Ref­er­ent*innen beim 18. Pader­borner Tag der IT-Sich­er­heit

Kurzvorstellung unserer Referent*innen beim 18. Paderborner Tag der IT-Sicherheit (in alphabetischer Reihenfolge):

Key­notes & Vorträge

"Researchers‘ experiences with vulnerability disclosures" (Vortrag gemeinsam mit Prof. Dr. Juraj Somorovsky)

Vulnerabilities are becoming more and more prevalent in scientific research. Researchers usually wish to publish their research and, before that, have the vulnerabilities acknowledged and fixed, contributing to a secure digital world. However, the vulnerability disclosure process is fraught with obstacles, and handling vulnerabilities is challenging as it involves several parties (vendors, companies, customers, and community). We want to shed light on the vulnerability disclosure process and develop guidelines and best practices, serving vulnerability researchers as well as the affected parties for better collaboration in disclosing and fixing vulnerabilities.

We collected more than 1900 research papers published at major scientific security conferences and analyzed how disclosures are reported, finding inconsistent reporting, as well as spotty acknowledgments and fixes by affected parties. We then conducted semi-structured interviews with 21 security researchers with a broad range of expertise who published their work at scientific security conferences and qualitatively analyzed the interviews.

We discovered that the main problem starts with even finding the proper contact to disclose. Bug bounty programs or general-purpose contact email addresses, often staffed by AI or untrained personnel, posed obstacles to timely and effective reporting of vulnerabilities. 

Experiences with CERT (entities supposed to help notify affected parties and facilitate coordinated fixing of vulnerabilities) were inconsistent, some extremely positive, some disappointing. Our interviewees further talked about lawsuits and public accusations from the vendors, developers, colleagues, or even the research community. Successful disclosures often hinge on researcher experience and personal contacts, which poses personal and professional risks to newer researchers.

We're working on making our collected best practices and common pitfalls more widely known both to researchers and industry, for more cooperative disclosure experiences, also in light of new reporting requirements for industry introduced by the Cyber Resilience Act. 

Kurzbiographie:

Yasemin Acar (she/her) is a professor of computer science at Paderborn University, Germany, and a research assistant professor at The George Washington University. She focuses on human factors in computer security. Her research centers humans, their comprehension, behaviors, wishes and needs. She aims to better understand how software can enhance users’ lives without putting their data at risk. Her recent focus has been on human factors in secure development, investigating how to help software developers implement secure software development practices. Her research has shown that working with developers on these issues can resolve problems before they ever affect end users. Her research has won distinguished paper awards at IEEE Security and Privacy and USENIX Security, as well as a NSA best cyber security paper competition. Her web page: https://yaseminacar.de

Keynote: "A decade probing the Brazilian voting system"

This talk summarizes several years of work analyzing the security of the voting software used in Brazilian elections by more than 140 million voters. It is mainly based on results obtained in restricted hacking challenges organized by the Superior Electoral Court (SEC), the national electoral authority. In such occasions, multiple serious vulnerabilities (hard-coded cryptographic keys and insufficient integrity checks, among others) were detected in the voting software, which when combined compromised the main security properties of the equipment, namely ballot secrecy and software integrity. We trace the history of the vulnerabilities, providing some perspective about how the system evolved and what the future may hold. As far as we know, this was the most in-depth compromise of an official large-scale voting system ever performed under such severely restricted conditions.

Short Biography:

Diego F. Aranha is an Associate Professor in the Department of Computer Science at Aarhus University. His professional experience is in Cryptography and Computer Security, with a special interest in the efficient implementation of cryptographic algorithms and security analysis of real-world systems. He received the Google Latin America Research Award for research on privacy twice, and the MIT TechReview's Innovators Under 35 Brazil Award for his work in electronic voting.

Keynote: "Wie sich die zukünftige Regulierung auf die Arbeit von Product Security Teams auswirkt"

Die Umsetzung der kommenden Regulierung u. a. in Form von RED DA und CRA wird speziell für Product Security Teams zu einer Herausforderung. Die gesetzlichen Anforderungen und Standards sind allgemein gehalten und mit einer Vielzahl an Ausnahmeregelungen versehen.  Aus unternehmerischer Sicht ist dies sinnvoll, zwingt Security Bereiche aber zu einem Balanceakt zwischen wirtschaftlichem Interesse, selbst gesetzten Sicherheitsstandards und Interpretation und Erfüllung von gesetzlichen Anforderungen.

