Auch 2018 erwartet Sie auf den Internet Security Days ein umfangreiches Programm. Freuen Sie sich auf zahlreiche Keynotes, Vorträge, Panels und Workshops am 20. September von 09:00 Uhr bis 18:00 Uhr mit anschließender Internet Security Night und am 21. September von 9:30 Uhr bis 16:30 Uhr im Phantasialand. Die Programm-Seite wird laufend aktualisiert!

Themen der
Internet Security Days 2018

In vier parallelen Slots sind dies die Themen der ISD18

Cybercrime

Die drei Bereiche „Vorbeugen“, „Verhindern und Abwehren“ sowie „Reagieren“ sind maßgeblich für eine umfassende Sicherheitsstrategie. Awarenesskampagnen und Sensibilisierungsmaßnahmen rüsten den Faktor Mensch und ergänzen technische Abwehrmechanismen wie Firewalls, IDS/IPS und AV-Produkte. Wenn sich dennoch ein Vorfall ereignet, können Security Operations Center und intelligente Software die Arbeit der Notfallteams unterstützen. Gezielte Trainings bereiten auf den Notfall vor.

Zukunftstechnologien

Welche Technologien machen uns in Zukunft sicherer und wie steht es um die Sicherheit des autonomen Fahrens, vernetzter Fahrzeuge, IoT und SmartX? Wie können neue Ansätze wie Künstliche Intelligenz oder die Blockchain Sicherheitsprobleme von heute lösen? Wie sieht die Sicherheit von morgen aus?

Rechts- und Normenrahmen

EU-DSGVO, NIS-Richtlinie, E-Privacy-Richtlinie oder IT-Sicherheitsgesetz sind nur einige der rechtlichen Normen, die in jüngster Zeit auf den Weg gebracht wurden oder kurz vor ihrer Umsetzung stehen. Welche Auswirkungen haben sie im Unternehmensalltag? Wie kann es gelingen, damit das Internet und IT nachhaltig sicherer zu machen? Welche Rolle spielen dabei Zertifizierungen?

Tipps, Tricks & Best Practice

Anwender stehen häufig vor dem Problem, den richtigen Weg im Wald der Sicherheitslandschaft zu finden. Wie können Administratoren oder Sicherheitsverantwortliche sie dabei unterstützen? Oftmals sind es gar nicht die hochkomplexen Lösungen, die zum alleinigen Erfolg führen, auch pragmatische Ansätze können sinnvoll sein. Wie kann ein bestimmtes IT-Sicherheitsproblem konkret gelöst werden? Welche Strategien haben sich in der Praxis bewährt?

Workshops

In diesem Jahr bieten wir für unsere Teilnehmer erstmalig zweistündige Workshops zu den Themenschwerpunkten der ISD18 an. In diesen erhalten die Teilnehmer die Möglichkeit, einzelne Themen ausführlicher kennenzulernen und ausgewählte Sicherheitsfragen in kleiner Runde zu besprechen. Die Workshops finden parallel zu den Security Sessions statt. Jeder Teilnehmer erhält zusätzlich Workshopunterlagen sowie auf Wunsch eine Teilnahmebestätigung. Die Teilnahme an den Workshops ist nur für Konferenzteilnehmer und nach vorheriger Anmeldung möglich. Die Kosten für die Anmeldung betragen pro Workshop 149 Euro. Die Anzahl der Anmeldungen ist limitiert. Sollte der Workshop aufgrund zu geringer Nachfrage nicht zustande kommen, werden diese Kosten zurückerstattet. Erstmals bieten eco und heise Events auch einen Workshop am Vortag zum Thema Sicheres Single Sign-on in Kerberos-Umgebungen an. Alle Informationen hierzu finden Sie bei heise Events.

Sie haben Fragen?
Kontaktieren Sie uns!

Cornelia Schildt

Cornelia Schildt
Agenda
cornelia.schildt(at)eco.de

Ute Roos

Ute Roos
Agenda
ur(at)ix.de

09:45 - 10:00
Keystage

Begrüßung

mehr...
Begrüßung

Prof. Dr. Norbert Pohlmann

10:00 - 10:30
Keystage

Keynote

Kriminologin Prof. Dr. Gina Wollinger beschäftigt sich im Rahmen eines Forschungsprojekts mit dem Thema „Cyberangriffe gegen Unternehmen“, bei welchem eine deutschlandweit größte Unternehmensbefragung durchgeführt wird. In der Keynote ordnet sie das Phänomen kriminologisch ein und geht der Frage nach der gesamtgesellschaftlichen Bedeutung nach

mehr...
Keynote

Prof. Dr. Gina Rosa Wollinger, Fachhochschule für öffentliche Verwaltung NRW

10:30 - 11:00
Keystage

Keynote

Sicherheitsforscher Karsten Nohl, der in den letzten Jahren zahlreiche Schwachstellen in Mobilfunknetzen und Bezahlsystemen aufgedeckt hat, zieht in seiner Keynote Bilanz zu den Grenzen real existierender Sicherheit. Karsten geht der Frage nach, inwieweit Sicherheit und Innovation gleichzeitig möglich sind.

mehr...
Keynote

Karsten Nohl, SRLabs

11:00 Uhr - 11:30 Uhr
Kaffeepause

Keystage

Raum 1

Raum 2.1 / Raum 2.2

11:30 - 12:30
Keystage
Cybercrime

Bluff me if U can

Matas stellt die neuesten tiefenpsychologischen Studien "Bluff me if U can" (Thema Social Engineering = SE) und "Von der Ente zur End-Täuschung" zum Thema Desinformation vor, und warum wir wider besseren (kognitiven) Wissens immer wieder und mit zunehmender Lust auf Manipulationen reinfallen. Sie zeigt, worin im Kontext unserer sich verändernden kulturellen Bedingungen der persönliche Vorteil besteht, auf Lügen reinzufallen. Außerdem gibt sie einen Überblick über geeignete systemische Präventions- und Awareness-Maßnahmen zu Cyber Crime, Social Engineering, Fake News et cetera und zur Nachsorge im Kontext von Incident Management & Co. Hier spielen deutlich mehr als bei anderen Vorfällen Schuld und Scham infolge von Social Engineering und anderen Manipulationen eine entscheidende Rolle. In Abgrenzung zu den klassischen IT-getriggerten Meldewegen erfordert hier das Reporting und die Nachsorge psychologisches Fingerspitzengefühl, um als Organisation auch nachhaltig im Sinne einer Reifung und Resilienz zu profitieren.
mehr...
Bluff me if U can
Ivona Matas, known_sense
12:30 - 13:00
Keystage
Cybercrime

Schwachstelle Mensch: Moderne digitale Angriffe gegen Mitarbeiter

Angriffe auf Unternehmen auf digitalem Wege werden immer häufiger und die Angreifer stets professioneller. Dabei werden Nutzer immer öfter das primäre Ziel von Hacking-Attacken. Der Vorteil für Angreifer ist klar: Ein Hacker braucht nur einen Nutzer von Tausenden, der auf seinen Angriff hereinfällt, damit er erfolgreich ist. Zusätzlich umgehen viele dieser Angriffe gegen Nutzer auch die teuersten technischen Sicherheitsmaßnahmen. Deshalb sind Angriffe gegen Mitarbeiter eine immer größere Gefahr für Unternehmen. In diesem Live-Hacking-Vortrag zeigt Sascha Herzog, wie einfach und effektiv solche Angriffe sind und wie professionelle Hacker vorgehen. Teilnehmer erlangen einen Einblick in echte Attacken, die von NSIDE erfolgreich durchgeführt wurden. Dadurch wird das Bewusstsein der Teilnehmer für solche Angriffe geschärft und ein Verständnis für das Vorgehen professioneller Angreifer geschaffen.
mehr...
Schwachstelle Mensch: Moderne digitale Angriffe gegen Mitarbeiter

