Internet Security Days - Nachbericht 2022

Die Teilnehmer:innen strahlten am Morgen des 29. Septembers mit der Sonne über dem Phantasialand um die Wette: Die Freude, dass die größte IT-Sicherheitskonferenz der Region endlich wieder als Live-Event stattfinden kann, stand allen ins Gesicht geschrieben. IT-Expertinnen und Experten aus ganz Deutschland kamen nach Brühl, um sich vor Ort über IT-Sicherheitsherausforderungen auszutauschen und alte und neue Kontakte zu pflegen. Der Verband der Internetwirtschaft eco richtet die Konferenz jährlich gemeinsam mit der heise Academy im Phantasialand Brühl aus.

Das Thema IT-Sicherheit ist dabei im Herbst 2022 brandaktuell, der Ukraine-Konflikt und wirtschaftlich motivierte Attacken mit Erpressungstrojanern (Ransomware) bedrohen kleine und große Unternehmen sowie Behörden in einem nie gekannten Maße.

Diesen Umstand sprach Prof. Norbert Pohlmann in seiner Begrüßung an. Der eco Vorstand für IT-Sicherheit betonte, die Notwendigkeit für einen engen persönlichen Austausch sei größer denn je: „IT-Systeme und Infrastrukturen sind nicht sicher genug konzipiert, aufgebaut, konfiguriert und upgedatet, um allen intelligenten Angriffen standzuhalten“, gab er zu bedenken. Ein Grußwort sprach anschließend Frank Rock, Landrat des Rhein-Erft-Kreises.

Christian Krätzer

Künstliche Intelligenz (KI) nimmt seit Jahren in der Entwicklungsspirale um modernen Angriffsvektoren sowie zugehörige Schutzmechanismen eine immer stärker werdende Rolle ein. Am Beispiel des aktuellen Bedrohungsvektors DeepFakes lässt sich sehr gut illustrieren wie KI beide Seiten befeuert, aber das Ungleichgewicht zwischen Verteidiger und Angreifer noch verstärkt - leider in vielen Fällen deutlich zu Gunsten des Angreifers.

Hans C. Wenner

Informationssicherheit kann nicht in Produkte "hineingeprüft" werden. Um den zunehmenden Bedrohungen durch Cyberattacken effektiv begegnen zu können, sollte das Cybersecurity-Management in das (Safety-) Risikomanagement integriert werden. Nicht nur in der Medizintechnik.
Kai Boyd

Unternehmen müssen früh in der Entwicklung Cybersicherheit und Cyber-Resilienz berücksichtigen. Nur so schützen sie sich nicht nur vor Angriffen, sondern begrenzen auch den Schaden nach einer erfolgreichen Attacke. Der Umfang und die Geschwindigkeit von Cyberangriffen werden in absehbarer Zeit nicht abnehmen.

Vivien Schiller

Der Faktor Mensch spielt in der IT-Sicherheit eine zentrale Rolle.
Martin Wundram

Nur "herausgeputzte" und "wasserdichte" Einsatz- oder Untersuchungsberichte, Protokolle und Gutachten bringen ein gelungenes Projekt - etwa Incident Response - insgesamt "zum Glänzen". Bereits mit wenigen Grundprinzipien und "Best-Practices" gelingt es uns, gute, belastbare und verständliche Berichte zu schreiben!

Dennis-Kenji Kipker

Man kann so ziemlich alles regulieren - die Frage ist nur, ob man so Innovation triggern kann oder ob die aktuellen Bestrebungen zur regulatorisch forcierten EU-Halbleiterentwicklung nur im Raum verpuffen.
Sabine Griebsch

Wenn die öffentliche Verwaltung ihre Aufgaben vorübergehend nicht wahrnehmen kann, verläuft das keinesfalls stressfrei für die Gesellschaft.

Hauke Gierow

Die Frage ist nicht mehr ob ein Vorfall eintritt, sondern wann. Dem Thema Incident Readymess kommt daher eine immer größere Bedeutung zu. Auch Pressestellen sollten sich darauf vorbereiten.
Mirko Ross

Cybersichere Produkte und eine cybersichere Lieferkette führen zu weniger Dataleaks, weniger Ransomware und weniger Datenverlust. Bisher war Cybersec nicht in die Businessmodelle eingepreist. Aber das dreht sich jetzt massiv.

