Auch 2018 erwartet Sie auf den Internet Security Days ein umfangreiches Programm. Freuen Sie sich auf zahlreiche Keynotes, Vorträge, Panels und Workshops am 20. September von 09:00 Uhr bis 18:00 Uhr mit anschließender Internet Security Night und am 21. September von 9:30 Uhr bis 16:30 Uhr im Phantasialand. Die Programm-Seite wird laufend aktualisiert!
Themen der
Internet Security Days 2018
In vier parallelen Slots sind dies die Themen der ISD18
Cybercrime
Die drei Bereiche „Vorbeugen“, „Verhindern und Abwehren“ sowie „Reagieren“ sind maßgeblich für eine umfassende Sicherheitsstrategie. Awarenesskampagnen und Sensibilisierungsmaßnahmen rüsten den Faktor Mensch und ergänzen technische Abwehrmechanismen wie Firewalls, IDS/IPS und AV-Produkte. Wenn sich dennoch ein Vorfall ereignet, können Security Operations Center und intelligente Software die Arbeit der Notfallteams unterstützen. Gezielte Trainings bereiten auf den Notfall vor.
Zukunftstechnologien
Welche Technologien machen uns in Zukunft sicherer und wie steht es um die Sicherheit des autonomen Fahrens, vernetzter Fahrzeuge, IoT und SmartX? Wie können neue Ansätze wie Künstliche Intelligenz oder die Blockchain Sicherheitsprobleme von heute lösen? Wie sieht die Sicherheit von morgen aus?
Rechts- und Normenrahmen
EU-DSGVO, NIS-Richtlinie, E-Privacy-Richtlinie oder IT-Sicherheitsgesetz sind nur einige der rechtlichen Normen, die in jüngster Zeit auf den Weg gebracht wurden oder kurz vor ihrer Umsetzung stehen. Welche Auswirkungen haben sie im Unternehmensalltag? Wie kann es gelingen, damit das Internet und IT nachhaltig sicherer zu machen? Welche Rolle spielen dabei Zertifizierungen?
Tipps, Tricks & Best Practice
Anwender stehen häufig vor dem Problem, den richtigen Weg im Wald der Sicherheitslandschaft zu finden. Wie können Administratoren oder Sicherheitsverantwortliche sie dabei unterstützen? Oftmals sind es gar nicht die hochkomplexen Lösungen, die zum alleinigen Erfolg führen, auch pragmatische Ansätze können sinnvoll sein. Wie kann ein bestimmtes IT-Sicherheitsproblem konkret gelöst werden? Welche Strategien haben sich in der Praxis bewährt?
Workshops
Sie haben Fragen?
Kontaktieren Sie uns!
Agenda
cornelia.schildt(at)eco.de
Agenda
ur(at)ix.de
Begrüßung
Prof. Dr. Norbert Pohlmann
Keynote
Kriminologin Prof. Dr. Gina Wollinger beschäftigt sich im Rahmen eines Forschungsprojekts mit dem Thema „Cyberangriffe gegen Unternehmen“, bei welchem eine deutschlandweit größte Unternehmensbefragung durchgeführt wird. In der Keynote ordnet sie das Phänomen kriminologisch ein und geht der Frage nach der gesamtgesellschaftlichen Bedeutung nach
Prof. Dr. Gina Rosa Wollinger, Fachhochschule für öffentliche Verwaltung NRW
Keynote
Sicherheitsforscher Karsten Nohl, der in den letzten Jahren zahlreiche Schwachstellen in Mobilfunknetzen und Bezahlsystemen aufgedeckt hat, zieht in seiner Keynote Bilanz zu den Grenzen real existierender Sicherheit. Karsten geht der Frage nach, inwieweit Sicherheit und Innovation gleichzeitig möglich sind.
Karsten Nohl, SRLabs
11:00 Uhr - 11:30 Uhr
Kaffeepause
Keystage
Raum 1
Raum 2.1 / Raum 2.2
Cybercrime
Bluff me if U can
Cybercrime
Schwachstelle Mensch: Moderne digitale Angriffe gegen Mitarbeiter
Sascha Herzog, NSIDE ATTACK LOGIC GmbH
Partnervortrag
Prävention alleine ist tot, Angriffe müssen frühzeitig erkannt werden
Tipps und Tricks
Login-"Tickets" mit SSH Certificates
Admins und Entwickler lieben SSH! Und natürlich verwenden sie meist SSH-Benutzerschlüssel für den Zugriff, installiert auf den Zielsystemen als sogenannte "authorized keys". Allerdings verleiten viele gut gemeinte Anleitungen im Internet zu einer bequemen, aus Sicherheitssicht aber fragwürdigen Nutzung von SSH-Schlüsseln.