Sascha Herzog, NSIDE ATTACK LOGIC GmbH

11:30 - 12:00
Raum 1
Partnervortrag

Prävention alleine ist tot, Angriffe müssen frühzeitig erkannt werden

Vor zwei Jahren hieß es noch, wenn ich meine Schutzmauer höher baue, geht der Angreifer woanders hin. Verstecken ist nicht mehr! Angriffe auf Unternehmen lassen sich nicht mehr verhindern, man muss vom Konzept der „angenommenen Kompromittierung" ausgehen, welches einen erfolgreichen Angriff, also den Durchbruch der Schutzsysteme am Perimeter oder Endpunkt, als gegeben ansieht. Dieser Vortrag diskutiert auf anschauliche und leicht verständliche Weise, wie moderne Angriffserkennung einerseits die Management- und Personalaufwände senkt, andererseits aber mit wenigen Fehlern für eine sehr hohe und vor allem frühzeitige Erkennung von Angriffen sorgt. Er diskutiert Konzepte der aktiven und passiven Angriffserkennung und -Bekämpfung, erläutert den Sinn von Potemkinschen Dörfern in der IT und wie man Alarme anreichern und gleichzeitig senken kann, so dass nur die wirklich wichtigen bearbeitet werden müssen.
mehr...
Prävention alleine ist tot, Angriffe müssen frühzeitig erkannt werden
Nick Copeland, Fidelis Network Forensics
12:00 - 12:30
Raum 1
Tipps und Tricks

Login-"Tickets" mit SSH Certificates

Admins und Entwickler lieben SSH! Und natürlich verwenden sie meist SSH-Benutzerschlüssel für den Zugriff, installiert auf den Zielsystemen als sogenannte "authorized keys". Allerdings verleiten viele gut gemeinte Anleitungen im Internet zu einer bequemen, aus Sicherheitssicht aber fragwürdigen Nutzung von SSH-Schlüsseln.

Wie werden private Schlüssel sicher gespeichert? Passphrase? Smartcard? Nutzung auf mehreren Clients und Gateways? Und wie wird die Authentizität der öffentlichen Schlüssel gewährleistet? Wie werden zuverlässig obsolete Schlüssel wieder von Zielsystemen entfernt?

Eine Lösungsmöglichkeit stellt die Nutzung von nur kurzzeitig gültigen SSH-Schlüsselzertifikaten dar, die einem Benutzer nach erfolgreicher Mehrfaktor-Authentifizierung ausgestellt werden. Eine entsprechende Implementierung für einen Hosting-Provider wird im Vortrag vorgestellt.

Dabei wird insbesondere auch erläutert, warum eine Nutzung von Smartcards in diesem Anwendungsfall nicht geeignet war.

mehr...
Login-

Michael Ströder

12:30 - 13:00
Raum 1
Tipps und Tricks

Web Application Pentesting mit OpenSource-Werkzeugen

Diese Session wird Ihnen einen fundierten Überblick über die Tools und ihre Nutzungsarten geben, die Security-Professionals und Pentester in ihrer täglichen Arbeit einsetzen, um Sicherheitslücken (manuell und teilautomatisiert) aufzuspüren. Trotz des hohen Qualitätsgrads der unterstützenden Tools in diesem Bereich ist dies für viele Entwicklungsprojekte noch ein unbekanntes Terrain und damit ungenutztes Potenzial. Da so manchem Projekt der Einsatz des einen oder anderen Werkzeugs helfen würde, sichere Software zu entwickeln, lohnt es sich, sich einen guten Überblick zu verschaffen: Nach meinem Vortrag kennen Sie die Tools der Profis mitsamt Einsatzart, Zweck sowie Vor- und Nachteilen – in der Hoffnung, dass deren Einsatz nicht nur in der Hand der Pentester bleibt, sondern zum Entwickeln besserer Software beiträgt.
mehr...
Web Application Pentesting mit OpenSource-Werkzeugen

Christian Schneider, Schneider IT-Security

Workshop
12:00 - 15:30
Raum 2.1

DSGVO-Management - Sicherstellung dauerhafter Datenschutz-Compliance

(Mittagspause: 13:00 Uhr - 14:30 Uhr)

Mit der neuen europäischen Datenschutz-Grundverordnung müssen Unternehmen Datenschutz nachhaltig implementieren und nachweislich etwas für ihre IT-Sicherheit tun. Der Workshop gibt praktische Hilfestellungen zu folgenden Schwerpunkten:

  • Überführung von DSGVO-Projekten in Unternehmensaufgaben - dauerhafte Herstellung von gesetzeskonformer IT-Sicherheit
  • Umgang mit Dienstleistern und Unterauftragnehmern
  • Steuerung im Konzern
  • Priorisierung noch nicht erledigter Anforderungen der DSGVO
  • Rechtliche, technische, organisatorische und personelle Aufgaben
mehr...
DSGVO-Management - Sicherstellung dauerhafter Datenschutz-Compliance

Karsten Bartels, HK2 Rechtsanwälte

Workshop
12:00 - 15:30
Raum 2.2

Windows 10: Nach Hause telefonieren ... Oder eine kleine Geschichte vom Verbindungsabbruch.

(Mittagspause: 13:00 Uhr - 14:30 Uhr)

Das Thema Datensammeln ist weder neu, noch mit Windows 10 ins Unternehmen gekommen. Und es ist auch kein Alleinstellungsmerkmal des neuen Microsoft-Betriebssystems. Die Hälfte der Komponenten gibt es schon in Windows 7, nur wurden sie da meist ignoriert. Neu ist das Ausmaß sowie die Individualisierung der Datenpakete, die unter dem Punkt "Telemetrie" definiert ist. Welche Möglichkeiten hat ein Systemverantwortlicher in einem Unternehmensumfeld, diese Datenströme zu kontrollieren, zu reduzieren oder gar abzuschalten? Es gibt offizielle Dokumente von Microsoft und von einer deutschen Behörde, in der die Methoden genannt werden. Der Workshop zeigt die wichtigsten Stellen im System und gibt Hilfestellungen bei beliebten Stolpersteinen, die sich durch das Abschalten von "Daten senden" ergeben. Datenschutz versus Sicherheit versus Funktionalität – hier gilt es, Prioritäten zu setzen und akzeptable Kompromisse zu finden.

mehr...
Windows 10: Nach Hause telefonieren ... Oder eine kleine Geschichte vom Verbindungsabbruch.

Mark Heitbrink

13:00 Uhr - 14:30 Uhr
Mittagspause

14:30 - 15:30
Keystage
Cybercrime

Wolkenbruch: Wie verwundbar sind Cloud-Lösungen?

Der Referent gibt einen Überblick zu Hypervisor-Technologien und dem Management sowie Aufbau in typischen RZ-Umgebungen. Wie sehen die Vertrauensstellungen von Kunden- und Management-Systemen aus? Welche Angriffe haben welche Auswirkungen und warum sind virtualisierte Firewalls und Sicherheitsappliances nicht mehr als Makulatur?