Marcus Beyer

Der Fokus auf den Faktor Mensch beschränkt sich oft nur die Umsetzung von Vorgaben der Regulatoren oder zur Einhaltung von Standards ohne zu wissen, ob die Mitarbeiterschaft bereit dazu ist, diese auch umsetzen zu können.Die Mitarbeitenden fühlen sich nur dann abgeholt und mitgenommen, wenn die Kommunikation auf sie ausgerichtet ist, sie emotional mitnimmt und spannend gestaltet ist.
Andreas Vollmert

Die Hausbank ist für viele Bürger eine vertrauenswürdige Institution. Sie kann nicht nur mit seinem Geld, sondern auch mit seinen Identitätsdaten seriös und sicher umgehen.

Michael Veit

Technologie allein schützt Unternehmen heute nicht mehr – zusätzlich werden Spezialisten benötigt, die rund um die Uhr die IT-Security aktiv betreiben.
Ralf Benzmüller

Die Digital Responsibility Goals sind die ethisch-moralischen Leitplanken für einen verantwortungsvollen Umgang mit innovativen Technologien und Angeboten. Sie sind die SDGs für die digitale Welt. Die sieben Digital Responsibility Goals sind konkrete Umsetzungsziele zugeordnet. Ihr Umsetzungsgrad wird im Digital Responsibility Index DRI erfasst. Dieser konkrete Praxisbezug unterscheidet die DRG von anderen Initiativen.

Johann Grathwohl

Die Schwachstelle in Log4j wurde behoben, damit scheint auch das Problem behoben. Die eigentlichen Ursachen sind bis heute jedoch wenig thematisiert und das Problem zumeist nur oberflächlich behoben.
Paul Trinks

Das BSI eröffnet ab sofort den großen Bereich smarter Verbrauchergeräte für eine Beantragung des IT-Sicherheitskennzeichens und macht damit auch die IT-Sicherheitseigenschaften von Consumer-IoT-Produkten transparent. Dadurch wird Informationssicherheit als zentrales Argument für die Kaufentscheidung von Verbraucherinnen und Verbrauchern gestärkt und Herstellern die Möglichkeit gegeben, die Sicherheit ihrer Produkte und Dienste am Verbrauchermarkt besonders hervorzuheben.

Markus Schaffrin

Elektronischen Diensten auf Basis einer sicheren einzigen digitalen Identität gehört die Zukunft.

Rund 40 namhafte Expertinnen und Experten hielten anschließend Vorträge oder sprachen in Paneldiskussionen über IT-Sicherheit. Den Anfang machten Paul Kaffsack (Myra Security) und Christian Knothe (1&1 Versatel) mit ihrer Keynote. Sie nannten gute Gründe und Strategien für IT-Sicherheit, die auf europäischen Schutzlösungen basieren. „Nutzen Sie die Möglichkeiten lokaler Dienstleister und europäische Hidden Champions“, sagte Paul Kaffsack. Ziel sei die Reduktion von Angriffsflächen und Risiken, um Schäden zu vermeiden. Über eine Automatisierung der Cyberabwehr sprach Thorsten Deutrich (GlobalDots) und stellte Vulnerability Scanning, eine realtime Überprüfung von Datenpunkten und andere neue Schutz-Instrumente vor.

Die Erkennung gefakter Bilder wird immer schwieriger, selbst viele Videos lassen sich nur mithilfe forensischer Methoden als gefälscht entlarven. Solche Deep-Fakes setzen Cyberkriminelle etwa für CEO-Fraud-Attacken ein, die Millionen-Schäden verursachen können, sagte Dr.-Ing. Christian Krätzer von der Fakultät für Informatik der Otto-von-Guericke Universität Magdeburg. Er sprach über „Die Rolle von KI in modernen Angriffsvektoren sowie Methoden der IT-Sicherheit.“ Das Material zur Erstellung von Deep-Fakes einer Zielperson ist frei im Netz verfügbar, die Erstellung vergleichsweise günstig.

Regelmäßige Pausen geben den Teilnehmenden ausreichend Raum zum Netzwerken und um sich zu stärken – beispielsweise an der Espresso- und an der Candy-Bar, die mit Unterstützung von LastPass für alle Gäste geöffnet hatten.

Informationssicherheit in der Industrie – Das nächste Must-Have? Das fragte Gökhan Kurtbay (CNX Consulting Partners). Der Ruf des deutschen Mittelstands in Sachen Cybersicherheit sei schlecht. Zurecht, wie er sagt, da viele Verantwortliche eine gefährliche Ignoranz an den Tag legen. Er erwartet, dass es bald mehr gesetzliche Vorgaben für IT-Sicherheit in Unternehmen geben wird.