Wie werden private Schlüssel sicher gespeichert? Passphrase? Smartcard? Nutzung auf mehreren Clients und Gateways? Und wie wird die Authentizität der öffentlichen Schlüssel gewährleistet? Wie werden zuverlässig obsolete Schlüssel wieder von Zielsystemen entfernt?
Eine Lösungsmöglichkeit stellt die Nutzung von nur kurzzeitig gültigen SSH-Schlüsselzertifikaten dar, die einem Benutzer nach erfolgreicher Mehrfaktor-Authentifizierung ausgestellt werden. Eine entsprechende Implementierung für einen Hosting-Provider wird im Vortrag vorgestellt.
Dabei wird insbesondere auch erläutert, warum eine Nutzung von Smartcards in diesem Anwendungsfall nicht geeignet war.
Michael Ströder
Tipps und Tricks
Web Application Pentesting mit OpenSource-Werkzeugen
Christian Schneider, Schneider IT-Security
12:00 - 15:30
DSGVO-Management - Sicherstellung dauerhafter Datenschutz-Compliance
(Mittagspause: 13:00 Uhr - 14:30 Uhr)
Mit der neuen europäischen Datenschutz-Grundverordnung müssen Unternehmen Datenschutz nachhaltig implementieren und nachweislich etwas für ihre IT-Sicherheit tun. Der Workshop gibt praktische Hilfestellungen zu folgenden Schwerpunkten:
- Überführung von DSGVO-Projekten in Unternehmensaufgaben - dauerhafte Herstellung von gesetzeskonformer IT-Sicherheit
- Umgang mit Dienstleistern und Unterauftragnehmern
- Steuerung im Konzern
- Priorisierung noch nicht erledigter Anforderungen der DSGVO
- Rechtliche, technische, organisatorische und personelle Aufgaben
Karsten Bartels, HK2 Rechtsanwälte
12:00 - 15:30
Windows 10: Nach Hause telefonieren ... Oder eine kleine Geschichte vom Verbindungsabbruch.
(Mittagspause: 13:00 Uhr - 14:30 Uhr)
Das Thema Datensammeln ist weder neu, noch mit Windows 10 ins Unternehmen gekommen. Und es ist auch kein Alleinstellungsmerkmal des neuen Microsoft-Betriebssystems. Die Hälfte der Komponenten gibt es schon in Windows 7, nur wurden sie da meist ignoriert. Neu ist das Ausmaß sowie die Individualisierung der Datenpakete, die unter dem Punkt "Telemetrie" definiert ist. Welche Möglichkeiten hat ein Systemverantwortlicher in einem Unternehmensumfeld, diese Datenströme zu kontrollieren, zu reduzieren oder gar abzuschalten? Es gibt offizielle Dokumente von Microsoft und von einer deutschen Behörde, in der die Methoden genannt werden. Der Workshop zeigt die wichtigsten Stellen im System und gibt Hilfestellungen bei beliebten Stolpersteinen, die sich durch das Abschalten von "Daten senden" ergeben. Datenschutz versus Sicherheit versus Funktionalität – hier gilt es, Prioritäten zu setzen und akzeptable Kompromisse zu finden.
Mark Heitbrink
13:00 Uhr - 14:30 Uhr
Mittagspause
Cybercrime
Wolkenbruch: Wie verwundbar sind Cloud-Lösungen?
Der Referent gibt einen Überblick zu Hypervisor-Technologien und dem Management sowie Aufbau in typischen RZ-Umgebungen. Wie sehen die Vertrauensstellungen von Kunden- und Management-Systemen aus? Welche Angriffe haben welche Auswirkungen und warum sind virtualisierte Firewalls und Sicherheitsappliances nicht mehr als Makulatur?
Zu den Angriffs-Methoden werden einige prominente Angriffe aus der Vergangenheit gezeigt und die neuen "dem Nutzer unbekannten" Vektoren erläutert. CPU, RAM und VGA-Adapter sind plötzlich als ein externes Interface wie ein USB-Port oder eine Ethernet-Verbindung zu sehen.
Lukas Grunwald, DN-Systems Enterprise Internet Solutions GmbH
Partnervortrag
(Digitalisierung + Automatisierung) Zukunft = Cloud + Cyber Security
Nur ein präventiver und progressiver Sicherheitsansatz, kann Sie vor den immer raffinierteren Bedrohungen schützen! Ein klarer Umgang mit den Risiken und eine ganzheitliche Betrachtungen über alle Abteilungen hinweg ist der Schlüssel für erfolgreiche Sicherheit. Technische Maßnahmen alleine reichen heute nicht mehr aus. Funktionstrennung, Identitäten und abgestimmte Kontrollen sind gefordert. Richtlinien und Risiken müssen angepasst und regelmäßig auf Sinnhaftigkeit & Wirksamkeit geprüft werden. Ein übergeordnetes SOC sollte dafür Sorge tragen, das der Sicherheitslevel auch zukünftig aufrecht gehalten wird.
