Re­fe­ren­ten beim 15. Pa­der­bor­ner Tag der IT-Si­cher­heit (al­pha­be­tisch)

"Rechtssichere Behördenkommunikation"

Die zunehmende Digitalisierung in Gesellschaft, Wirtschaft und Verwaltung stellt insbesondere Unternehmen und Behörden vor neue Herausforderungen.

Bei der Kommunikation zwischen den Partnern sind insbesondere die Aspekte Authentizität, Integrität und Vertraulichkeit zu adressieren. Der Einsatz von Verschlüsselung zur Wahrung der Vertraulichkeit ist dabei Standard. Auch werden an vielen Stellen schon heute elektronische Signaturen eingesetzt, um die Authentizität bzw. die Integrität von Nachrichten und Dokumenten zu sichern. Dabei ist häufig das Niveau der fortgeschrittenen elektronischen Signatur das Mittel der Wahl.

Eine Reihe von weiteren Entwicklungen ist inzwischen in der Projektierung. Stichworte sind hier die Umsetzung des Onlinezugangsgesetzes (OZG) und z.B. die Servicekonten für Bürger und Unternehmen. Auch wird zukünftig eine größere Anzahl an Dienstleistungen der Verwaltung online zur Verfügung gestellt. Teilweise besteht für professionelle Teilnehmer ein Nutzungszwang (beispielsweise E-Rechnung und elektronische Steuererklärung).

Diese Entwicklung wirft insbesondere bei den beteiligten Unternehmen und Behörden eine Reihe von Fragen auf. So müssen verschlüsselte Dokumente entschlüsselt und Signaturen geprüft werden.

Bislang ist es üblich, die Kommunikation zwischen zwei Teilnehmern Ende-zu-Ende zu verschlüsseln. Die Entschlüsselung und die Signaturprüfung erfolgen dabei am Arbeitsplatz. Gerade bei verschlüsselten Inhalten ergibt sich das Problem, dass die erste Stufe der Malwareabwehr „umgangen“ wird und allein auf die Endpointsecurity am Arbeitsplatz vertraut werden muss.

Folgerichtig verbieten die Sicherheitsleitlinien einiger Behörden die direkte Weiterleitung von verschlüsselten Inhalten an den Arbeitsplatz. Zudem würde eine Signaturprüfung an den Arbeitsplätzen mit einem entsprechend hohen Schulungsaufwand einhergehen.

Für die Stellen des Bundes wurde daher die Maßnahme G2X projektiert. Ziel ist es, zentral eine Plattform zur Verfügung zu stellen, die über verschiedene Eingangskanäle (insbesondere OSCI-Transport mit Transportprofil Justiz, DeMail, S/MIME- bzw. PGP-Mail, ePostbrief und AS4) verschlüsselte und/oder signierte Nachrichten entgegennimmt. Die Plattform entschlüsselt die Nachrichten, prüft angebrachte Signaturen und dokumentiert das Prüfergebnis und führt jede Nachricht einer zentralen Malwareprüfung zu. Auf Wunsch der nutzenden Behörden können Nachrichten auch an ein beweiswerterhaltendes Zwischenarchiv weitergeleitet werden. Die Nachricht wird schließlich über das Protokoll SMTP bzw. über einen XTA-Webservice an den Nutzer weitergeleitet. Umgekehrt ist es für den Nutzer möglich, eine XTA-Nachricht an die Plattform zu leiten. Dort erfolgt die Transformation in das Zielformat und die Verschlüsselung und/oder das Anbringen von elektronischen Signaturen und der anschließende Versand.

Der Vortrag wird insbesondere auf die Architektur der Plattform, die aus am Markt verfügbaren Komponenten zusammengesetzt ist, eingehen und aufzeigen, welche Herausforderungen damit lösbar sind und welche Entwicklungen für die Zukunft noch vorstellbar sind.

