Die Internet Security Days (ISD) machten das Phantasialand bei Köln im September 2023 wieder zu einem der wichtigsten nationalen Treffpunkte für IT-Sicherheits-Expert:innen, Sicherheitsverantwortliche und Anwenderunternehmen.
Unter dem Motto Backup for Tomorrow hatten die ISD am 21. und 22. September 2023 ins Phantasialand bei Köln eingeladen. Die rund 250 Teilnehmenden an jedem Veranstaltungstag hatten die Auswahl aus 40 spannenden Vorträgen und Panel-Diskussionen. Es gab zwei parallele Vortrags-Tracks zu vier Schwerpunkt-Themen: Achieving the State of the Art, Future Security, Digital Supply Chain Security und Connected Security.
„Wir brauchen jetzt die Ressourcen, um in der Cybersicherheits-Forschung Schritt zu halten mit der organisierten Cyberkriminalität, um die Digitalisierung von Wirtschaft und Gesellschaft weiterhin sicher zu gestalten“, sagte eco Vorstand Prof. Dr. Norbert Pohlmann in seiner Eröffnungsrede und sprach darüber, wie künstliche Intelligenz die Cybersicherheitslage verändert.
Wilfried Karl von der ZITiS - Zentrale Stelle für Informationstechnik im Sicherheitsbereich stimmte in seiner Eröffnungskeynote zu: „Wir müssen dafür kämpfen, dass wir in Sachen KI nicht dauerhaft zurückfallen, sondern jetzt auf die Professionalisierung der Cyberkriminalität reagieren, um digital souverän zu bleiben.“ Der Fachkräftemangel stelle dabei eine große Herausforderung dar.
Die Herausforderungen an IT-Sicherheit wachsen
Wie Cyber-Angriffe live in der Praxis funktionieren, das zeigte Sebastian Schreiber von der SySS GmbH. Anhand smarter Thermostate, eines Web-Shops und anderer Beispiele wies er auf Sicherheitslücken in vielen IT-Systemen hin. „Wenn man Penetrationstests vergisst, werden Manipulationsmöglichkeiten übersehen. Daher sind Applikationstests notwendig“, so Schreiber.
Von der Schwierigkeit, Bedrohungsdaten in der tagtäglichen Datenflut zu entdecken, sprach Scott Boyd von der Cloudflare GmbH. In seiner Keynote mit dem Titel „Die Nadel MIT dem Heuhaufen finden: Unbekannte Bedrohungen aufspüren“ nannte er Strategien, adaptiv Bedrohungsdaten zu erkennen und unbekannte Bedrohungen aufzudecken. Dabei helfe Machine-Learning, genauer gesagt die gut trainierte Engine von Cloudflare, schließlich fließen 20 Prozent des Internets durch das Cloudflare Netzwerk.
Die Zukunft sicherer gestalten
Machine-Learning und Künstliche Intelligenz (KI) thematisierte auch Patrick Grihn von nextindex, der über Anwendungen von KI im Kontext von Datenschutz und Geschäftsgeheimnissen sprach. Der AI Act der EU soll KI regulieren und das Risiko von KI klassifizieren. Welche Herausforderungen ergeben sich daraus für Unternehmen? „Es ist nicht die Frage, ob wir KI einsetzen“, so Grihn. Denn: „Jedes Unternehmen muss sich mit KI auseinandersetzen und braucht Richtlinien, wie mit Datenschutz und Geschäftsgeheimnissen in diesem Kontext umzugehen ist.“
Einheitlichkeit und Regulierung wurden auch in der Paneldiskussion zum Thema E-Mail Authentication mit Peer Heinlein (Heinlein Support GmbH), Sebastian Kluth (Certified Senders Alliance), Jochen Meyer (MediaBEAM GmbH) und Björn Trappe (Laokoon SecurITy GmbH) besprochen, welche von Michael Weirich moderiert wurde. Die Teilnehmer stellten fest, dass neben den bereits vorhandenen und implementierten Maßnahmen weiterhin der Faktor Mensch maßgeblich hinsichtlich der E-Mail-Sicherheit ist und Sicherheitsmaßnahmen bestenfalls einheitlich von allen Akteuren durchgeführt werden sollten, damit diese effektiv funktionieren.
Ein weiteres Regulierungsthema hatte Rechtsanwalt Dr. Lutz Martin Keppeler im Gepäck. Er sprach über IT-Sicherheitsrecht in der Supply Chain Security vor und nach dem CRA (Cyber Resilliance Act) und ging dabei auf Besonderheiten des IT-Rechts ein.
Danke an langjährige Mitgliedsunternehmen
Vor der Mittagspause kam eco Geschäftsführer Alexander Rabe die freudige Aufgabe zu, langjährige Mitgliedsunternehmen im eco Verband zu ehren. Auf die Bühne bat er Vertreter der q.beyond AG und der toplink GmbH. Beide Unternehmen gestalten seit 20 Jahren im eco Verband das Internet mit und wurden dafür mit einer Urkunde ausgezeichnet. Noch länger, nämlich 25 Jahre, ist die ratiokontakt GmbH an Bord. Auch bei diesem Unternehmen bedankte sich der eco Verband mit einer Urkunde.
