im Fahrzeug
In Zukunft wird die Vernetzung des Automobils weiter zunehmen. Um die Daten des Fahrzeugnutzers zu schützen und den Schutz vor Cyberangriffen zu erhöhen, sollte eine Sicherheitsarchitektur (Automotive Platform) im zukünftig vernetzten Fahrzeug verbaut werden. Eine derartige Plattform schafft einen einheitlichen und interoperablen Standard bezüglich IT-Security und funktionaler Sicherheit (Safety) im Fahrzeug, schützt das Fahrzeug vor unbefugten Zugriffen von außen und kann datenschutzrechtliche Anforderungen „by-Design/by-Default“ abbilden. Anhand des neuen Referenzarchitekturmodells Automotive (RAMA) wird dieser Lösungsansatz skizziert.

Markus Bartsch
TÜViT
Industroyer – die größte Bedrohung für KRITIS seit Stuxnet
75 lange Minuten herrschte im letzten Dezember Dunkelheit in Kiew. Ein Malware-Angriff hatte erfolgreich einen Stromversorger lahmgelegt. Infolgedessen untersuchten die Experten von ESET eine Malware, die nicht nur zu diesem Angriff in der Lage gewesen wäre, sondern darüber hinaus beliebig anpassbar industrielle Steuerungsanlagen in aller Welt angreifen kann. Passend wurde der Schädling „Industroyer“ getauft. Was genau Industroyer damit gefährlicher macht als Stuxnet & Co., was für Lehren daraus gezogen werden müssen und wie man sich wappnen kann, zeigt dieser Vortrag.

Thomas Uhlemann
ESET
Security by Design für Cloud-basierte Datenaustauschplattformen: Der Industrial Data Space
Thema ist ein Ansatz für Security by Design für Cloud-basierte Datenaustauschplattformen, der insbesondere die werkzeuggestützte Analyse von Dokumenten und Artefakten beinhaltet, die in der Entwicklung dieser Services erstellt werden, auf Einhaltung von solchen Anforderungen. Dies beinhaltet textuelle Anforderungen, modellbasierte Spezifikationen (beispielsweise in der Unified Modeling Language, UML), Programmquellcode (beispielsweise in der Programmiersprache C), und Konfigurationsdaten (beispielsweise Benutzerberechtigungen). Diese Artefakte werden mit automatischen Analysewerkzeugen auf die Einhaltung der jeweils relevanten regulatorischen und insbesondere Sicherheitsanforderungen verifiziert. Der Ansatz unterstützt die Dokumentation und Bewertung gemäß einschlägiger Standards, z. B. ISO 27002 und BSI Grundschutzhandbuch, durch seine Flexibilität aber auch zukünftige in diesem Bereich zu erwartende Standards.
Weiterhin die Anwendung auf den Industrial Data Space1 vorgestellt.

Prof. Dr. Jan Jürjens
University of Koblenz-Landau
Referenzimplementierung von Security by Design anhand eines industriellen Datenerfassers
Der Vortrag zeigt anhand einer Referenzimplementierung die Integration von Security by Design in einem embedded Linux-System eines IoT-Datenkollektors für Industrie 4.0 basierend auf einem TPM 2.0-Chip.