Norbert Olbrich, Capgemini
Holger Hartwig, Capgemini
Tipps und Tricks
Alice und Bob im Wunderland - Was wir aus Krypto-Fails lernen können
Inés Atug, HiSolutions AG
15:30 Uhr - 16:00 Uhr
Kaffepause
Cybercrime
Demystification APT
Volker Kozok, BMVg
Cybercrime
Erkennung manipulierter Cyberwaffen durch Reverse Engineering
In dieser Präsentation werden einige der am häufigsten verwendeten Eigenschaften von Cyberwaffen diskutiert - wie sie manipuliert und ihre Erkennung ermöglicht werden kann. Erkennung ermöglicht Verteidigung, Prävention alleine reicht nicht mehr aus.
Je nach Zählart gibt es bis zu einer Millionen neuer Malware Samples pro Tag. Sie sind jedoch meist wiederverwendete Codefragmente und Neuzusammenstellungen alter Angriffsvektoren. Ein Beispiel hierfür ist NotPetya, das es zu einiger Bekanntheit gebracht hat. Der Vortrag soll beleuchten, warum und wie Malwarecode wiederverwendet wird und welche Möglichkeiten bestehen, Malware anhand des wiederverwendeten Codes zu entdecken. Darüber hinaus werden die einzelnen Verfahren hinsichtlich ihrer Zuverlässigkeit bewertet sowie Wege aufgezeigt, wie mit dieser Bedrohung umgegangen werden kann und wie man diese Angriffe zuverlässig erkennen und beenden kann.
Nikolei Steinhage, Fidelis Cybersecurity GmbH
Cybercrime
Angriffe gegen kritische Infrastrukturen. Was wir aus KRITIS gelernt haben
Daniel Jedecke, HiSolutions AG
Cybercrime
Implementation eines SOC - aus der Organisationsperspektive
Tim Cappelmann, AirITSystems GmbH
Partnervortrag
Sicher in der Cloud – Automatisiere Deine Security
Tipps und Tricks
Awareness messen - Dos and Don'ts
- Ein häufiger Fallstrick beim Messen von Awareness ist die Aussagekraft der Ergebnisse. Es haben beispielsweise 9 % der Mitarbeiter eines Unternehmens auf eine simulierte Phishing-E-Mail geklickt. Was aber heißt das nun? Das Unternehmen ist vielleicht besser als der Branchendurchschnitt bei dieser E-Mail, aber ist es sicher? Wie sieht es bei anderen, also realen Angriffen aus?
- Ein weiterer Fallstrick ist das Thema Betriebsrat. Mit solchen Simulationen bewegt man sich an der Grenze zur Mitarbeiterüberwachung. Wie sollte man vorgehen, um den Betriebsrat als Motivator zu gewinnen, und ihm nicht als Gegner gegenüberzustehen?
- Ein weiteres wichtiges Thema ist die Mitarbeiter-Zufriedenheit. Wie lässt sich also eine solche Simulation in die Unternehmenskultur einbinden?
David Kelm, IT-Seal
Tipps und Tricks
Privacy by Design in der Praxis - Beispiele aus Anwendungsentwicklung und Unternehmensalltag
Es enthält 7 anspruchsvolle Forderungen, darunter die Maßgaben, dass die Nutzer einer Anwendung souverän über ihre Daten bestimmen können müssen und dass Datenschutz in der Softwareentwicklung von Anfang an als ein Kern-Feature mitgedacht werden muss. Diese Maßgaben sind einfach zu verstehen, aber schwierig umzusetzen.
Tipps und Tricks
Informationspflichten nach der DSGVO: Tipps und Tricks zur Umsetzung
Dr. Judith Nink, eyeo GmbH
16:00 - 18:00
Der Mensch und seine Schwächen? Lassen Sie sich nicht (mehr) manipulieren!
Jörg Peine-Paulsen, Verfassungsschutz Niedersachsen/Wirtschaftsschutz
Henning Voß, Verfassungsschutz NRW/Wirtschaftsschutz
16:00 - 18:00
Sicherheit von Windows-Umgebungen
Seit 2015 ist mit Windows 10 das „letzte“ und „sicherste“ Windows aller Zeiten auf dem Markt. Dass nicht nur Marketing hinter den Slogans steckt, zeigen beispielsweise die Entwicklungen im Fall „Creators Update". So bietet sowohl Windows 10 als auch Server 2016 zahlreiche neue Sicherheitsfunktionen, die versprechen, bisherige Drittprodukte abzulösen. Von Windows Defender über Just Enough Administration bis hin zu den Sicherheitsmechanismen, die über Azure und Office 365 bereitgestellt werden, liefert Microsoft für viele bekannte Probleme eine hauseigene, integrierte Lösung. Was diese Features wirklich leisten und wo die Tücken stecken, verrät Microsoft oftmals nicht – wir schon.