Nach der Pause stellte Caroline Krohn die Frage nach nachhaltiger Digitalisierung. Wie wollen wir als Unternehmen sein, welchen Anspruch haben wir an uns? Parallel dazu erklärte Dirk Kalinowski der AXA Versicherung AG den Umfang und die Möglichkeiten von Cyber-Versicherungen. Anhand von Fallbeispielen erläuterte er durch Cyberkriminalität verursachte Schäden und wie man sich dagegen versichern kann.
Monitoring-Strategien stellte anschließend Robert Macioszek von der GasLINE vor. Damit die dauerhafte Beobachtung eines Systems erfolgreich ist, gilt es Regeln zu beachten: „Keine Überwachungsregel sollte ohne eine geplante Reaktion aufgestellt werden.“ Zeitgleich präsentierte Olaf Pursche von der SITS Germany Holding GmbH, wie Large Language Models wie ChatGPT zum Erstellen von Phishings-Mails und anderer Malware genutzt werden können. Zwar enthält die Software Sicherheitsvorkehrungen, allerdings können diese umgangen werden. Pursche erklärt: „KI wird keine digitalen Atombomben bauen, aber man kann damit neue Kombinationen entwickeln, und zwar mit einer extrem hohen Geschwindigkeit.” Über die Herausforderungen, Informationssicherheit auch für kleine und mittlere Unternehmen (KMU) zu schaffen, sprach Dr. Stefan Meier von der Meier Computersysteme GmbH. Thomas Wagner von Myra Security GmbH erklärte in seinem Vortrag die unterschiedlichen Maßnahmen bei einem DDoS-Vorfall und wie präventive Schutzmaßnahmen dabei helfen können, langfristig Kosten zu senken.
Unter dem Titel „Künstliche Intelligenz – Gamechanger für die Cybersicherheit?“ diskutierte ein hochkarätiges Panel: „Wir brauchen neue Haftungs-Schemata“, sagt Prof. Pohlmann im Gespräch mit Ramin Karbalaie (NAIX GmbH), Sebastian Schreiber (SySS GmbH) und Dr. Arthur Schmidt (Bundesamt für Sicherheit in der Informationstechnik) – moderiert von Jamal Lammert (eco).
Über den Geheimnisschutz in Videokonferenzen, in denen zahlreiche sensible Daten geteilt werden, sprach Peer Heinlein der Heinlein Support GmbH, bevor Dr. Michael Lemke von Huawei einen Vortrag zum Vulnerability Management hielt.
IT-Sicherheit wissenschaftlich betrachtet
Daniel Haak, wissenschaftlicher Mitarbeiter beim Institut für agile Softwareentwicklung der Technischen Hochschule Augsburg, stellte das Forschungsprojekt HITSSSE (Höhere IT-Sicherheit durch Sichere Software Entwicklung) vor, welches KMU bei der Entwicklung von sicherer Software helfen soll. Unter anderem soll HITSSSE dabei unterstützen, Assets zu schützen, indem Code-Segmente analysiert und hinsichtlich potenzieller Schwachstellen überprüft werden.
Auch Anne Hennig vom Institut für Angewandte Informatik und Formale Beschreibungsverfahren (AIFB) des Karlsruher Instituts für Technologie (KIT) präsentierte ein Forschungsprojekt: INSPECTION identifiziert gehackte Webseiten, die zu Fake-Shops weiterleiten.
Forschungsprojekte wie diese können vor allem KMU dabei helfen, mehr Cybersicherheit zu implementieren. Diese sehen sich häufig mit Herausforderungen wie begrenzten Ressourcen oder IT-Fachkräftemangel konfrontiert.
Highlight Internet-Security-Night
Wieviel Spaß das Netzwerken rund um IT-Sicherheitsthemen machen kann, das bewies am Abend die Internet-Security-Night. In der Eventlocation Phantasialand STOCK´s erwartete die Teilnehmenden ein üppiges BBQ-Buffet und kühle Getränke im einem Industrial-Chic-Ambiente. eco Vorstand Klaus Landefeld begrüßte die Teilnehmenden. Neben vielen Möglichkeiten für Networking und Gespräche animierte eine DJane alle sehr erfolgreich dazu, das Tanzbein zu schwingen.
Der zweite Tag startete gleich mit einem Highlight: Kai Pohle von der Schwarz Gruppe gab Einblicke in den Schutz des größten Handelskonzerns Europas. Er erklärte, wie der einstige reine Handelskonzern unternehmensintern die Digitalisierung gestaltet und erfolgreich ein eigenes IT-Netzwerk etablierte sowie nun selbst IT-Dienstleistungen anbietet.