Markus Jostock
Arend Prozessautomation
Wettbewerb "Faktor Mensch": Prämierung des besten Awareness-Ideen
Preisverleihung: iX Awareness Wettbewerb 2017
IT-Sicherheit bedarf aufmerksamer Anwender. iX hat darum einen Wettbewerb ausgeschrieben, in dessen Rahmen kreative, erfolgreiche Awareness Ideen prämiert werden. Die besten drei Ideen werden hier auf dem Kongress vorgestellt.
Gefragt sind Maßnahmen für die verschiedensten Bereiche: Sowohl der " Das lässt sich nebenbei machen " -Administrator in einem Kleinbetrieb als auch der Chief Security Officer eines DAX-Konzerns oder der Sicherheitsbeauftragter einer Behörde oder einer Uni muss es schaffen, die Aufmerksamkeit der Angestellten für IT-Sicherheit zu schärfen. Oder diese Aufmerksamkeit überhaupt erst einmal wecken. Gefragt sind Maßnahmen, die die "Awareness" für Sicherheitsprobleme verbessert haben. Und zwar tatsächlich stattgefundene, auch noch laufende Maßnahmen.
Einsendeschluss ist der 31. August 2017.
Jürgen Seeger
Chefredakteur iX
Sichere Webseiten für den Mittelstand
SIWECOS hilft kleinen und mittelständischen Unternehmen (KMU) Sicherheitslücken auf ihren Webseiten zu erkennen und zu beheben. Im Fokus stehen einerseits konkrete Handlungsempfehlungen im Schadensfall, andererseits wird auch stark auf die Sensibilisierung von KMU im Bereich Cyber Sicherheit gesetzt. Ein Vulnerability Scanner überprüft in regelmäßigen Abständen die Serversysteme des Mittelständlers auf bekanntgewordene Schwachstellen oder die darauf installierten Webanwendungen auf Sicherheitslücken hin, alle Tools wurden unter der Prämisse secure by design entwickelt.
Ein Service für Webhoster kommuniziert aktiv akute Sicherheitslücken und bietet Filtermöglichkeiten an, um Cyberangriffe bereits zu stoppen, bevor sie den Kunden erreichen. So wird die Zahl der erfolgreichen Angriffe langfristig gesenkt und die Sicherheit im Internet erhöht. Gleichzeitig werden die Endanwender vor hohen finanziellen Schäden und möglichem Datenverlust bewahrt. SIWECOS wird so langfristig die Webseitensicherheit erhöhen und bei KMU ein Bewusstsein für die Relevanz von IT-Sicherheit schaffen. KMU werden dazu befähigt auf Augenhöhe mit IT-Dienstleistern zu kommunizieren. SIWECOS ist ein Förder-Projekt der Initiative IT-Sicherheit in der Wirtschaft des Bundesministeriums für Wirtschaft und Energie, die vor allem kleine und mittelständische Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützt.
Peter Meyer, eco e. V.
David Jardin, CMS-Garden e. V.
11:00
Kaffeepause
Wie kann rechtskonforme Big Data-Analyse im Auto aussehen?
Das BMWi fördert im Rahmen der Smart Service Welt ein Forschungsprojekt zur sicheren Datenverarbeitung im Auto. Mit dem Projekt CAR-BITS.de soll Datenschutz in der Automobil-Branche Wirklichkeit werden.
Wenn vernetzte Autos durch die Straßen fahren, übermitteln Sensoren den jeweiligen Standort, den Zustand der Straßen oder wie schnell das Auto fährt. Daten wie diese sind so lange unbedenklich, solange sie nicht in Zusammenhang mit Personen gebracht werden können. Leider ist eine Korrelation heute für die Hersteller noch immer ein Leichtes. Gemeinsam mit der Continental Automotive GmbH, dem Fraunhofer Institut AISEC und der Hochschule Bonn-Rhein-Sieg entwickeln die Sealed Cloud Technologies Experten von Uniscon einen Prototyp, der zeigt, wie Big Data auszuwerten ist, ohne dass Datenschutzrechte verletzt werden. Ziel ist es, eine Dienste-Plattform zu verwirklichen, die verschiedenen Anwendungsbereichen Daten zur Verfügung stellt, welche aus den Systemen von Autos stammen. Gleichzeitig muss das Recht des Fahrers auf informationelle Selbstbestimmung gewahrt bleiben. Damit bietet CAR-BITS.de die Möglichkeit, Big Data aus dem Straßenverkehr effizient zu nutzen.

Dr. Hubert Jäger
Uniscon
Sichere Softwarearchitekturen für Industrial Security
Wie erstellt man Software für industrielle Anwendungen so, dass möglichst wenige Sicherheitslücken enthalten sind? Welche Architekturen begrenzen den Schaden bei den verbleibenden Lücken ?In diesem Vortrag wird diskutiert, wie aktuelle Verfahren der Softwareentwicklung und Architektur wie etwa Container, Microservices, Unikernels, funktionale Programmierung und andere auf die Entwicklung von embedded Software übertragen werden können.

Prof. Till Hänisch
Duale Hochschule BW
Unterzeichnung der Kooperationsvereinbarung zwischen dem eco e. V., dem Landeskriminalamt Nordrhein-Westfahlen und dem networker NRW e. V.
Ist Identity & Access Management mit Need-To-Know-Prinzip möglich? Ja!
Æ-DIR ist ein paranoides Identity & Access Management mit OpenLDAP. Im Gegensatz zu anderen LDAP-Servern muss für an Æ-DIR angeschlossene Systeme die Sichtbarkeit von Benutzern und Gruppen immer explizit erlaubt werden. Dies erfolgt rein über Datenpflege in Æ-DIR. LDAP-fähige Anwendungen müssen auch dank Schemakompabilität nicht speziell für Æ-DIR angepasst werden. Zudem wird die Administration auf mehreren Ebenen an kleine Benutzergruppen delegiert, um zu mächtige Stellvertreter-Rollen zu vermeiden. Dies macht auch Genehmigungsprozesse überflüssig. Strikte Vorgaben im System dienen der langfristigen Auditierbarkeit und somit als Grundlage für detaillierte Compliance-Prüfungen. Ferner wird die Integration von Zwei-Faktor-Authentifizierung mit OATH-LDAP und ein sicherer Initialisierungsprozess für die Ausgabe von yubikey-Tokens vorgestellt. Eine Vorgängerversion dieses Konzepts wird z.B. in einem Internet-Unternehmen für administrative Zugriffe auf 15000+ Linux-Server eingesetzt.