Christian Biehler, cirosec GmbH
ab 18:30 Uhr
Internet Security Night
Keystage
Raum 1
Workshops
Zukunftstechnologien
Spectre & Co. für Normalsterbliche – Wie man Muggels Schwachstellen erklärt
In dem Maße, wie Schwachstellen, Exploits und IT-Risiken immer komplexer werden, wird es zunehmend schwieriger, neue Entwicklungen Laien, die von ihnen betroffen sind, verständlich zu machen. Auch viele IT- und sogar Security-Experten ringen damit, Meltdown, Spectre, Rowhammer, KRACK und Co. so schnell ausreichend tief zu verstehen, dass sie die Auswirkungen auf eine bestimmte Infrastruktur zeitnah beurteilen können.
Ich habe in den letzten Monaten mit verschiedenen Bildern experimentiert, die helfen können, dass auch Anna und Otto Normalverbraucher die Auswirkung von Spectre auf ihr Fotoalbum in AWS verstehen können - oder Menschenrechtsaktivisten und andere Nicht-IT-Profis ihre Angreifbarkeit besser beurteilen. Im Idealfall könnten die von mir vorgeschlagenen Metaphern Einsteigern in die Sicherheitsforschung einen Schnellstart in neue, aufregende Themen oder Welten eröffnen.
David Fuhr, HiSolutions AG
Zukunftstechnologien
ID4me: Authentisierung per Domain, Datenhoheit per Default: Universelles Single-Sign-On offen, frei & sicher
Non-Profit-Initiative ID4me: Eine ID für alles.
Es handelt sich dabei um eine sichere, unabhängige und open-source-basierte Single-Sign-On Möglichkeit für User. Eine Alternative zu Facebook und Co, bei der User die Datenhoheit behalten.
ID4me soll Nutzern ein einfaches Tool an die Hand geben, mit dem sie festlegen können, welchen Online-Unternehmen sie etwa ihre vollständigen persönlichen Daten anvertrauen wollen, wem sie die Postadresse nicht geben, weil diese nicht benötigt wird und wem gegenüber sie nur mit Pseudonym auftreten wollen. Die Zugriffsberechtigungen lassen sich auch nachträglich ändern oder widerrufen.
Neben Unabhängigkeit von ID4me und Datenhoheit der Benutzer gibt es eine weitere sicherheitsrelevante Differenzierung zu den gängigen Single-Sign-Ons: Es findet eine Trennung zwischen "Identity Authority" und "Identity Agent" statt, also Passwort und Userdaten werden bei getrennten Anbietern abgefragt und damit ein weitaus höherer Schutz bei Angriffen geboten.
Marcos Sanz Grossón, DENIC eG
Zukunftstechnologien
Kann die Blockchain eine PKI ersetzen?
Die Blockchain-Technik ist vor allem durch Krypto-Währungen wie Bitcoin bekannt. Doch mit einer Blockchain lässt sich auch ein öffentlicher Schlüssel an eine Identität binden – dadurch entsteht eine Alternative zu einer klassischen Public-Key-Infrastruktur (PKI). Im Gegensatz zu einer herkömmlichen PKI besitzt eine Blockchain jedoch keine übergeordnete Stelle, die prüft, ob die betreffende Person wirklich den jeweiligen Schlüssel besitzt. Um diesen Gegensatz aufzulösen, gibt es verschiedene Ansätze, die vom Einbinden einer vertrauenswürdigen Instanz bis zum völligen Verzicht auf eine Prüfung reichen. Teilweise verliert man hierbei bestimmte Vorteile einer Blockchain, teilweise sind einige PKI-Anwendungen nicht mehr möglich. Den unbestrittenen Möglichkeiten einer Blockchain-PKI stehen nicht nur deshalb auch einige Nachteile gegenüber. Dieser Vortrag führt in das Thema Blockchain-PKI ein und geht auf Nutzen und Risiken dieser Technologie ein.