Kurzbiographie:

Thomas Biere ist seit 1996 Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik. Schwerpunkte seiner bisherigen Tätigkeit waren u. a. die Mitarbeit am IT-Grundschutzhandbuch, die Erstellung von IT-Sicherheitskonzepten sowie die Betreuung verschiedener E-Government-Projekte. Hierbei lag ein Fokus auf der Integration der Virtuellen Poststelle, um den Umgang mit elektronischen Signaturen und von Verschlüsselung im Behördenalltag zu vereinfachen.

Schwerpunkte der bisherigen Tätigkeit war die Übernahme der Aufgaben als Maßnahmenverantwortlicher für die Maßnahme G2X im Rahmen der IT-Konsolidierung Bund, das Vertragsmanagement für einen Rahmenvertrag zur Informationssicherheitsberatung und Beratungen der Stellen des Bundes in Fragen der Informationssicherheit.

Seit dem 01.04.2021 hat Herr Biere die Leitung des Referats BL 11 – Informationssicherheitsberatung für den Bund und Grundsatz – übernommen.

"Auswirkungen und Sicherheit neuer Internet-Protokolle"

Nach einer langen Zeit der Stabilität bei den wichtigsten Internet-Protokollen, hat nun eine Ära begonnen, in denen neue Web-Protokoll-Standards rasch umgesetzt werden und grundlegende Änderungen mit sich bringen. Der globale Internet-Traffic steigt weiter steil an und obwohl die letzte HTTP-Revolution erst ein paar Jahre alt ist, wird sie bereits von mehr als einem Drittel der Webserver unterstützt. Wenn die anstehenden nächsten Generationen ebenso erfolgreich sind, werden viele Sicherheitsprodukte am Gateway, im Netz und in der Cloud blind werden, falls die IT-Security-Hersteller nicht rechtzeitig reagieren. Der Vortrag gibt einen Überblick über die Entwicklung, die Motivation, Chancen und Risiken der neuen Internet-Protokolle.

Kurzbiographie:

Dr. Olaf Bonorden, Principal Engineer bei McAfee. Nach dem Informatik Studium arbeitete Olaf Bonorden als wissenenschaftlicher Mitarbeiter an der Universität Paderborn in der Arbeitsgruppe Algorithmen und Komplexität. Nach der Promotion begann Herr Bonorden als Software Entwickler bei McAfee im Bereich Web Protection und ist dort seit einigen Jahren als Architekt verantwortlich für die Weiterentwicklung zu einer vollständig cloudbasierten Lösung.

"Des Kaisers neue Kleider: Moderne Angriffe vs. Software Diversity"

Kaum ein Monat vergeht, an dem nicht neue gefährliche Angriffe gegen Standard Hardware & Sofware Systeme publiziert werden. Als Beispiele der letzten Jahre seien hier nur Rowhammer, Spectre und Meltdown genannt, welche insbesondere auch abseits des regulären Wissenschaftsbetrieb durch internationale Medien-Publicity Aufsehen erregt haben.

Der Vortrag setzt sich kritisch mit diesen Angriffen und im Speziellen mit deren Prämissen aus der Perspektive von Software Diversity auseinander. Forschung im Bereich Software Diversity versucht dabei, Software Systeme automatisch und transparent zu "diversifizieren", mithin so zu verändern, dass verwendete Software nicht für jeden Anwender hundertprozentig ident ist - so wie es in der derzeitigen Monokultur von Software Systemen der Fall ist.

Kurzbiographie:

Stefan Brunthaler ist Professor für sichere Softwareentwicklung am neuen nationalen Forschungsinstitut CODE der Universität der Bundeswehr, München. Nach seiner Promotion an der TU Wien 2011 war er bis 2015 Postdoctoral Scholar an der University of California, Irvine am Secure Systems and Software Laboratory, wo er gemeinsam mit Prof. Dr. Michael Franz im Rahmen mehrerer erfolgreicher DARPA und NSF Projekte geforscht hat. Derzeitige Forschungsinteressen umfassen weite Bereiche in der Software und Systemsicherheit, insb. Grundlagenforschung im Bereich sprachbasierter Sicherheit, spezieller Compiler Optimierungen und Transformationen, neue Paradigmen zur kosteneffizienten Erstellung komplexer Software Systeme am Beispiel von Browsern und schlussendlich auch Interesse an der Konstruktion energieeffizienter Data Center und neuer Suchmaschinen Technologien.