Zu den Angriffs-Methoden werden einige prominente Angriffe aus der Vergangenheit gezeigt und die neuen "dem Nutzer unbekannten" Vektoren erläutert. CPU, RAM und VGA-Adapter sind plötzlich als ein externes Interface wie ein USB-Port oder eine Ethernet-Verbindung zu sehen.

mehr...
Wolkenbruch: Wie verwundbar sind Cloud-Lösungen?

Lukas Grunwald, DN-Systems Enterprise Internet Solutions GmbH

14:30 - 15:00
Raum 1
Partnervortrag

(Digitalisierung + Automatisierung) Zukunft = Cloud + Cyber Security

Nur ein präventiver und progressiver Sicherheitsansatz, kann Sie vor den immer raffinierteren Bedrohungen schützen! Ein klarer Umgang mit den Risiken und eine ganzheitliche Betrachtungen über alle Abteilungen hinweg ist der Schlüssel für erfolgreiche Sicherheit. Technische Maßnahmen alleine reichen heute nicht mehr aus. Funktionstrennung, Identitäten und abgestimmte Kontrollen sind gefordert. Richtlinien und Risiken müssen angepasst und regelmäßig auf Sinnhaftigkeit & Wirksamkeit geprüft werden. Ein übergeordnetes SOC sollte dafür Sorge tragen, das der Sicherheitslevel auch zukünftig aufrecht gehalten wird.

(Digitalisierung + Automatisierung) Zukunft = Cloud + Cyber Security

Norbert Olbrich, Capgemini

(Digitalisierung + Automatisierung) Zukunft = Cloud + Cyber Security

Holger Hartwig, Capgemini

mehr...
15:00 - 15:30
Raum 1
Tipps und Tricks

Alice und Bob im Wunderland - Was wir aus Krypto-Fails lernen können

Die Sicherheitsziele Vertraulichkeit, Integrität, Authentizität und Nicht-Zurückweisbarkeit lassen sich mittels kryptografischer Verfahren erreichen. Kryptografische Verfahren werden allerdings häufig missverstanden und so kommt es zu unsicheren Methoden des Schlüsselaustausches oder zum Einsatz von Festplattenverschlüsselungen, wenn stattdessen eine Verschlüsselung einzelner Daten angebrachter gewesen wäre. Auch im Umfeld der Datenbankverschlüsselungen gibt es gute Strategien und schlechte Umsetzungen. Zu guter Letzt wird auf einige Möglichkeiten beim Einsatz von Kryptografie in Cloud-Umgebungen eingegangen.
mehr...
Alice und Bob im Wunderland - Was wir aus Krypto-Fails lernen können

Inés Atug, HiSolutions AG

15:30 Uhr - 16:00 Uhr
Kaffepause

16:00 - 16:30
Keystage
Cybercrime

Demystification APT

Einführung in die Advanced Persistent Threats. Aufbau, Organisation und Technik von APTs. Vorstellung des Hammertoss- und Snake-Tools und der Angriffe der APT 28 und 29 Group. Vorstellung möglicher Reaktionsstrategien.
mehr...
Demystification APT

Volker Kozok, BMVg

16:30 - 17:00
Keystage
Cybercrime

Erkennung manipulierter Cyberwaffen durch Reverse Engineering

In dieser Präsentation werden einige der am häufigsten verwendeten Eigenschaften von Cyberwaffen diskutiert - wie sie manipuliert und ihre Erkennung ermöglicht werden kann. Erkennung ermöglicht Verteidigung, Prävention alleine reicht nicht mehr aus.

Je nach Zählart gibt es bis zu einer Millionen neuer Malware Samples pro Tag. Sie sind jedoch meist wiederverwendete Codefragmente und Neuzusammenstellungen alter Angriffsvektoren. Ein Beispiel hierfür ist NotPetya, das es zu einiger Bekanntheit gebracht hat. Der Vortrag soll beleuchten, warum und wie Malwarecode wiederverwendet wird und welche Möglichkeiten bestehen, Malware anhand des wiederverwendeten Codes zu entdecken. Darüber hinaus werden die einzelnen Verfahren hinsichtlich ihrer Zuverlässigkeit bewertet sowie Wege aufgezeigt, wie mit dieser Bedrohung umgegangen werden kann und wie man diese Angriffe zuverlässig erkennen und beenden kann.

mehr...
Erkennung manipulierter Cyberwaffen durch Reverse Engineering

Nikolei Steinhage, Fidelis Cybersecurity GmbH

17:00 - 17:30
Keystage
Cybercrime

Angriffe gegen kritische Infrastrukturen. Was wir aus KRITIS gelernt haben

Die Sicherheit kritischer Infrastrukturen wird immer wichtiger und nimmt bei immer mehr Unternehmen einen hohen Stellenwert ein. Der Vortrag soll Angriffe der letzten drei Jahre darstellen und aufzeigen, inwiefern die Unternehmen daraus gelernt haben. Hierbei soll aufgezeigt werden, dass es nicht reicht, einfach nur ein Gesetz umzusetzen - in diesem Fall das BSIG sowie die Kritis-Verordnung. Sondern man sollte sich vielmehr der Gefahr der Digitalisierung bewusst werden. In vielen Unternehmen wird die IT-Sicherheit immer noch "nebenbei mitgemacht", ohne den richtigen Stellenwert zu erlangen. Die sicherheitsrelevanten Ereignisse und Rückmeldungen aus dem Markt sollen hierbei als mahnende Beispiele dienen.
mehr...
Angriffe gegen kritische Infrastrukturen. Was wir aus KRITIS gelernt haben

Daniel Jedecke, HiSolutions AG

17:30 - 18:00
Keystage
Cybercrime

Implementation eines SOC - aus der Organisationsperspektive

Ein SOC macht doch irgendwas mit IT-Security, oder? Also wird die IT-Linienorganisation beauftragt, eine solche Organisation zukünftig zu betreiben. Oft genug ohne konkrete Zielvorgaben, ohne Abgrenzung zu bereits bestehenden Einheiten, ohne konkretes Budget. Die Erfahrung zeigt: Bereits in der Implementation eines SOC können gravierende Fehler die SOC-Mission zum Scheitern verurteilen. Der Vortrag setzt daher den Schwerpunkt der "SOC-Organisation" und plädiert für eine skalierbare Leistungseinheit mit konkreter Aufgabenstellung. Praxistipps aus abgeschlossenen Projekten und Beratungsmandaten zeigen die typischen "Showstopper" einer erfolgreichen SOC-Implementation auf. Der Vortrag beantwortet auch die Frage, wieso der Firewall-Admin in der Regel nicht der geeignete SOC-Mitarbeiter ist.
mehr...
Implementation eines SOC - aus der Organisationsperspektive

Tim Cappelmann, AirITSystems GmbH

16:00 - 16:30
Raum 1
Partnervortrag

Sicher in der Cloud – Automatisiere Deine Security

Als Unternehmen sind Sie verantwortlich für die Sicherheit von Daten und Applikationen, die Sie in der Cloud managen. Erfahren Sie, wie Sie mit Leichtigkeit ein Maximum an Sicherheit erreichen. Unabhängig davon, ob Sie sich für eine Private; Hybrid oder Public Cloud-Strategie entscheiden, Ihre Absicherung wird mit minimalen Ressourcen auf allen Umgebungen gewährleistet.
mehr...
Sicher in der Cloud – Automatisiere Deine Security
Daniel Wunsch, Check Point
16:30 - 17:00
Raum 1
Tipps und Tricks