Klaus Schmeh, cryptovision
Rechts- und Normenrahmen
Das neue Geheimnisschutzgesetz - Rechtsschutz nur gegen Vorleistung der Unternehmen
Am 8.6.2018 endet die Umsetzungsfrist für die EU-Richtlinie zum Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse). In Deutschland soll künftig ein "Geheimnisschutzgesetz" gelten und regeln, wann und unter welchen Umständen ein Unternehmen Rechtsmittel gegen die Verletzung von Geschäftsgeheimnissen erhält. Ein Geschäftsgeheimnis liegt nur vor, wenn es sich um geheime Informationen handelt, die deswegen einen kommerziellen Wert haben, weil sie geheim sind. Außerdem müssen sie "Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person (sein), die die rechtmäßige Kontrolle über die Informationen besitzt". Unternehmer sind also gefragt, solche Geheimhaltungsmaßnahmen zu definieren und umzusetzen. Zudem sollen Whistleblower geschützt werden. Wie das geschehen soll, ist umstritten. Für Unternehmen stellt sich die Frage, wie sie sich auch in dieser Hinsicht möglichst rechtssicher verhalten und aufstellen sollten.
Tobias Haar, Vogel & Partner Rechtsanwälte mbB
Rechts- und Normenrahmen
Wie anonym ist anonym?
Einführend erläutert der Vortrag den Kontext des Themas Anonymität zur DSGVO sowie ihrer Bedeutung als Teil der Privatsphäre. Es erfolgt zunächst eine Erläuterung von Anonymität im regulatorischen Sinne. Dann werden die Begriffe Anonymisierung und Pseudonymisierung voneinander abgegrenzt und beispielhaft (technische) Methoden der Anonymisierung vorgestellt.
Einer Übersicht über gängige Praktiken der Datenauswertung folgend, wird veranschaulicht, dass die Verknüpfung von Daten mit immer größeren Datenmengen auch einen höheren Aufwand bei der Anonymisierung notwendig macht.
Anhand eines Beispiels wird vermittelt, wie verschiedene Datenquellen verwendet werden können, um eine Anonymisierung rückgängig zu machen. Erkenntnisse aus jüngeren Fällen von Datenpannen, Ausblicke auf Geschäftsmodelle mit personenbezogenen Daten und Vorschläge für Anforderungen an Anonymisierungsmaßnahmen zur effektiven Gewährleistung des Datenschutzes runden den Vortrag ab.
Daniel Breidenbroich, usd AG
Partnervortrag
Security Operation Center – BSI-zertifiziert
9:30 - 11:30
Forensic Readiness: Gemeinsam bereit machen für den IT-Ernstfall
Die Teilnehmer betrachten zunächst gemeinsam mit den Referenten Grundbegriffe, wesentliche Zusammenhänge und Definitionen zu IT-Forensik und Incident Response. Sie erfahren, warum das Thema jeden betrifft (nicht nur im beruflichen Umfeld!) und welche Katastrophen Dritte bereits erlitten und vielleicht sogar gemeistert haben. Daraus wird abgeleitet, ob und warum diese Fälle Beispiele für gute oder schlechte Forensic Readiness waren, und welche Erkenntnisse daraus zu gewinnen sind. Schließlich entwickeln Referenten und Teilnehmer gemeinsam einen "10-Punkte-Plan", der als Leitfaden für Unternehmen bewährte Best-Practices liefert.
Martin Wundram, DigiTrace GmbH
Phil Knüfer, DigiTrace GmbH
9:30 - 11:30
„Gamification – neue Ansätze der Mitarbeitersensibilisierung“ oder „Security rocks“
Jaja, werden Sie denken. Alter Wein in neuen Schläuchen. Gamification, schön denglisch, damit es einen zum Lesen animiert. Aber halt, tatsächlich wollen die Referenten mit Ihnen zusammenarbeiten. Gemeinsam mit Studenten haben sie Ideen, Spielprinzipien und Vorgehensweisen zum Einsatz eines mobilen Escape Rooms entwickelt, der es Unternehmen ermöglicht, die Sensibilisierung für Sicherheitsrisiken mit mehr Emotionen und Spannung zu gestalten. In diesem Workshop geht Probieren über Studieren. Die Ideen stehen nicht auf auf Papier oder Flipcharts, sondern werden vor Ort ausgetestet. Referenten und Workshop-Teilnehmer entwickeln gemeinsam neue Rätsel. Vielleicht hakt hier und da noch der Zusammenhang im Komplex Escape Room, vielleicht streikt auch mal die Technik – ist ja alles live – aber die Grundidee bleibt: Security Awareness schaffen unter Wettbewerbsbedingungen.
Angela Baudach, DXC Technology
Marcus Beyer, DXC Technology
11:30 Uhr - 12:00 Uhr
Kaffeepause
Zukunftstechnologien
Bevor die Zombie-Armee die Welt überrennt – Resiliente Update Mechanismen für ein sicheres Internet der Dinge
Als der Hacker Anna-Senpai das Mirai-Botnet aufbaute, war er über seinen Erfolg überrascht. In kürzester Zeit gelang es ihm, über eine halbe Million Geräte im Internet der Dinge zu kapern. Er schuf die bis dato mächtigste DDoS-Waffe der Welt. Dieser Erfolg stützte sich auf 63 bekannte Sicherheitslücken.