Dieser Vortrag diskutiert die sich aus der Regulierung ergebenden Anforderungen und Fragestellungen und zeigt, warum Threat Modelling und Risikomanagement Prozesse bei der Beantwortung eine wichtige Rolle spielen. Denn richtig implementiert, können Security Teams damit für alle Stakeholder transparent darstellen, welche Risiken zu minimieren sind, mit welchen Maßnahmen dies erfolgen sollte und warum dadurch auch die gesetzlichen Anforderungen erfüllt werden können.

Hierzu werden einige Beispiele aufgeführt, die zeigen wie Threat Modelling und Risikomanagement Prozesse in der Produktentwicklung bei Miele umgesetzt werden.

Kurzbiographie:

Stefan Korff, M.Sc. ist seit 2017 bei der Miele & Cie. KG beschäftigt und Leiter des Product Security & Privacy Teams. Sein Team und er beschäftigen sich dabei für die Miele Gruppe mit Security und Datenschutz Fragestellungen, die im Rahmen des gesamten Produktlebenszyklus eine Rolle spielen. Mit vorherigen Stationen in der Automotive Industrie verfügt Herr Korff über mehr als 10 Jahren Praxiserfahrung in den Bereichen IT- und Product-Security. An der Uni Münster forschte Herr Korff bis 2013 zum Thema Usable Security & Privacy. Darüber hinaus wirkt er in unterschiedlichen Industriearbeitsgruppen, Forschungsprojekten und Standardisierungsgremien zum Thema IoT-, OT-, Medical Device-Security mit.

"Zwischen Theorie und Praxis: Cybersicherheit in kleinen und mittleren Unternehmen"

In Nordrhein-Westfalen gibt es rund 700.000 kleine und mittlere Unternehmen (KMU), die gemeinsam einen Umsatz von 550,54 Milliarden Euro erwirtschaften. Doch wie steht es um ihre Cybersicherheit? In ihrem Vortrag präsentiert Lena Nienstedt von DIGITAL.SICHER.NRW aktuelle Studienergebnisse, die das Kompetenzzentrum für Cybersicherheit zusammen mit der G DATA CyberDefense veröffentlichte.

Die Neuauswertung der Studie zeigt, dass KMU im Vergleich zu größeren Unternehmen weniger häufig konkrete Cybersicherheitsmaßnahmen im Berufsalltag umsetzen. Beispielsweise verwendet weniger als die Hälfte der Mitarbeitenden sichere Passwörter, und zwei Drittel prüfen eingehende E-Mails nicht auf Phishing – dabei werden Unternehmen im digitalen Raum am häufigsten auf diese Art angegriffen. Der Vortrag bietet neben der Vorstellung der Studienergebnisse auch Einblicke in die praktischen Erfahrungen von DIGITAL.SICHER.NRW aus der täglichen Arbeit mit Unternehmen. Dabei wird auf die spezifischen Herausforderungen eingegangen, die sich im Arbeitsalltag in Bezug auf digitale Sicherheit ergeben. Der Vortrag richtet sich an alle, die ein tieferes Verständnis für die Cybersicherheitslage in KMU gewinnen und praxistaugliche Lösungsansätze kennenlernen möchten.

Kurzbiographie:

Lena Nienstedt studiert im Master Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen. Im Rahmen ihres Studiums setzt sie sich intensiv sowohl mit bekannten als auch mit neuen Themen der IT-Sicherheit und der Digitalisierung auseinander. Zuletzt war sie für ein Entwicklungsprojekt am Institut für Internet-Sicherheit angestellt, bei dem sie sich mit passwortloser Authentifizierung beschäftigte. Heute arbeitet sie als Beraterin für digitale Sicherheit bei DIGITAL.SICHER.NRW und informiert zum Thema vor allem praxisnah, um digitale Sicherheit im Betrieb zur Selbstverständlichkeit zu machen.