Michael Ströder
Ströder Consulting
Was der Security-Spezialist noch seinen Enkeln erzählt
Der Malware-Markt ist immer in Bewegung. Cyberkriminelle arbeiten ständig an neuen Methoden, Geld zu verdienen, und ersinnen dazu neue Schädlinge und Angriffswege. Täglich gelangen Meldungen über neue Supertrojaner an die Öffentlichkeit, die Bankdaten auslesen, Firmendaten verschlüsseln, Business-Abläufe torpedieren oder Kernkraftwerke und andere kritische Infrastrukturen bedrohen.
Doch wie arbeiten eigentlich die Malware-Jäger? Wie kann man Schädlinge ausfindig machen, ihr Schadenspotenzial analysieren und sie bekämpfen? Und kann man den Hintermännern solcher Malware-Kampagnen auf die Spur kommen?
Wir haben Malware-Spezialisten und -Forensiker verschiedener Firmen an einen Tisch geholt, wo sie von ihrer täglichen Arbeit aus den Labs berichten. Besucher erhalten nicht nur Einblicke in die üblen Machenschaften der Internet-Kriminellen und die Methoden ihrer Bekämpfung, sondern können den Experten auch Fragen stellen.
Rolf Haas, McAfee
Thomas Hemker, Symantec
Mirko Rohr, Bitdefender
Thomas Siebert, GData
Thomas Uhlemann, ESET
Michael Veit, Sophos
Alexander Vukcevic, Avira
Thomas Wespel, Avast
13:00
Mittagspause
Geteilte Verantwortungen in der Connected World – Chance oder Schicksal?
In der Connected World sind wir zunehmend auf die Verlässlichkeit von IT-Systemen angewiesen. Software treibt Alltagsgegenstände, Beförderungsmittel und Lebenswichtiges an. Die damit verbundenen Risiken sind nicht immer voraussehbar. Teils verlagern sie sich überraschend. Die Nutzer – aber auch scheinbar Unbeteiligte - sind ihnen ausgesetzt. Zu jeder Dienstleistung und jedem Produkt tragen Viele bei – nicht selten sitzen sie auch noch in unterschiedlichen Ländern. Geht etwas schief, ist oft nicht klar, wer die Verantwortung trägt. Dieser Vortrag soll aufzeigen, wie Verantwortung in der Connected World sinnvoll verteilt werden kann. Welche Mittel stehen zur Verfügung? Wie kann man Sicherheiten schaffen und Risiken minimieren? Welche juristischen Wege stehen zur Verfügung? Bieten Verträge hinreichende Sicherheit? Wie ist das Verhältnis zwischen Haftung für ein Produkt und tatsächlichem Einfluss auf ein Produkt? Diese und weitere Fragen sollen aus einer wirtschaftlich-technisch-juristischen Sicht beleuchtet werden. Praxisnahe Lösungsansätze sowie Risikoverteilung stehen im Fokus der Präsentation.

Dr. Timm Neu
cleverbridge
Der Mensch an der Schnittstelle zur Technik – Praxishilfe in der Umsetzung von Cybersicherheit durch den IT-Security-Navigator
Die aktuellen Vorgaben der IT-Sicherheit werden vorwiegend aus technischen Normen und Standards sowie aus Gesetzen abgeleitet, die von Experten entworfen und durch entsprechende Beratungsunternehmen sowie Inhouse-Consulting-Maßnahmen für das einzelne Unternehmen konkretisiert werden. Was jedoch, wenn ein Unternehmen weder über eigenen technischen noch juristischen Sachverstand verfügt, aber dennoch zur Umsetzung angemessener IT-Security verpflichtet ist – nicht selten müssen sich gerade zahlreiche KMUs diese Frage stellen. Abhilfe schafft hier der IT-Security-Navigator: In ihm sind alle deutschen und europäischen Rechtsvorschriften zur Cybersicherheit gelistet, verknüpft mit sämtlichen Normen und Standards für diesen Bereich – und das branchenübergreifend. Zugleich werden gesetzliche Begriffe wie der „Stand der Technik“ unmittelbar durch die technische Normung konkretisiert. Ein einzigartiges Tool, das dem Anwender eine sofortige und zuverlässige Erst-Entscheidungshilfe zur Verfügung zu stellt, wie verpflichtende IT-Security-Maßnahmen richtig implementiert werden können.
Dr. Dennis-Kenji Kipker, Universität Bremen
Sven Müller, VDE
Continuous Security in Modernen Webanwendungen
Gerade vor dem Hintergrund von immer kürzeren Releases (Continuous Delivery und Continuous Integration) wird häufig die Sicherheit vernachlässigt. Penetrationstests sind dabei als Sicherheitsmaßnahmen nicht ausreichend. Durch die Schnelligkeit und Häufigkeit von Deployments, steht gerade die IT-Sicherheit vor neuen Herausforderungen und es sind ähnlich wie bei der DevOps-Intitiative weitere Maßnahmen nötig, um die IT-Sicherheit und die Entwicklung enger zu verzahnen. Dabei wird ironischerweise auch vom Continuous Anonymen geprochen. Neben der klassischen Java-Architektur gilt es bei einer solchen Betrachtung aber auch die gerade aktuell sehr populären JavaScript-Umgebungen mit einzubeziehen. Deren Schnelllebigkeit bringt dabei eine weitere Dimension in die Betrachtung, die aber damit auch eine Chance bietet, wie im Folgenden dargestellt wird.