Wie schnell es auch Behörden erwischen kann, das zeigte der Cyberangriff auf den Landkreis Anhalt-Bitterfeld. Über den sprach Sabine Griebsch (CDO im Landkreis Anhalt-Bitterfeld): „Wir müssen entsprechende Standards und die Grundlagen dafür schaffen, Angriffen vorzubeugen, um ein nachhaltiges Schutzniveau sicherzustellen“, sagte sie in ihrem Vortrag. Ein enger Austausch hinsichtlich Verfahrensweisen sei nötig. Lösegeld sollten Opfer von Cyberkriminellen nicht zahlen, rieten auch Chris Lichtenthäler und Melanie Vorderobermeier, beide von Deloitte, in ihrem Vortrag mit dem Titel „Die unsichtbare Hand im Cyberraum“. Im anschließenden Panel „War Stories“ berichteten den Teilnehmer:innen von ihren Erfahrungen im Umgang mit einem aktuellen Vorfall.

Security Everywhere forderte Andreas Münch von Akamai in seinem Vortrag: „Mithilfe Künstlicher Intelligenz erkennen wir Muster und können so DDos Attacken abwehren.“ Vor der Mittagspause gratulierte eco Geschäftsführer Alexander Rabe langjährigen eco Mitgliedsunternehmen. Urkunden für 25 Jahre Mitgliedschaft im eco Verband bekamen die Microsoft Deutschland GmbH und die CANCOM Managed Services GmbH überreicht. Für 15 Jahre eco Mitgliedschaft wurden die HKN GmbH, FreiNet GmbH und die mediaBEAM GmbH geehrt.

Cybercrime – The show goes on

Wie gehen die Täter vor und wie kann man sich angemessen schützen?

Vertrauen im Internet - Trust me if you can

Wie sehen praxistaugliche Konzepte zum Schutz von Vertraulichkeit und Authentizität aus?

Am Anfang war die Sicherheit – Ein Wunschtraum?

Wie können Produkte über den gesamten Lebenszyklus sicher gestaltet werden?

Secure World – Sicherheit für eine vernetzte Welt

Wie kann die vernetzte Welt sicher gestaltet werden?

Snehal Antani, CEO des Sponsors HORIZON3.ai, eröffnete die zweite Tageshälfte mit einer Keynote zu „SOC (Security Operations Center) Effectiveness“. „Härten Sie Ihre Sicherheitssysteme, indem Sie Angriffsvektoren finden und beseitigen, bevor Kriminelle sie ausnutzen können“, forderte er. Er gab Tipps dafür, die richtigen Daten zu protokolieren, um Schwachstellen zu beheben und um Tools optimal zu konfigurieren.

„Das Innere des IoT-Produkts definiert Ihre Cybersicherheit“, sagte Mirko Ross von der asvin GmbH. In seinem Vortrag zeigte er europäische Regularien, auf die sich die Industrie einstellen muss. In Sachen IoT-Sicherheit wird sich einiges drastisch ändern, sagte er voraus: „Nur Regulation kann das Problem beheben, die Industrie alleine schafft das nicht.“

Neuen Regeln für Web-App- und API-Sicherheit präsentierte Kai Boyd von Fastly, mit denen sich Cyber-Bedrohungen effektiver abwehren lassen. Wie KI im Kampf gegen Ransomware hilft, Risiken zu erkennen und einzudämmen, erläuterte Martin Meyer von Rubrik Germany GmbH. Wertvolle Tipps gab er auch zum Thema Backups, die logisch vom Netzwerk isoliert und durch Multi-Faktor-Authentifizierung abgesichert sein sollten.

„IoT Geräte werden immer stärker zum potenziellen Angriffsziel für Hacker“, sage Tatjana Hein, eco e.V. in der Podiumsdiskussion am Nachmittag. Mit ihr diskutierten auf dem Podium Olaf Pursche (AV-Test), Rainer M. Richter (HORIZON3.ai) und Paul Trinks (BSI). Sie alle gaben Tipps, wie Cyber-Angriffe auf Sicherheitslücken abgewehrt werden können, die durch unterschiedliche Betriebssysteme und Standards im Internet of Things (IoT) reichlich vorhanden sind.

Auf Kommunikations-Erfordernisse im Krisenfall wies Hauke Gierow von PIABO PR zum Ende des ersten Konferenz-Tages hin. „Krisenkommunikationsfähigkeit muss man im Vorfeld sicherstellen“, mahnte er in seinem Vortrag und gab Tipps, wie Unternehmen die Kommunikation im Cybersicherheitsnotfall jetzt vorbereiten sollten.