Awareness messen - Dos and Don'ts

Awareness ist eins der Schlagwörter unserer Zeit. Doch was ist das eigentlich? Und wie kann man die aktuelle Awareness seiner Mitarbeiter messen? Die Antwort lautet: durch realitätsnahe Simulation von Angriffen. Doch dabei gibt es einiges zu beachten. Einige Beispiele:
  • Ein häufiger Fallstrick beim Messen von Awareness ist die Aussagekraft der Ergebnisse. Es haben beispielsweise 9 % der Mitarbeiter eines Unternehmens auf eine simulierte Phishing-E-Mail geklickt. Was aber heißt das nun? Das Unternehmen ist vielleicht besser als der Branchendurchschnitt bei dieser E-Mail, aber ist es sicher? Wie sieht es bei anderen, also realen Angriffen aus?
  • Ein weiterer Fallstrick ist das Thema Betriebsrat. Mit solchen Simulationen bewegt man sich an der Grenze zur Mitarbeiterüberwachung. Wie sollte man vorgehen, um den Betriebsrat als Motivator zu gewinnen, und ihm nicht als Gegner gegenüberzustehen?
  • Ein weiteres wichtiges Thema ist die Mitarbeiter-Zufriedenheit. Wie lässt sich also eine solche Simulation in die Unternehmenskultur einbinden?
mehr...
Awareness messen - Dos and Don'ts

David Kelm, IT-Seal

17:00 - 17:30
Raum 1
Tipps und Tricks

Privacy by Design in der Praxis - Beispiele aus Anwendungsentwicklung und Unternehmensalltag

Die DSGVO stellt viele Unternehmen vor große Herausforderungen. Gerade das Prinzip Privacy by Design wirkt schwer erreichbar. Anhand konkreter Beispiele aus Entwicklung und Unternehmensalltag möchten wir unsere Erfahrungen und Best Practices teilen.
Schon vor Inkrafttreten der DSGVO stellten sich viele Unternehmen die Frage, wie das darin enthaltene Prinzip “Privacy by Design” in der Praxis umgesetzt werden kann. Das Konzept  existiert bereits seit den 90er Jahren, damals entwickelt von Ann Cavoukian, einer kanadischen Datenschutzbeauftragten.
Es enthält 7 anspruchsvolle Forderungen, darunter die Maßgaben, dass die Nutzer einer Anwendung souverän über ihre Daten bestimmen können müssen und dass Datenschutz in der Softwareentwicklung von Anfang an als ein Kern-Feature mitgedacht werden muss. Diese Maßgaben sind einfach zu verstehen, aber schwierig umzusetzen.
Und dennoch haben sich auch schon lange vor der DSGVO einzelne Unternehmen diesen Anspruch nicht als Bürde, sondern als selbstverständliches Merkmal einer nutzerzentrierten Anwendungsentwicklung auf die Fahnen geschrieben. Der Vortrag erläutert und diskutiert Best Practices anhand von konkreten Beispielen aus Anwendungsentwicklung, IT-Infrastruktur, Marketing und Firmenalltag
mehr...
Privacy by Design in der Praxis - Beispiele aus Anwendungsentwicklung und Unternehmensalltag
Jutta Horstmann, eyeo GmbH
17:30 - 18:00
Raum 1
Tipps und Tricks

Informationspflichten nach der DSGVO: Tipps und Tricks zur Umsetzung

Die DSGVO erweitert die bestehenden Informationspflichten von Unternehmen erheblich. Neben detaillierteren Pflichten bei Datenschutzerklärungen auf der Webseite ergeben sich auch zahlreiche neue Informationspflichten gegenüber sonstigen Betroffenen wie Partnern, Lieferanten, Bewerbern etc. Auf der anderen Seite sollen Informationen klar, verständlich und transparent sein. Unternehmen stehen daher vor einer großen Herausforderung. Wer ist von den Informationspflichten betroffen? Wie kann die Informationsflut den Anforderungen der DSGVO an eine klare und einfache Sprache sowie dem Gebot der Transparenz gerecht werden? Welche Rolle spielen dabei One-Pager, Piktogramme, Videos und Infografiken? Und auf welche Weise können Informationen effizient übermittelt werden? Das alles wird anhand von Praxisbeispielen sowie Best Practises (und solchen, die es noch werden können) aufgezeigt.
mehr...
Informationspflichten nach der DSGVO: Tipps und Tricks zur Umsetzung

Dr. Judith Nink, eyeo GmbH

Workshop
16:00 - 18:00
Raum 2.1

Der Mensch und seine Schwächen? Lassen Sie sich nicht (mehr) manipulieren!

Wie groß ist der menschliche Einfluss auf die IT-/Informationssicherheit? Der Mensch kann ein positiver Sicherheitsfaktor, aber auch eine Sicherheitslücke sein. Der Wirtschaftsschutz (eine Unterabteilung des Verfassungsschutzes Niedersachsen, präventive Spionageabwehr) berät zu Themen des Know-how-Schutzes, unter anderem zu „Social Engineering“. Diese sehr erfolgreiche Angriffsart, das gezielte Ansprechen und Manipulieren von Menschen, ist ein effizientes Werkzeug in der Spionage beziehungsweise Wirtschaftsspionage. Anhand von Beispielen werden im Workshop verschiedene Perspektiven beleuchtet (sensibilisierter Mitarbeiter bis hin zur Innentäterproblematik) und Schlüsse/Empfehlungen daraus abgeleitet.
Der Mensch und seine Schwächen? Lassen Sie sich nicht (mehr) manipulieren!

Jörg Peine-Paulsen, Verfassungsschutz Niedersachsen/Wirtschaftsschutz

Der Mensch und seine Schwächen? Lassen Sie sich nicht (mehr) manipulieren!

Henning Voß, Verfassungsschutz NRW/Wirtschaftsschutz

mehr...
Workshop
16:00 - 18:00
Raum 2.2

Sicherheit von Windows-Umgebungen

Seit 2015 ist mit Windows 10 das „letzte“ und „sicherste“ Windows aller Zeiten auf dem Markt. Dass nicht nur Marketing hinter den Slogans steckt, zeigen beispielsweise die Entwicklungen im Fall „Creators Update". So bietet sowohl Windows 10 als auch Server 2016 zahlreiche neue Sicherheitsfunktionen, die versprechen, bisherige Drittprodukte abzulösen. Von Windows Defender über Just Enough Administration bis hin zu den Sicherheitsmechanismen, die über Azure und Office 365 bereitgestellt werden, liefert Microsoft für viele bekannte Probleme eine hauseigene, integrierte Lösung. Was diese Features wirklich leisten und wo die Tücken stecken, verrät Microsoft oftmals nicht – wir schon.

mehr...
Sicherheit von Windows-Umgebungen

Christian Biehler, cirosec GmbH

ab 18:30 Uhr
Internet Security Night

Keystage

Raum 1

Workshops

9:30 - 10:30
Keystage
Zukunftstechnologien

Spectre & Co. für Normalsterbliche – Wie man Muggels Schwachstellen erklärt

In dem Maße, wie Schwachstellen, Exploits und IT-Risiken immer komplexer werden, wird es zunehmend schwieriger, neue Entwicklungen Laien, die von ihnen betroffen sind, verständlich zu machen. Auch viele IT- und sogar Security-Experten ringen damit, Meltdown, Spectre, Rowhammer, KRACK und Co. so schnell ausreichend tief zu verstehen, dass sie die Auswirkungen auf eine bestimmte Infrastruktur zeitnah beurteilen können.