Dauerhafte Updates sind allzu oft nicht Teil des Geschäftsmodells von Herstellern. Zudem ist Sicherheit in komplexen Lieferantenketten für IoT-Geräte nur schwer beherrschbar. Verfahren für Software-Updates stoßen hier auf ökonomische und technische Grenzen.
Für IoT-Geräte sind daher neue Modelle zur Update-Versorgung notwendig. Der Schlüssel liegt im Aufbau resilienter Netzwerke, die dezentral und schnell die "Heilung" infizierter Geräte ermöglichen. Neue Technologien wie Blockchain, Distributed Ledger und Tangle können hier einen wichtigen Beitrag leisten.
Der Vortrag beleuchtet die Aspekte zum Aufbau resilienter Update-Strategien im Internet der Dinge und deren Umsetzung.
Mirko Ross, digital worx
Zukunftstechnologien
Die digitale Disruption in der Prüfwelt – Virtueller Trust
Die bisherige Welt der Prüfung durch TÜVs sieht so aus: Bei Inverkehrbringen eines Produktes erfolgt eine Baumusterprüfung mit anschließenden periodischen technischen Inspektionen (PTI). Dies kennt der Endverbraucher z. B. von Aufzugsprüfungen und Kraftfahrzeugen.
In einer voll vernetzten Welt muss der Prüfer sich aber nicht mehr jedes Jahr die Maschine anschauen. Über Condition-Monitoring-Systeme kann er jederzeit nachschauen, ob das Gerät einwandfrei funktioniert. Daraus ergeben sich folgende Fragen: Werden die übertragenen Daten authentisch vom Gerät geliefert, sodass die Prüfung durch einen unabhängigen Dritten mit belastbaren Ergebnissen durchgeführt werden kann? Kann ausgeschlossen werden, dass jemand System-Daten so manipuliert hat, dass ein Prüfunternehmen eventuell zu falschen Ergebnissen kommt? Durch die Integration von modernen IT-Security-Funktionen in das zu prüfende Objekt und in das Condition-Monitoring-System könnten diese Fragen bejaht werden.
Markus Bartsch, TÜViT
Rechts- und Normenrahmen
§8a,b BSIG und BSI- Kritisverordnung für Betreiber Kritischer Infrastruktur
Es wird zunächst das Zusammenspiel von BSI-Gesetz und BSI-Kritisverordnung dargelegt und erläutert, wie diese zu interpretieren sind. Danach wird gezeigt, wie eine Umsetzung grundsätzlich vorgenommen werden kann und welche Etappen es dabei gibt. Diese decken auch das Meldeverfahren nach § 8b BSIG mit ab. Es werden in dem Zusammenhang die vielen Möglichkeiten der Umsetzung mit und ohne branchenspezifische Sicherheitsstandards (B3S) dargestellt. Genannt werden auch die Anforderungen an die prüfende Stelle und das prüfende Team einschließlich des Branchenexperten. Näher eingegangen wird im Anschluss auf die verschiedenen Optionen, ein ISMS umzusetzen und auf das Zusammenspiel der Nachweiserbringung nach § 8a BSIG mit unterschiedlichen Zertifizierungen für das ISMS sowie die Möglichkeiten, andere Zulassungen und Prüfungen wie z. B. Penetrationstests oder Revisionsprüfungen im Rahmen der Nachweiserbringung zu nutzen.
Manuel Atug, HiSolutions AG
Rechts- und Normenrahmen
Praxisbericht zur Umsetzung und Nachweiserbringung gemäß §8a
Der Vortrag soll einen Praxisbericht für ein Unternehmen aus dem IKT-Sektor darstellen, das als Betreiber einer kritischen Anlage im Sinne der BSI-KritisV erfolgreich die Vorgaben des IT-Sicherheitsgesetzes anhand von internationalen Normen und Standards umgesetzt und den Nachweis gemäß §8a BSIG gegenüber dem Gesetzgeber vor kurzem erfolgreich erbracht hat.
Boban Krsic, DENIC
12:00 - 15:30
Tests von Webanwendungen: Auf der Jagd nach dem mysteriösen DOM-Based Cross-Site Scripting
(Mittagspause 13:00-14:30)
Cross-Site Scripting (XSS) manifestiert sich in mehreren Spielarten, von denen Stored XSS und Reflected XSS in der Literatur reichlich Aufmerksamkeit genießen und allgemein als gut verstanden gelten. DOM-Based XSS wird dagegen eher vernachlässigt, vermutlich deswegen, weil es schwerer greifbar und schwerer zu finden ist. Der Trend zu Webanwendungen, bei denen wesentliche Teile des Anwendungscodes auf dem Clientbrowser laufen, legt jedoch nahe, sich näher mit DOM-Based XSS und verwandten Themen wie HTML- und CSS-Injection zu befassen. In diesem Workshop wird gezeigt, wie man DOM-Based XSS - etwa im Rahmen eines Penetrationstests - einigermaßen zuverlässig finden kann.