 

"Ende zu Ende gedacht: Niederschwellige IT-Sicherheit für industrielle Netzwerke" (Vortrag gemeinsam mit Dr. Claudia Priesterjahn, achelos GmbH)

In der Produktion vollzieht sich ein Wandel hin zu hochautomatisierten, vernetzten und intelligenten Produktionsumgebungen. Das hat zu einem tiefgreifenden Wandel in den operativen Technologien und den industriellen Prozessen geführt. Infolge der industriellen Digitalisierung hat die Anzahl der Geräte mit Maschine-zu-Maschine-Kommunikation rapide zugenommen. Nach dem Cisco Annual Internet Report wurden von 2018 bis 2023 ca. 10 Milliarden neue Geräte in Netzwerke eingebunden. Mit zunehmender Vernetzung und Automatisierung sind auch industrielle Umgebungen immer stärker von Cyber-Angriffen bedroht. Dabei ist nicht nur die Produktion betroffen, sondern ganze Lieferketten. Als zusätzliche Rahmenbedingung verpflichtet u.a. der Cyber Resilience Act Hersteller zur Absicherung ihrer Komponenten. Auch Betreiber sind dazu verpflichtet, wenn sie z.B. nach IEC 62443 vorgehen möchten. Deshalb gewinnt die Gewährleistung der IT-Sicherheit enorm an Bedeutung.

Dabei ist die Basis für eine sichere Kommunikation mit solchen Geräten der Einsatz digitaler Identitäten und deren Verwendungsmöglichkeiten, wie sie in Standards wie OPC UA und IEC 62443 beschrieben sind. Maschinenidentitäten spielen eine entscheidende Rolle beim Aufbau von Sicherheit und Integrität für Kommunikation und Daten in industriellen Netzwerken. Sie ermöglichen die Authentifizierung, die Validierung von Software, den Nachweis der Herkunft von Komponenten und die Schaffung einer sicheren Rückverfolgbarkeit. Damit ermöglichen digitale Identitäten die Herstellung von Vertrauen zwischen Herstellern und Betreibern.

Allerdings sind die Einführung und Verwaltung von digitalen Identitäten industriellen Umgebungen aktuell noch kompliziert. Für diese Umgebungen gelten spezifische Einschränkungen wie z.B. eine starke Netzwerksegmentierung, eingeschränkte Konnektivität oder begrenzte Hardware- und Software-Ressourcen. Ein zentrales Problem ist, dass Hersteller und Betreiber von Maschinen häufig nicht über die erforderlichen Kompetenzen verfügen, um eigenständig komplexe Sicherheitskonzepte zu erstellen und umzusetzen. Die Folge sind Fehlkonfigurationen und Fehlbedienungen, die zu Sicherheitsrisiken im laufenden Betrieb führen können.

Mit dem vom BMBF geförderten Forschungsprojekt Trustpoint entwickeln wir eine niederschwellige Lösung zur sicheren Orchestrierung und Verwaltung von digitalen Identitäten in industriellen Umgebungen. Trustpoint ermöglicht eine nahtlose und vertrauenswürdige Kommunikation zwischen verschiedenen Akteuren entlang der Wertschöpfungskette durch die Schaffung eines Vertrauensankers (Trustpoint). Das Ziel des Forschungsprojekts Trustpoint besteht darin, komplexe Prozesse und Mechanismen so zu abstrahieren, dass Hersteller und Betreiber Maschinen und Geräte sicher in ihre Netzwerke integrieren und betreiben können.

Industrielle Umgebungen erfordern innovative Ansätze, um digitale Identitäten von Maschinen und Komponenten sicher zu verwalten. Vor diesem Hintergrund bietet Trustpoint ein skalierbares Konzept, das sowohl ein benutzergesteuertes Onboarding als auch automatisiertes Zero-Touch-Onboarding umfasst. Dieses Konzept soll es Herstellern und Betreibern einfacher machen, den Herausforderungen der dynamischen Industrielandschaft gerecht zu werden und eine flexible Lösung für die Integration von Geräten in komplexe Netzwerke bieten.

Trustpoint wird im Rahmen eines Open Source Software Stacks frei verfügbar gemacht.

Kurzbiographie:

Seit 1994 arbeitet Prof. Pelzl im Gebiet der IT-Sicherheit. 1997 erhielt er von Bosch Telecom sein Abschlusszeugnis als Telekommunikationstechniker. Seit 1999 arbeitet Prof. Pelzl im Bereich der eingebetteten IT-Sicherheit. Er setzte erfolgreich viele nationale und internationale Projekte um und gab zahlreiche relevante Publikationen bei renommierten internationalen Tagungen und Fachzeitschriften heraus. In der Forschung untersuchte Jan Pelzl die praktischen Aspekte der angewandten Kryptographie und Kryptanalyse bei elliptischen Kurven. Prof. Pelzl ist freiberuflich im Bereich der IT-Sicherheit tätig und Mitgründer der InduSec – einem Unternehmen mit Fokus auf industrieller IT-Sicherheit. Jan Pelzl ist Autor von „Understanding Cryptography“, eines der führenden Lehrbücher für Kryptographie, welches an über 400 Universitäten und Hochschulen in Lehre und Forschung eingesetzt wird. Prof. Pelzl war von 2007 bis 2014 technischer Geschäftsführer der ESCRYPT GmbH, einer Tochtergesellschaft der Robert Bosch GmbH. Seit dem 1.1.2015 hat Prof. Pelzl die Professur für Computer Security an der Hochschule Hamm-Lippstadt inne. Seine Forschungsschwerpunkte liegen in dem Bereich der Embedded Security und Cyber Security, insbesondere Automation, Automotive und Medical.
Kontakt:
jan.pelzl@hshl.de