Ich habe in den letzten Monaten mit verschiedenen Bildern experimentiert, die helfen können, dass auch Anna und Otto Normalverbraucher die Auswirkung von Spectre auf ihr Fotoalbum in AWS verstehen können - oder Menschenrechtsaktivisten und andere Nicht-IT-Profis ihre Angreifbarkeit besser beurteilen. Im Idealfall könnten die von mir vorgeschlagenen Metaphern Einsteigern in die Sicherheitsforschung einen Schnellstart in neue, aufregende Themen oder Welten eröffnen.

mehr...
Spectre & Co. für Normalsterbliche – Wie man Muggels Schwachstellen erklärt

David Fuhr, HiSolutions AG

10:30 - 11:00
Keystage
Zukunftstechnologien

ID4me: Authentisierung per Domain, Datenhoheit per Default: Universelles Single-Sign-On offen, frei & sicher

Non-Profit-Initiative ID4me: Eine ID für alles.

Es handelt sich dabei um eine sichere, unabhängige und open-source-basierte Single-Sign-On Möglichkeit für User. Eine Alternative zu Facebook und Co, bei der User die Datenhoheit behalten.

ID4me soll Nutzern ein einfaches Tool an die Hand geben, mit dem sie festlegen können, welchen Online-Unternehmen sie etwa ihre vollständigen persönlichen Daten anvertrauen wollen, wem sie die Postadresse nicht geben, weil diese nicht benötigt wird und wem gegenüber sie nur mit Pseudonym auftreten wollen. Die Zugriffsberechtigungen lassen sich auch nachträglich ändern oder widerrufen.

Neben Unabhängigkeit von ID4me und Datenhoheit der Benutzer gibt es eine weitere sicherheitsrelevante Differenzierung zu den gängigen Single-Sign-Ons: Es findet eine Trennung zwischen "Identity Authority" und "Identity Agent" statt, also Passwort und Userdaten werden bei getrennten Anbietern abgefragt und damit ein weitaus höherer Schutz bei Angriffen geboten.

mehr...
ID4me: Authentisierung per Domain, Datenhoheit per Default: Universelles Single-Sign-On offen, frei & sicher

Marcos Sanz Grossón, DENIC eG

11:00 - 11:30
Keystage
Zukunftstechnologien

Kann die Blockchain eine PKI ersetzen?

Die Blockchain-Technik ist vor allem durch Krypto-Währungen wie Bitcoin bekannt. Doch mit einer Blockchain lässt sich auch ein öffentlicher Schlüssel an eine Identität binden – dadurch entsteht eine Alternative zu einer klassischen Public-Key-Infrastruktur (PKI). Im Gegensatz zu einer herkömmlichen PKI besitzt eine Blockchain jedoch keine übergeordnete Stelle, die prüft, ob die betreffende Person wirklich den jeweiligen Schlüssel besitzt. Um diesen Gegensatz aufzulösen, gibt es verschiedene Ansätze, die vom Einbinden einer vertrauenswürdigen Instanz bis zum völligen Verzicht auf eine Prüfung reichen. Teilweise verliert man hierbei bestimmte Vorteile einer Blockchain, teilweise sind einige PKI-Anwendungen nicht mehr möglich. Den unbestrittenen Möglichkeiten einer Blockchain-PKI stehen nicht nur deshalb auch einige Nachteile gegenüber. Dieser Vortrag führt in das Thema Blockchain-PKI ein und geht auf Nutzen und Risiken dieser Technologie ein.

mehr...
Kann die Blockchain eine PKI ersetzen?

Klaus Schmeh, cryptovision

09:30 - 10:30
Raum 1
Rechts- und Normenrahmen

Das neue Geheimnisschutzgesetz - Rechtsschutz nur gegen Vorleistung der Unternehmen

Am 8.6.2018 endet die Umsetzungsfrist für die EU-Richtlinie zum Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse). In Deutschland soll künftig ein "Geheimnisschutzgesetz" gelten und regeln, wann und unter welchen Umständen ein Unternehmen Rechtsmittel gegen die Verletzung von Geschäftsgeheimnissen erhält. Ein Geschäftsgeheimnis liegt nur vor, wenn es sich um geheime Informationen handelt, die deswegen einen kommerziellen Wert haben, weil sie geheim sind. Außerdem müssen sie "Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person (sein), die die rechtmäßige Kontrolle über die Informationen besitzt". Unternehmer sind also gefragt, solche Geheimhaltungsmaßnahmen zu definieren und umzusetzen. Zudem sollen Whistleblower geschützt werden. Wie das geschehen soll, ist umstritten. Für Unternehmen stellt sich die Frage, wie sie sich auch in dieser Hinsicht möglichst rechtssicher verhalten und aufstellen sollten.

mehr...
Das neue Geheimnisschutzgesetz - Rechtsschutz nur gegen Vorleistung der Unternehmen

Tobias Haar, Vogel & Partner Rechtsanwälte mbB

10:30 - 11:00
Raum 1
Rechts- und Normenrahmen

Wie anonym ist anonym?

Einführend erläutert der Vortrag den Kontext des Themas Anonymität zur DSGVO sowie ihrer Bedeutung als Teil der Privatsphäre. Es erfolgt zunächst eine Erläuterung von Anonymität im regulatorischen Sinne. Dann werden die Begriffe Anonymisierung und Pseudonymisierung voneinander abgegrenzt und beispielhaft (technische) Methoden der Anonymisierung vorgestellt.

Einer Übersicht über gängige Praktiken der Datenauswertung folgend, wird veranschaulicht, dass die Verknüpfung von Daten mit immer größeren Datenmengen auch einen höheren Aufwand bei der Anonymisierung notwendig macht.

Anhand eines Beispiels wird vermittelt, wie verschiedene Datenquellen verwendet werden können, um eine Anonymisierung rückgängig zu machen. Erkenntnisse aus jüngeren Fällen von Datenpannen, Ausblicke auf Geschäftsmodelle mit personenbezogenen Daten und Vorschläge für Anforderungen an Anonymisierungsmaßnahmen zur effektiven Gewährleistung des Datenschutzes runden den Vortrag ab.

mehr...
Wie anonym ist anonym?

Daniel Breidenbroich, usd AG

11:00 - 11:30
Raum 1
Partnervortrag

Security Operation Center – BSI-zertifiziert

Erfahren Sie, wie auch Ihr Unternehmen ganz einfach davon profitieren kann, wenn die Sorgen rund um die IT-Sicherheit in zertifizierte Hände gegeben werden - ganz ohne dass die Daten das Land verlassen. dacoso stellt das Security Operating Center – made in Germany – mit BSI-Stempel vor.
mehr...
Security Operation Center – BSI-zertifiziert
Johannes Kresse, System Consultant Cyber Defence
Workshop
9:30 - 11:30
Raum 2.1

Forensic Readiness: Gemeinsam bereit machen für den IT-Ernstfall

Die Teilnehmer betrachten zunächst gemeinsam mit den Referenten Grundbegriffe, wesentliche Zusammenhänge und Definitionen zu IT-Forensik und Incident Response. Sie erfahren, warum das Thema jeden betrifft (nicht nur im beruflichen Umfeld!) und welche Katastrophen Dritte bereits erlitten und vielleicht sogar gemeistert haben. Daraus wird abgeleitet, ob und warum diese Fälle Beispiele für gute oder schlechte Forensic Readiness waren, und welche Erkenntnisse daraus zu gewinnen sind. Schließlich entwickeln Referenten und Teilnehmer gemeinsam einen "10-Punkte-Plan", der als Leitfaden für Unternehmen bewährte Best-Practices liefert.