Martin Reinhardt
Holisticon
Wie kann die Sicherheit eines Produktes und Entwicklungsprozesses gemessen werden?
Security by Design Prozesse sind mehr und mehr gefragt und es gibt weitentwickelte Frameworks die benutzt werden können, wie Microsoft Secure Development Lifecycle (SDL), Adobe SPLC oder BSIMM. Aber es ist noch immer schwer diese Prozesse mit Agile zu verbinden, und das Einführen der Prozesse kann nicht von einen Tag auf den anderen passieren. Wo steht man? Wie steht man verglichen zu den Anderen? Was ist das Ziel bis Ende des Jahres? Das sind Fragen die wir oft von unseren Produkt Managern hören. Um diese Fragen beantworten zu können haben wir die für uns wertvollsten 5 Kernaktivitäten der existierenden Systeme genommen und diese messbar gemacht. In der Präsentation werde ich zeigen wie unser Core-SDL Ansatz benutzt werden kann um diese Fragen zu beantworten. Ich werde auch zeigen wie der aktuelle Status gemessen und visualisiert wird, weiterhin zeige ich auch eine Repräsentation die für den Aufsichtsrat hilfreich ist.

Dr.rer.nat. Mark Vinkovits
LogMeIn Hungary
"Brauchen wir ein IT-Sicherheitsprüfsiegel?"
Wie kann "IT Sicherheit" in einer sich zunehmend vernetzten Welt künftig gewährleistet werden? Wie können angemessene Standards für die notwendige Absicherung etabliert und an aktuelle Bedrohungslagen angepasst werden und welche Rolle spielen hierbei gesetzliche Haftungsmechanismen? Bedarf es der Anpassung oder lediglich der konsequenten Anwendung des geltenden Rechts auf neue Sachverhalte? Der Deutsche Bundestag hat am 27. April 2017 einen Entschließungsantrag der Regierungsfraktionen zur Steigerung der IT-Sicherheits-Eigenschaften internetfähiger Geräte mehrheitlich angenommen. Die Bundesregierung wird darin aufgefordert, das in der "Cyber-Sicherheitsstrategie für Deutschland 2016" angekündigte Gütesiegel für IT-Sicherheit unter Einbeziehung von Verbraucherschützern, Wirtschaftsvertretern, IT-Sicherheitsexperten und Gewerkschaften auszuarbeiten. Dazu solle das Bundesamt für Sicherheit in der Informationstechnik (BSI) Technische Richtlinien mit IT-Sicherheitsmindestanforderungen für relevante Produktklassen veröffentlichen, nach der Hersteller ihre Produkte überprüfen lassen oder gegen die sie sich erklären können. Produkte, die diesen Vorgaben entsprechen, sollen mit einem "IT-Sicherheits-Gütesiegel" des BSI versehen werden können. Zudem solle sich die Bundesregierung auf EU-Ebene dafür einsetzen, dass verbindliche Anforderungen an IT Sicherheitseigenschaften für die Bereitstellung auf dem Markt von internetfähigen Produkten auf europäischer Ebene geschaffenmwerden. Wo stehen wir heute, welche Schritte gilt es zu gehen und wird eine Lösung für alle geben können? Diese und viele weitere Fragen diskutieren mit den Referenten vor Ort.
Ammar Alkassar, Rohde & Schwarz
Gertrud Husch, BMWi
Klaus Landefeld, eco e. V.
Arne Schönbohm, BSI
Helga Zander-Hayat, Verbraucherzentrale NRW e. V.
15:30
Keynote

Arne Schönbohm
Bundesamt für Sicherheit in der Informationstechnik (BSI)