Manuel Atug von HiSolutions AG erklärte die Rolle von Cybersicherheit in kritischen Infrastrukturen (KRITIS), welche in Zeiten von politischen und militärischen Konflikten von höchster Relevanz sind. Da unter anderem die Sabotage Kritischer Infrastrukturen Teil des modernen Kriegsgeschehens ist, betont Atug: „Wir müssen Cyber-Verteidigung betreiben.” Die Resilienz und Sicherheit von KRITIS wurde auch im anschließenden Panel mit Emma Wehrwein (Gaia-X Federation Services), Manuel Atug (HiSolutions), Caroline Krohn (AG Nachhaltige Digitalisierung) und Stephan Bock (Cloudflare GmbH) diskutiert, welches von Ulrich Plate (nGENn GmbH) moderiert wurde.
Was gibt es bei der Auswahl und Kombination von Firewalls zu beachten? Anhand von Kundenbeispielen zeige das Gregor Chroner von GTT. Um Cybersecurity by Design für Medizintechnik ging es im Vortrag von Hans C. Wenner vom VDE Verband. Sein Fokus lag auf Gesundheitsdaten, die über 6G im Geflecht der Netze gesendet werden. Er gab Tipps, wie sich das Sicherheitsniveau etwa mittels künstlicher Intelligenz und Blockchain erhöhen ließe.
Tarek Nemri von plusserver erklärte in seinem Vortrag die Chancen und Herausforderungen hinsichtlich der IT-Sicherheit im Cloud-Umfeld. Nemri stellte heraus, dass IT-Sicherheit mittlerweile nicht nur als eine Kostenstelle, sondern auch als ein Business Enabler anzusehen ist. Nils Karn, Geschäftsführer des Cybersecurity Startups Resilty, berichtete über den aktuellen Stand der Cloud-Sicherheit. Er nannte Herausforderungen und Tipps zur Sicherung von Cloud-Infrastrukturen, etwa mittels des Services Mitigant. Dr. Guido Frank Bundesamt für Sicherheit in der Informationstechnik sprach darüber, wie sich die sichere Konfiguration von TLS-Verbindungen prüfen lässt. Cloud-Sicherheit vor dem Hintergrund des EU Cyber Resilience und Cyber Security Acts thematisierte auch Christian Banse vom Fraunhofer AISEC. Über die Gefahren durch Radikalisierung und Innentäter:innen sprach Jörg Peine-Paulsen. Er stellte verschiedene Täter:innen-Profile vor und klärte in seinem Vortrag zu diesem Tabuthema auf. Er betonte die starke soziologische Komponente bei Innentäter:innen: „Glückliche Mitarbeiter sind in der Regel keine Innentäter”, so Peine-Paulsen.
Angriffsfläche explodieren
„Viele Organisationen glauben, sie haben ihre IT-Architektur im Griff – wenn man genauer schaut, explodiert jedoch die Angriffsfläche“, sagt Dr. Silvia Knittl von der PwC GmbH WPG. Auch Dr. Heike Hagemeier wies in ihrem Vortrag zum Quantencomputing auf die Risiken in dem Bereich hin und empfahl eine frühzeitige Migration zu Post-Quanten-Kryptographie, um gegenüber diesen Technologien resilient zu bleiben. Dr. Rachid El Bansarkhani schloss sich diesem Themengebiet an und berichtete am Nachmittag, wie Quantencomputer und KI das Thema Sicherheit maßgeblich beeinflussen werden.
Chris Lichtenthäler und Benjamin Pieck von Esprit Europe zeigten in ihrem Vortrag, wie IT- und HR-Abteilung zusammenarbeiten. Technologische Lösungen können unter anderem dabei helfen, Probleme wie dem Fachkräftemangel entgegenzuwirken, allerdings müssen Mitarbeitende auch eine erhöhtes Sicherheitsbewusstsein etablieren. Der Fokus liegt daher bei dieser Schnittstelle auf Aspekten wie digitaler Kollaboration, lebenslanges Lernen sowie Re- und Upskilling.
Den Abschluss machte die Panel-Diskussion zu Future Security: Wie werden Quantencomputer und AI unsere Sicherheitswelt verändern? Darüber sprachen Dr. Silvia Knittl (PWC), Dr. Mark Vinkovits (XUND Solutions), Dr. Rachid El Bansarkhani (QuantiCor Security) und Jörg Peine-Paulsen (Innenministerium) – moderiert von Fabian Landa. „Oft wird Security erst angegangen, wenn es zu spät ist“, sagt Dr. Rachid Bansarkhani in der Diskussionsrunde. Sich gut auf die Herausforderungen der Zukunft vorzubereiten, hilft die Digitalisierung sicher zu gestalten. Dazu hatten die ISD 2023 einen bedeutenden Beitrag geleistet. Wir danken nochmals sehr herzlich unseren Sponsoren Cloudflare, Syss, Huawei, Myra, plusserver, Avast, dem Cyber Security Cluster Bonn und der Bundesstadt Bonn. Der größte Dank gilt all unseren Besucherinnen und Besucher, die die Internet Security Days mit ihrem Know-how, Beiträgen und Fragen bereichert haben – wir freuen uns auf Sie auf den IDS 2024!