Mit der Internet Security Night 2022, gesponsert von Rubrik Germany GmbH, stand am Abend des ersten Konferenztages ein ganz außergewöhnliches Networking-Event auf der Agenda. In der Themenwelt „Deep in Africa“ des Phantasialands bereiteten Trommelgruppen und ein Akustikduo den Gästen einen herzlichen Empfang. Anschließend öffnete mit der Black Mamba eine der Hauptattraktionen des Phantasialandes exklusiv für die ISD-Besucher:innen – mit Unterstützung des Sponsors Fastly. Einige Gäste drehten Runde um Runde mit der schnellen Achterbahn. Parallel dazu gab es ein reiches Buffet feiner afrikanischer Speisen. Viele Gäste waren nach dem langen Konferenztag noch in Feierlaune und freuten sich über DJ und Dancefloor. Für andere ging der Abend bei Networking und Erfahrungsaustausch an der Hotelbar zu Ende.

Eva Pleger

Ich habe noch nie von einem zertifizierten Hackerangriff gehört. Wir tun uns zu schwer das Thema Training im Bereich Cybersecurity neu zu denken und brauchen mehr Mut für innovative Lösungen.

Lukas Grunwald

Und plötzlich ist der Desktop von dem Cyberkriminellen komplett übernommen, und man kann sehen wo er sich seine Pizza hin bestellt hat und somit auch seine Adresse bekannt gegeben hat.
Chris Lichtenthäler

Eine lückenlose Aufklärung eines Cybervorfalls wird immer wichtiger. Bereiten Sie sich und Ihr Unternehmen ausreichend vor!

Melanie Vorderobermeier

Cybercrime hat sich zu einem hochprofitablen Business-Modell entwickelt - dem muss geschlossen entgegengetreten werden!
Florian Vierke

Relevanz und Authentifizierung werden auch zukünftig eine Voraussetzung für erfolgreiches Email Marketing darstellen.

Patrick Ben Koetter

Unsere Geräte glauben jedem und alles, wenn es um Identitäten geht. Wir brauchen DNSSEC, damit wir ein Internet erhalten, in dem wir vertrauenswürdig und verlässlich Wirtschaft betreiben können.
Dirk Häger

Sollten Sie für die Entwicklung eines Produktes mit integrierter Software verantwortlich sein, dann denken Sie bitte, BITTE an den gesamten Lebenszyklus. Sollten Sie ein Podukt mit integrierter Software kaufen wollen, checken Sie vorher, ob der Hersteller Updates bereit stellt.

Felix Lindner

Am Anfang war keineswegs die Sicherheit. Sicherheit spielt erst eine Rolle, wenn keine Strafandrohung mehr Wirkung zeigt. Sie ist Ausdruck der Freiheit eines Systemverbundes, und sie ist ein Versprechen.
Lisa Reinhardt

Security Awareness ist eine gesamtgesellschaftliche und -wirtschaftliche Aufgabe. Ein Hacker scheut sich nicht, ein 7-jähriges Kind zu seinem Ziel zu machen, auch vor dem systemrelevanten Unternehmen macht er keinen Halt. Deshalb werde ich nicht müde, die Brisanz dieses Themas in den Vordergrund zu rücken.

Boris Hemkemeier

Cyberkriminelle benutzen heute keine Exploits, sondern Telefon und E-Mail. Erfolgreiche Cybercrime-Bekämpfung erkennt und unterbindet diese Angriffe in dem Moment, in dem sie passieren und beschränkt sich nicht allein auf das Entwickeln sicherer Technik.
Thorsten Urbanski

IT-Sicherheit muss bei den EU-Mitgliedsstaaten ganz oben auf der Agenda stehen. Eine umfassende europäische Cybersicherheitsstrategie ist zwingend erforderlich, wenn wir die digitale Souveränität aller EU-Mitgliedstaaten schützen wollen.

Stefan Hessel

Bei Verstößen gegen rechtliche Pflichten zur Cybersicherheit von IoT-Geräten drohen Herstellern empfindliche Konsequenzen. Sie müssen Cybersicherheit daher über den gesamten Produktzyklus mitdenken.
Gökhan Kurtbay

Bei der Einführung eines ISMS gibt es drei Faktoren: Gut, schnell und günstig. Zwei davon dürfen Sie sich aussuchen.

Martin Meyer

Geschäftskontinuität trotz Cyberattacken ist machbar.