Forensic Readiness: Gemeinsam bereit machen für den IT-Ernstfall

Martin Wundram, DigiTrace GmbH

Forensic Readiness: Gemeinsam bereit machen für den IT-Ernstfall

Phil Knüfer, DigiTrace GmbH

mehr...
Workshop
9:30 - 11:30
Raum 2.2

„Gamification – neue Ansätze der Mitarbeitersensibilisierung“ oder „Security rocks“

Jaja, werden Sie denken. Alter Wein in neuen Schläuchen. Gamification, schön denglisch, damit es einen zum Lesen animiert. Aber halt, tatsächlich wollen die Referenten mit Ihnen zusammenarbeiten. Gemeinsam mit Studenten haben sie Ideen, Spielprinzipien und Vorgehensweisen zum Einsatz eines mobilen Escape Rooms entwickelt, der es Unternehmen ermöglicht, die Sensibilisierung für Sicherheitsrisiken mit mehr Emotionen und Spannung zu gestalten. In diesem Workshop geht Probieren über Studieren. Die Ideen stehen nicht auf auf Papier oder Flipcharts, sondern werden vor Ort ausgetestet. Referenten und Workshop-Teilnehmer entwickeln gemeinsam neue Rätsel. Vielleicht hakt hier und da noch der Zusammenhang im Komplex Escape Room, vielleicht streikt auch mal die Technik – ist ja alles live – aber die Grundidee bleibt: Security Awareness schaffen unter Wettbewerbsbedingungen.

„Gamification – neue Ansätze der Mitarbeitersensibilisierung“ oder „Security rocks“

Angela Baudach, DXC Technology

„Gamification – neue Ansätze der Mitarbeitersensibilisierung“ oder „Security rocks“

Marcus Beyer, DXC Technology

mehr...

11:30 Uhr - 12:00 Uhr
Kaffeepause

12:00 - 12:30
Keystage
Zukunftstechnologien

Bevor die Zombie-Armee die Welt überrennt – Resiliente Update Mechanismen für ein sicheres Internet der Dinge

Als der Hacker Anna-Senpai das Mirai-Botnet aufbaute, war er über seinen Erfolg überrascht. In kürzester Zeit gelang es ihm, über eine halbe Million Geräte im Internet der Dinge zu kapern. Er schuf die bis dato mächtigste DDoS-Waffe der Welt. Dieser Erfolg stützte sich auf 63 bekannte Sicherheitslücken.

Dauerhafte Updates sind allzu oft nicht Teil des Geschäftsmodells von Herstellern. Zudem ist Sicherheit in komplexen Lieferantenketten für IoT-Geräte nur schwer beherrschbar. Verfahren für Software-Updates stoßen hier auf ökonomische und technische Grenzen.

Für IoT-Geräte sind daher neue Modelle zur Update-Versorgung notwendig. Der Schlüssel liegt im Aufbau resilienter Netzwerke, die dezentral und schnell die "Heilung" infizierter Geräte ermöglichen. Neue Technologien wie Blockchain, Distributed Ledger und Tangle können hier einen wichtigen Beitrag leisten.

Der Vortrag beleuchtet die Aspekte zum Aufbau resilienter Update-Strategien im Internet der Dinge und deren Umsetzung.

mehr...
Bevor die Zombie-Armee die Welt überrennt – Resiliente Update Mechanismen für ein sicheres Internet der Dinge

Mirko Ross, digital worx

12:30 - 13:00
Keystage
Zukunftstechnologien

Die digitale Disruption in der Prüfwelt – Virtueller Trust

Die bisherige Welt der Prüfung durch TÜVs sieht so aus: Bei Inverkehrbringen eines Produktes erfolgt eine Baumusterprüfung mit anschließenden periodischen technischen Inspektionen (PTI). Dies kennt der Endverbraucher z. B. von Aufzugsprüfungen und Kraftfahrzeugen.

In einer voll vernetzten Welt muss der Prüfer sich aber nicht mehr jedes Jahr die Maschine anschauen. Über Condition-Monitoring-Systeme kann er jederzeit nachschauen, ob das Gerät einwandfrei funktioniert. Daraus ergeben sich folgende Fragen: Werden die übertragenen Daten authentisch vom Gerät geliefert, sodass die Prüfung durch einen unabhängigen Dritten mit belastbaren Ergebnissen durchgeführt werden kann? Kann ausgeschlossen werden, dass jemand System-Daten so manipuliert hat, dass ein Prüfunternehmen eventuell zu falschen Ergebnissen kommt? Durch die Integration von modernen IT-Security-Funktionen in das zu prüfende Objekt und in das Condition-Monitoring-System könnten diese Fragen bejaht werden.

mehr...
Die digitale Disruption in der Prüfwelt – Virtueller Trust

Markus Bartsch, TÜViT

12:00 - 12:30
Raum 1
Rechts- und Normenrahmen

§8a,b BSIG und BSI- Kritisverordnung für Betreiber Kritischer Infrastruktur

Es wird zunächst das Zusammenspiel von BSI-Gesetz und BSI-Kritisverordnung dargelegt und erläutert, wie diese zu interpretieren sind. Danach wird gezeigt, wie eine Umsetzung grundsätzlich vorgenommen werden kann und welche Etappen es dabei gibt. Diese decken auch das Meldeverfahren nach § 8b BSIG mit ab. Es werden in dem Zusammenhang die vielen Möglichkeiten der Umsetzung mit und ohne branchenspezifische Sicherheitsstandards (B3S) dargestellt. Genannt werden auch die Anforderungen an die prüfende Stelle und das prüfende Team einschließlich des Branchenexperten. Näher eingegangen wird im Anschluss auf die verschiedenen Optionen, ein ISMS umzusetzen und auf das Zusammenspiel der Nachweiserbringung nach § 8a BSIG mit unterschiedlichen Zertifizierungen für das ISMS sowie die Möglichkeiten, andere Zulassungen und Prüfungen wie z. B. Penetrationstests oder Revisionsprüfungen im Rahmen der Nachweiserbringung zu nutzen.

mehr...
§8a,b BSIG und BSI- Kritisverordnung für Betreiber Kritischer Infrastruktur

Manuel Atug, HiSolutions AG

12:30 - 13:00
Raum 1
Rechts- und Normenrahmen

Praxisbericht zur Umsetzung und Nachweiserbringung gemäß §8a

Der Vortrag soll einen Praxisbericht für ein Unternehmen aus dem IKT-Sektor darstellen, das als Betreiber einer kritischen Anlage im Sinne der BSI-KritisV erfolgreich die Vorgaben des IT-Sicherheitsgesetzes anhand von internationalen Normen und Standards umgesetzt und den Nachweis gemäß §8a BSIG gegenüber dem Gesetzgeber vor kurzem erfolgreich erbracht hat.