Dr. Safuat Hamdy, Virtual Forge GmbH
Panel: Cybercrime und Cyberwar - wie schützt der Staat die Wirtschaft?
Cybercrime, Industriespionage und Hackerangriffe stellen eine Herausforderung dar. Nicht nur Regierungen und Bürger werden bedrängt. Gerade IT-Unternehmen, Beratungsfirmen und Diensteanbieter sind für Hacker lukrative Ziele. Aber was kann, was muss der Staat tun, um die Unternehmen zu schützen? Welche Angebote bieten Bund und Länder, um Unternehmen im Falle eines Angriffs oder einer Kompromittierung ihrer Sicherheit zu unterstützen? Wie gehen sie dabei vor? Woher kommen die Angriffe? Und wie können Staat und Wirtschaft sie gemeinsam besser abwehren? Was müssen Staat und Wirtschaft gemeinsam angehen, um für mehr Sicherheit zu sorgen und wo bestehen Kooperationsansätze?
Das Panel soll die zentralen Möglichkeiten und Aktivitäten von Bund und Ländern beim Schutz von Wirtschaft und IT-Unternehmen darstellen. Zudem sollen Herausforderungen adressiert werden, denen Behörden, aber auch Unternehmen, dabei regelmäßig begegnen. Ebenfalls diskutiert werden sollen Angriffsvektoren - sowohl aus krimineller Quelle als auch aus Drittstaaten.
Stefan Becker, Bundesamt für Sicherheit in der Informationstechnik
13:00 Uhr - 14:30 Uhr
Mittagspause
War Stories: Incident Response - was tun bei einem Sicherheitsvorfall?
Martin Wundram, DigiTrace GmbH
Andreas Rohr, Deutsche Cyber Sicherheitsorganisation
Sascha Jopen, Fraunhofer FKIE
Christoph Fischer, BFK edv-consulting GmbH
Keynote
Oberstaatsanwalt Markus Hartmann gibt in seinem Vortrag einen Überblick über die Herausforderungen der Strafverfolgung von Cyberkriminalität. Er wird darlegen, warum die Strafverfolgung und eine eng zwischen Unternehmen und Behörden koordinierte Vorgehensweise ein zentraler Baustein einer wirksamen Cybersicherheitsstrategie sind
Markus Hartmann, Oberstaatsanwalt
Drei Monate EU DSGVO - Bestandsaufnahme, Erfahrungsaustausch und Ausblick
Seit dem 25.5.2018 ist die Datenschutzgrundverordnung (DSGVO) in allen EU-Mitgliedsstaaten anzuwenden. In den vergangen zwei Jahren hat das Thema Datenschutz eine hohe Aufmerksamkeit erhalten. Dieses Panel wirft einen Blick auf die konkrete Umsetzung in Unternehmen. Welchen Herausforderung mussten sich Anwender stellen? Welche Wettbewerbsvorteile konnten gezogen werden? Kam es zu den befürchteten Abmahnwellen?
Thomas Rickert, eco Director Names & Numbers
Moderation: Andreas Weiss, eco - Verband der Internetwirtschaft
16:30 Uhr
Ende der ISD18 - wir sehen uns 2019 wieder!
Inés Atug
HiSolutions AGManuel Atug
HiSolutions AGKarsten U. Bartels
HK2 RechtsanwälteMarkus Bartsch
TÜViTAngela Baudach
DXC TechnologyStefan Becker
Bundesamt für Sicherheit in der Informationstechnik (BSI)Marcus Beyer
DXC TechnologyDaniel Breidenbroich
usd AGTim Cappelmann
AirITSystems GmbHNick Copeland
Fidelis Network ForensicsChristoph Fischer
BFK edv-consulting GmbHDavid Fuhr
HiSolutions AGDr. Andreas Goerdeler
Bundesministeriums für Wirtschaft und TechnologieLukas Grunwald
DN-Systems Enterprise Internet Solutions GmbHTobias Haar
Vogel & Partner Rechtsanwälte mbBDr. Safuat Hamdy
Virtual Forge GmbHMarkus Hartmann
Oberstaatsanwalt, Leiter ZAC NRWHolger Hartwig
CapgeminiMark Heitbrink
IT-Trainer und -BeraterSascha Herzog
NSIDE ATTACK LOGIC GmbHJutta Horstmann
eyeo GmbHDaniel Jedecke
HiSolutions AGSascha Jopen
Fraunhofer FKIEOliver Keizers
Fidelis Cybersecurity GmbHDavid Kelm
IT-SealPhil Knüfer
Digitrace GmbHVolker Kozok
BMVGJohannes Kresse
dacoso GmbHBoban Krsic
DENICIvona Matas
known_senseDr. Judith Nink
eyeo GmbHKarsten Nohl
SRLabsNorbert Olbrich
CapgeminiJörg Peine-Paulsen
Verfassungsschutz Niedersachsen/WirtschaftsschutzProf. Dr. Norbert Pohlmann
Vorstandsmitglied des eco - Verband der InternetwirtschaftStefan Purder
Xella Int.Frederick Richter, LL.M.