Wie spät es bei der Internet Security Night für einzelne auch wurde, alle waren um 9 Uhr morgens zur Eröffnung des zweiten Konferenztages wieder im Tagungszentrum Quantum des Phantasialands vor Ort. „Wir haben in Sachen IT-Sicherheit in Deutschland kein Maßnahmendefizit, sondern ein Umsetzungsdefizit“, sagte Dr. Dirk Häger (BSI) in seiner Keynote. Cyber-Sicherheit müsse Chefinnen- und Chefsache sein, forderte Häger und gab einen Überblick über die aktuelle Bedrohungslage.

Es folgten Vorträge und Diskussionen zu „Am Anfang war die Sicherheit – Ein Wunschtraum?“ und „Vertrauen im Internet – Trust me if you can“ – so die Titel der beiden parallelen Vortrags-Tracks.

Welchen Beitrag digitale Identitäten leisten, um das Vertrauen im Internet zu stärken, darüber sprachen Markus Schaffrin (eco) und Frank Schmeiler (techconsult). Beide stellten die Ergebnisse der Studie „Security & digitale Identitäten in einer digitalisierten Welt“ vor, die techconsult und eco im Frühjahr 2022 veröffentlicht hatten. „Digitale Identitäten sind Treiber der Digitalisierung“, so Frank Schmeiler. „Unternehmen und öffentliche Hand haben auf dem Weg dahin jedoch viele Herausforderungen zu meistern.“

Beispiele für Storytelling rund um Cyber-Attacken auf Bankkunden gab anschließend Dr. Boris Hemkemeier von der Commerzbank. Er gab einen Überblick darüber, wie Angreifer Kunden mit plausiblen Geschichten davon überzeugen wollen, ihnen freiwillig Geld zu senden. „Je besser die Story ist, desto bereitwilliger geben Menschen kritische Informationen preis“, sagte Hemkemeier.

„Storytelling ist auch bei Security-Themen wichtig“, bestätigt anschließend Marcus Beyer (Swisscom Trust Services AG). Er warb für ein größeres Verständnis des Faktors Mensch in der Cybersecurity: „Der Mensch ist und bleibt Angriffsziel Nr. 1, daher muss Mitarbeiter-Sensibilisierung rocken!“, forderte er.

Später am Vormittag stand Resilienz für IT-Infrastrukturen im Fokus einer Panelisten. Wohin steuern wir? Moderiert von Philipp Ehmann (eco) fragten das Klaus Landefeld (eco), Thomas Niessen (Trusted Cloud) und Steve Ritter (BSI). Sie erörterten Möglichkeiten und Chancen zur Verbesserung der Resilienz im digitalen Raum.

Zwei Vorträge von Sponsoren rundeten den Vormittag ab: Michael Veit von Sophos sprach über Strategien, mit denen sich potenzielle Bedrohungen proaktiv aufspüren lassen, um Cyberattacken möglichst direkt im Keim zu ersticken. Dr. Michael Lemke von Huawei Deutschland warf hingegen einen Blick auf das Gesamtbild der Cybersecurity mit einem Fokus auf Cloud-Technologien.

Welche Orientierungspunkte für Vertrauen im digitalen Raum haben wir? Das fragten – moderiert von Vivien Witt (eco) – Andreas Weiss (eco), Ralf Benzmüller (G Data) und Jutta Juliane Meier (Identity Valley) am Nachmittag. Gemeinsam stellten sie die Digital Responsibility Goals vor – Formulierungen, die als Leitplanken für einen verantwortungsvollen Umgang mit innovativen Technologien gelten sollen. „Wir haben messbare Ziele für einen vertrauens- und verantwortungsvollen Umgang in der digitalen Welt formuliert“ sagte Jutta Juliane Meier.

Der zweite Konferenztag ging mit einer Keynote des Hackers Felix FX Lindner zu Ende, der in seiner Einschätzung der IT-Sicherheitslage kein Blatt vor den Mund nahm: „Wir haben noch nicht rausgefunden, wie man fehlerfreie Software baut“, sagte er zum Abschluss der ISD 2022. Der weitere Austausch ist also notwendig und wichtig, weshalb die Veranstalter sofort ankündigten, dass die ISD auch 2023 wieder stattfinden sollen. Zum Abschluss dankte Markus Schaffrin allen Teilnehmer:innen und den Sponsoren Myra, Horizon3.ai, Akamai Technologies, Fastly, GlobalDots, Sophos, LastPass, Rubrik, Huawei & P3KI GmbH: Wir freuen uns auf die ISD 2023.