mehr...
Praxisbericht zur Umsetzung und Nachweiserbringung gemäß §8a

Boban Krsic, DENIC

Workshop
12:00 - 15:30
Raum 2.1

Tests von Webanwendungen: Auf der Jagd nach dem mysteriösen DOM-Based Cross-Site Scripting

(Mittagspause 13:00-14:30)

Cross-Site Scripting (XSS) manifestiert sich in mehreren Spielarten, von denen Stored XSS und Reflected XSS in der Literatur reichlich Aufmerksamkeit genießen und allgemein als gut verstanden gelten. DOM-Based XSS wird dagegen eher vernachlässigt, vermutlich deswegen, weil es schwerer greifbar und schwerer zu finden ist. Der Trend zu Webanwendungen, bei denen wesentliche Teile des Anwendungscodes auf dem Clientbrowser laufen, legt jedoch nahe, sich näher mit DOM-Based XSS und verwandten Themen wie HTML- und CSS-Injection zu befassen. In diesem Workshop wird gezeigt, wie man DOM-Based XSS - etwa im Rahmen eines Penetrationstests - einigermaßen zuverlässig finden kann.

mehr...
Tests von Webanwendungen: Auf der Jagd nach dem mysteriösen DOM-Based Cross-Site Scripting

Dr. Safuat Hamdy, Virtual Forge GmbH

12:00 - 13:00
Raum 2.2

Panel: Cybercrime und Cyberwar - wie schützt der Staat die Wirtschaft?

Cybercrime, Industriespionage und Hackerangriffe stellen eine Herausforderung dar. Nicht nur Regierungen und Bürger werden bedrängt. Gerade IT-Unternehmen, Beratungsfirmen und Diensteanbieter sind für Hacker lukrative Ziele. Aber was kann, was muss der Staat tun, um die Unternehmen zu schützen? Welche Angebote bieten Bund und Länder, um Unternehmen im Falle eines Angriffs oder einer Kompromittierung ihrer Sicherheit zu unterstützen? Wie gehen sie dabei vor? Woher kommen die Angriffe? Und wie können Staat und Wirtschaft sie gemeinsam besser abwehren? Was müssen Staat und Wirtschaft gemeinsam angehen, um für mehr Sicherheit zu sorgen und wo bestehen Kooperationsansätze?

Das Panel soll die zentralen Möglichkeiten und Aktivitäten von Bund und Ländern beim Schutz von Wirtschaft und IT-Unternehmen darstellen. Zudem sollen Herausforderungen adressiert werden, denen Behörden, aber auch Unternehmen, dabei regelmäßig begegnen. Ebenfalls diskutiert werden sollen Angriffsvektoren - sowohl aus krimineller Quelle als auch aus Drittstaaten.

Panel: Cybercrime und Cyberwar - wie schützt der Staat die Wirtschaft?

Stefan Becker, Bundesamt für Sicherheit in der Informationstechnik

Panel: Cybercrime und Cyberwar - wie schützt der Staat die Wirtschaft?
Dr. Andreas Goerdeler, Bundesministeriums für Wirtschaft und Technologie
Panel: Cybercrime und Cyberwar - wie schützt der Staat die Wirtschaft?
Dr. Katharina Ziolkowski, Bundesministerium der Verteidigung
Panel: Cybercrime und Cyberwar - wie schützt der Staat die Wirtschaft?
Peter Vahrenhorst, Landeskriminalamt Nordrhein-Westfalen
Panel: Cybercrime und Cyberwar - wie schützt der Staat die Wirtschaft?
Prof. Dr. Norbert Pohlmann, eco - Verband der Internetwirtschaft e.V
mehr...

13:00 Uhr - 14:30 Uhr
Mittagspause

14:30 - 16:00
Keystage

War Stories: Incident Response - was tun bei einem Sicherheitsvorfall?

Wenn das Befürchtete eintritt und in einem Unternehmen oder einer Organisation ein sicherheitsrelevanter Vorfall festgestellt wird, muss schnellstmöglich reagiert werden. Der Schlagwort hier ist "Incident Response (IR)", auch "Vorfallsreaktion" oder "Vorfallsbehandlung" genannt.
Das diesjährige Panel beleuchtet verschiedene Aspekte des Themas, vom Vorbereitetsein auf Cybervorfälle - geht das überhaupt? - über erste erforderliche Reaktionen, Worst-Case-Szenarien, forensische Analysen, Zusammenarbeit mit Organisationen und Behörden bis hin zur Ausbildung von IR-Experten. Geladene Podiumsteilnehmer aus verschiedenen Unternehmen und Organisationen berichten aus ihren Erfahrungen und beantworten Zuschauerfragen, darunter:
War Stories: Incident Response - was tun bei einem Sicherheitsvorfall?
Rüdiger Trost, F-Secure
War Stories: Incident Response - was tun bei einem Sicherheitsvorfall?

Martin Wundram, DigiTrace GmbH

War Stories: Incident Response - was tun bei einem Sicherheitsvorfall?

Andreas Rohr, Deutsche Cyber Sicherheitsorganisation

War Stories: Incident Response - was tun bei einem Sicherheitsvorfall?

Sascha Jopen, Fraunhofer FKIE

War Stories: Incident Response - was tun bei einem Sicherheitsvorfall?

Christoph Fischer, BFK edv-consulting GmbH

mehr...
16:00 - 16:30
Keystage

Keynote

Oberstaatsanwalt Markus Hartmann gibt in seinem Vortrag einen Überblick über die Herausforderungen der Strafverfolgung von Cyberkriminalität. Er wird darlegen, warum die Strafverfolgung und eine eng zwischen Unternehmen und Behörden koordinierte Vorgehensweise ein zentraler Baustein einer wirksamen Cybersicherheitsstrategie sind

mehr...
Keynote

Markus Hartmann, Oberstaatsanwalt

14:30 - 16:00
Raum 1

Drei Monate EU DSGVO - Bestandsaufnahme, Erfahrungsaustausch und Ausblick

Seit dem 25.5.2018 ist die Datenschutzgrundverordnung (DSGVO) in allen EU-Mitgliedsstaaten anzuwenden. In den vergangen zwei Jahren hat das Thema Datenschutz eine hohe Aufmerksamkeit erhalten. Dieses Panel wirft einen Blick auf die konkrete Umsetzung in Unternehmen. Welchen Herausforderung mussten sich Anwender stellen? Welche Wettbewerbsvorteile konnten gezogen werden? Kam es zu den befürchteten Abmahnwellen?

Drei Monate EU DSGVO - Bestandsaufnahme, Erfahrungsaustausch und Ausblick
Peter Schaar, Europäische Akademie für Informationsfreiheit und Datenschutz (EAID)
Drei Monate EU DSGVO - Bestandsaufnahme, Erfahrungsaustausch und Ausblick
Prof. Dr. Ali Sunyaev, Karlsruher Institut für Technologie (KIT)
Drei Monate EU DSGVO - Bestandsaufnahme, Erfahrungsaustausch und Ausblick
Frederick Richter, LL.M., Stiftung Datenschutz
Drei Monate EU DSGVO - Bestandsaufnahme, Erfahrungsaustausch und Ausblick
Stefan Purder, Xella Int.
Drei Monate EU DSGVO - Bestandsaufnahme, Erfahrungsaustausch und Ausblick

Thomas Rickert, eco Director Names & Numbers

Drei Monate EU DSGVO - Bestandsaufnahme, Erfahrungsaustausch und Ausblick

Moderation: Andreas Weiss, eco - Verband der Internetwirtschaft

mehr...