Vorstand bei Stiftung DatenschutzThomas Rickert
eco Director Names & NumbersDr. Andreas Rohr
Deutsche Cyber SicherheitsorganisationMirko Ross
digital worxMarcos Sanz Grossón
DENICPeter Schaar
Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID)Klaus Schmeh
cryptovisionChristian Schneider
Schneider IT-SecurityNikolei Steinhage
Fidelis Cybersecurity GmbHChristian Biehler
cirosec GmbHMichael Ströder
Prof. Dr. Ali Sunyaev
Karlsruher Institut für Technologie (KIT)Rüdiger Trost
F-SecurePeter Vahrenhorst
Landeskriminalamt Nordrhein-WestfalenHenning Voß
Verfassungsschutz NRW/WirtschaftsschutzProf. Dr. Gina Rosa Wollinger
Fachhochschule für öffentliche Verwaltung NRWAndreas Weiss
eco - Verband der InternetwirtschaftMartin Wundram
DigiTrace GmbHDaniel Wunsch
Check PointDr. iur. Katharina Ziolkowski
Verteidigungsministerium und Cyber-Reserve der BundeswehrEinmal anmelden, alles nutzen: Ein Kerberos-basierter Single Sign-on-Zugang zu allen IT-Diensten im Unternehmen bietet nicht nur mehr Bequemlichkeit für die Benutzer, sondern theoretisch auch mehr Sicherheit – aber nur, wenn man es richtig aufsetzt. Welche Fehler man unbedingt vermeiden muss und wo versteckte Fallen lauern, erläutert der eintägige Workshop.
Der Workshop widmet sich der Sicherheit von Kerberos-basiertem Single Sign-on in Linux- und Windows-Umgebungen.
Teilnahmegebühr Workshop (inkl. MwSt.):
Frühbucherticket: 500,64 Euro (bis 08.08.2018)
Standardticket: 589,00 Euro
Teilnahmegebühr ISD 2018 & Workshop (inkl. MwSt.):
Frühbucher-Kombiticket: 900,14 (bis 08.08.2018)
Standard-Kombiticket: 1.058,98 Euro
Der erste Teil behandelt die Sicherheit von MIT-Kerberos in Linux-Umgebungen. Dabei geht es zunächst um die Kerberos-Infrastruktur, konkret um die Absicherung der hochsensiblen KDC-Daten und wie diese in der Praxis umzusetzen ist. Dabei werden auch die Endsysteme betrachtet, auf denen sensible Daten in Form von so genannten Keytab-Dateien und Ticket-Caches vorliegen. Die Teilnehmer lernen die Sicherheitsrelevanz dieser Daten kennen und erhalten so das notwendige Verständnis, um mögliche Angriffsszenarien sowie deren Auswirkungen einschätzen zu können.
Praktisch werden in diesem Teil auch die verschiedenen Credential-Cache-Typen von MIT-Kerberos betrachtet und es wird auf die Notwendigkeit der Ticket-Validierung beim Einsatz von Kerberos-basierten PAM-Modulen eingegangen.
Im nächsten Teil dient eine Active-Directory-Umgebung als Beispiel, um so genannte Pass-the-Hash-Angriffe zu demonstrieren. Gefälschte Kerberos-Tickets – so genannte Silver- und Golden-Tickets – und wie Angreifer diese erzeugen können, soll hier ebenfalls vorgestellt werden.
Abschließend geht es noch einmal detailliert um die Funktionsweise des Kerberos-v5-Protokolls und die möglichen Angriffe auf dessen verschiedene verschlüsselte Elemente. Da solche Angriffe in der Praxis insbesondere bei Verwendung von einfachen Benutzerpasswörtern zum Tragen kommen, werden der Einsatz von Smartcards (PKINIT) und One-Time-Passwords (OTP) im Rahmen von Kerberos als sichere Mechanismen der Primärauthentisierung behandelt.