„Rechtliche Anforderungen an IT-Sicherheitsupdates“

Tagtäglich werden neue Schwachstellen in der IT-Sicherheit entdeckt. Damit einhergehend stellt sich für Hersteller und Verkäufer von IT die Frage, in welchen Fällen, in welchem Umfang und für wie lange sie ihren Kunden IT-sicherheitsbezogene Softwareupdates zur Verfügung stellen müssen. Der Vortrag beleuchtet die gegenwärtige rechtliche Situation für die nicht immer klar geregelten Updatepflichten im B2B-Bereich vor allem aus der Herstellerperspektive.

Kurzbiographie:

Dennis-Kenji Kipker arbeitet als Professor für IT-Sicherheitsrecht an der Hochschule Bremen an der Schnittstelle von Recht und Technik in der Informationssicherheit und im Datenschutz. Dabei kommt bei ihm auch die Praxis nicht zu kurz: So ist er außerdem als Legal Advisor des VDE, CERT@VDE tätig und prägt im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin die zukünftige europäische und deutsche Cyber-Politik maßgeblich. Als Geschäftsführer des Beratungsunternehmens Certavo in Bremen setzt er sich überdies für die Entwicklung und Umsetzung pragmatischer Lösungen zur digitalen Compliance-Konformität von Unternehmen ein.

"Aktuelle Angriffe auf alte (noch eingesetzte) Kryptographie"

Mit Ausnahme von TLS und Websicherheit stehen wichtige in der Praxis eingesetzte Kryptographiestandards, die meist in den 90er Jahren des letzten Jahrhunderts entwickelt wurden, selten im Fokus der akademischen Forschung. Während Angriffsmethoden auf kryptographische Bausteine wie Verschlüsselung und digitale Signaturen immer ausgefeilter werden, arbeiten diese Standards im Wesentlichen weiter mit über 20 Jahre alten Primitiven.

Am Beispiel der Industriestandards S/MIME (E-Mail-Verschlüsselung) und PDF-Sicherheit wollen wir aufzeigen, dass Angriffe verallgemeinert werden können und ein Umdenken in Richtung einer ganzheitlichen Betrachtung von Anwendungen erforderlich ist, um die Sicherheit dieser Anwendungen auch in Zukunft zu garantieren.

Kurzbiographie:

Prof. Dr. Jörg Schwenk leitet den Lehrstuhl Netz- und Datensicherheit an der Ruhr-Universität Bochum seit dem Jahr 2003. Von 1993 bis 2001 arbeitete er im Bereich Sicherheit der Deutschen Telekom in verschiedenen Industrieprojekten. Anschließend lehrte er zwei Jahre lang an der Technischen Hochschule Nürnberg Georg Simon Ohm. Er ist Autor von mehr als 60 Patenten und mehr als 100 wissenschaftlichen Publikationen. Seine Forschungsinteressen umfassen kryptographische Protokolle (SSL/TLS, IPSec, SSH, Kerberos), die Sicherheit kryptographischer Datenformate (OpenPGP, S/MIME, XML, JSON, PDF), sowie Web- und Internetsicherheit (XSS, Same-Origin-Policy).

"Developers are not the enemy! – On usability issues for secure software development."

Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade, researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers. Heartbleed and Shellshock were both caused by single developers yet had global consequences. Fundamentally, every software vulnerability is caused by developers making a mistake, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore usable security concepts for developers focusing on secure password storage and usability issues of software analysis. 

Kurzbiographie:

Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn and Fraunhofer FKIE. His research is focused on human factors of security and privacy with a wide range of application areas. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. Matthew Smith is also actively involved in the organisation of top academic conferences and is serving on the steering committees of SOUPS, USEC and EuroUSEC as well as serving as program co-chair for SOUPS 2016 and 2017 and program co-chair for IEEE EuroS&P 2017 and 2018. In 2017 he co-founded the start-up Code Intelligence to help companies integrate cutting edge, developer friendly dynamic software testing into their software development lifecycle.