16:30 Uhr
Ende der ISD18 - wir sehen uns 2019 wieder!

Inés Atug

Inés Atug

HiSolutions AG
Manuel Atug

Manuel Atug

HiSolutions AG
Karsten U. Bartels

Karsten U. Bartels

HK2 Rechtsanwälte
Markus Bartsch

Markus Bartsch

TÜViT
Angela Baudach

Angela Baudach

DXC Technology
Stefan Becker

Stefan Becker

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Marcus Beyer

Marcus Beyer

DXC Technology
Daniel Breidenbroich

Daniel Breidenbroich

usd AG
ISD 2018 - Agenda Test 1

Tim Cappelmann

AirITSystems GmbH
Nick Copeland

Nick Copeland

Fidelis Network Forensics
Christoph Fischer

Christoph Fischer

BFK edv-consulting GmbH
David Fuhr

David Fuhr

HiSolutions AG
Andreas Gördeler

Dr. Andreas Goerdeler

Bundesministeriums für Wirtschaft und Technologie
Lukas Grunwald

Lukas Grunwald

DN-Systems Enterprise Internet Solutions GmbH
Tobias Haar

Tobias Haar

Vogel & Partner Rechtsanwälte mbB
Dr. Safuat Hamdy

Dr. Safuat Hamdy

Virtual Forge GmbH
Hartmann

Markus Hartmann

Oberstaatsanwalt, Leiter ZAC NRW
Holger Hartwig

Holger Hartwig

Capgemini
Mark Heitbrink

Mark Heitbrink

IT-Trainer und -Berater
Sascha Herzog

Sascha Herzog

NSIDE ATTACK LOGIC GmbH
Agenda

Jutta Horstmann

eyeo GmbH
Daniel Jedecke

Daniel Jedecke

HiSolutions AG
Sascha Jope

Sascha Jopen

Fraunhofer FKIE
Oliver Keizers

Oliver Keizers

Fidelis Cybersecurity GmbH
ISD 2018 - Agenda Test 2

David Kelm

IT-Seal
Phil Knüfer

Phil Knüfer

Digitrace GmbH
Volker Kozok

Volker Kozok

BMVG
Johannes Kresse

Johannes Kresse

dacoso GmbH
Boban Krsic

Boban Krsic

DENIC
Ivona Matas

Ivona Matas

known_sense
ISD 2018 - Agenda Test 3

Dr. Judith Nink

eyeo GmbH
KarstenNohl

Karsten Nohl

SRLabs
Norbert Olbrich

Norbert Olbrich

Capgemini
Jörg Peine-Paulsen

Jörg Peine-Paulsen

Verfassungsschutz Niedersachsen/Wirtschaftsschutz
Prof. Dr. Norbert Pohlmann

Prof. Dr. Norbert Pohlmann

Vorstandsmitglied des eco - Verband der Internetwirtschaft
Stefan Purder

Stefan Purder

Xella Int.
Frederick Richter, LL.M.

Frederick Richter, LL.M.

Vorstand bei Stiftung Datenschutz
Thomas Rickert

Thomas Rickert

eco Director Names & Numbers
Andreas Rohr

Dr. Andreas Rohr

Deutsche Cyber Sicherheitsorganisation
Mirko Ross

Mirko Ross

digital worx
ISD 2018 - Agenda Test 4

Marcos Sanz Grossón

DENIC
Peter Schaar

Peter Schaar

Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID)
Klaus Schmeh

Klaus Schmeh

cryptovision
Christian Schneider

Christian Schneider

Schneider IT-Security
Nikolei Steinhage

Nikolei Steinhage

Fidelis Cybersecurity GmbH
Christian Strache

Christian Biehler

cirosec GmbH
Michael Ströder

Michael Ströder

Prof. Dr. Ali Sunyaev

Prof. Dr. Ali Sunyaev

Karlsruher Institut für Technologie (KIT)
Rüdiger Trost

Rüdiger Trost

F-Secure
Peter Vahrenhorst

Peter Vahrenhorst

Landeskriminalamt Nordrhein-Westfalen
Henning Voß

Henning Voß

Verfassungsschutz NRW/Wirtschaftsschutz
Prof. Dr. Gina Rosa Wollinger

Prof. Dr. Gina Rosa Wollinger

Fachhochschule für öffentliche Verwaltung NRW
Andreas Weiss

Andreas Weiss

eco - Verband der Internetwirtschaft
Martin Wundram

Martin Wundram

DigiTrace GmbH
Daniel Wunsch

Daniel Wunsch

Check Point
Dr. Katharina Ziolkowski

Dr. iur. Katharina Ziolkowski

Verteidigungsministerium und Cyber-Reserve der Bundeswehr

Einmal anmelden, alles nutzen: Ein Kerberos-basierter Single Sign-on-Zugang zu allen IT-Diensten im Unternehmen bietet nicht nur mehr Bequemlichkeit für die Benutzer, sondern theoretisch auch mehr Sicherheit – aber nur, wenn man es richtig aufsetzt. Welche Fehler man unbedingt vermeiden muss und wo versteckte Fallen lauern, erläutert der eintägige Workshop.

Der Workshop widmet sich der Sicherheit von Kerberos-basiertem Single Sign-on in Linux- und Windows-Umgebungen.

Teilnahmegebühr Workshop (inkl. MwSt.):
Frühbucherticket: 500,64 Euro (bis 08.08.2018)
Standardticket: 589,00 Euro

Teilnahmegebühr ISD 2018 & Workshop (inkl. MwSt.):
Frühbucher-Kombiticket: 900,14 (bis 08.08.2018)
Standard-Kombiticket: 1.058,98 Euro

Der erste Teil behandelt die Sicherheit von MIT-Kerberos in Linux-Umgebungen. Dabei geht es zunächst um die Kerberos-Infrastruktur, konkret um die Absicherung der hochsensiblen KDC-Daten und wie diese in der Praxis umzusetzen ist. Dabei werden auch die Endsysteme betrachtet, auf denen sensible Daten in Form von so genannten Keytab-Dateien und Ticket-Caches vorliegen. Die Teilnehmer lernen die Sicherheitsrelevanz dieser Daten kennen und erhalten so das notwendige Verständnis, um mögliche Angriffsszenarien sowie deren Auswirkungen einschätzen zu können.

Praktisch werden in diesem Teil auch die verschiedenen Credential-Cache-Typen von MIT-Kerberos betrachtet und es wird auf die Notwendigkeit der Ticket-Validierung beim Einsatz von Kerberos-basierten PAM-Modulen eingegangen.

Im nächsten Teil dient eine Active-Directory-Umgebung als Beispiel, um so genannte Pass-the-Hash-Angriffe zu demonstrieren. Gefälschte Kerberos-Tickets – so genannte Silver- und Golden-Tickets – und wie Angreifer diese erzeugen können, soll hier ebenfalls vorgestellt werden.

Abschließend geht es noch einmal detailliert um die Funktionsweise des Kerberos-v5-Protokolls und die möglichen Angriffe auf dessen verschiedene verschlüsselte Elemente. Da solche Angriffe in der Praxis insbesondere bei Verwendung von einfachen Benutzerpasswörtern zum Tragen kommen, werden der Einsatz von Smartcards (PKINIT) und One-Time-Passwords (OTP) im Rahmen von Kerberos als sichere Mechanismen der Primärauthentisierung behandelt.