"Ende zu Ende gedacht: Niederschwellige IT-Sicherheit für industrielle Netzwerke" (Vortrag gemeinsam mit Prof. Dr.-Ing. Jan Pelzl, Hochschule Hamm-Lippstadt)

In der Produktion vollzieht sich ein Wandel hin zu hochautomatisierten, vernetzten und intelligenten Produktionsumgebungen. Das hat zu einem tiefgreifenden Wandel in den operativen Technologien und den industriellen Prozessen geführt. Infolge der industriellen Digitalisierung hat die Anzahl der Geräte mit Maschine-zu-Maschine-Kommunikation rapide zugenommen. Nach dem Cisco Annual Internet Report wurden von 2018 bis 2023 ca. 10 Milliarden neue Geräte in Netzwerke eingebunden. Mit zunehmender Vernetzung und Automatisierung sind auch industrielle Umgebungen immer stärker von Cyber-Angriffen bedroht. Dabei ist nicht nur die Produktion betroffen, sondern ganze Lieferketten. Als zusätzliche Rahmenbedingung verpflichtet u.a. der Cyber Resilience Act Hersteller zur Absicherung ihrer Komponenten. Auch Betreiber sind dazu verpflichtet, wenn sie z.B. nach IEC 62443 vorgehen möchten. Deshalb gewinnt die Gewährleistung der IT-Sicherheit enorm an Bedeutung.

Dabei ist die Basis für eine sichere Kommunikation mit solchen Geräten der Einsatz digitaler Identitäten und deren Verwendungsmöglichkeiten, wie sie in Standards wie OPC UA und IEC 62443 beschrieben sind. Maschinenidentitäten spielen eine entscheidende Rolle beim Aufbau von Sicherheit und Integrität für Kommunikation und Daten in industriellen Netzwerken. Sie ermöglichen die Authentifizierung, die Validierung von Software, den Nachweis der Herkunft von Komponenten und die Schaffung einer sicheren Rückverfolgbarkeit. Damit ermöglichen digitale Identitäten die Herstellung von Vertrauen zwischen Herstellern und Betreibern.

Allerdings sind die Einführung und Verwaltung von digitalen Identitäten industriellen Umgebungen aktuell noch kompliziert. Für diese Umgebungen gelten spezifische Einschränkungen wie z.B. eine starke Netzwerksegmentierung, eingeschränkte Konnektivität oder begrenzte Hardware- und Software-Ressourcen. Ein zentrales Problem ist, dass Hersteller und Betreiber von Maschinen häufig nicht über die erforderlichen Kompetenzen verfügen, um eigenständig komplexe Sicherheitskonzepte zu erstellen und umzusetzen. Die Folge sind Fehlkonfigurationen und Fehlbedienungen, die zu Sicherheitsrisiken im laufenden Betrieb führen können.

Mit dem vom BMBF geförderten Forschungsprojekt Trustpoint entwickeln wir eine niederschwellige Lösung zur sicheren Orchestrierung und Verwaltung von digitalen Identitäten in industriellen Umgebungen. Trustpoint ermöglicht eine nahtlose und vertrauenswürdige Kommunikation zwischen verschiedenen Akteuren entlang der Wertschöpfungskette durch die Schaffung eines Vertrauensankers (Trustpoint). Das Ziel des Forschungsprojekts Trustpoint besteht darin, komplexe Prozesse und Mechanismen so zu abstrahieren, dass Hersteller und Betreiber Maschinen und Geräte sicher in ihre Netzwerke integrieren und betreiben können.

Industrielle Umgebungen erfordern innovative Ansätze, um digitale Identitäten von Maschinen und Komponenten sicher zu verwalten. Vor diesem Hintergrund bietet Trustpoint ein skalierbares Konzept, das sowohl ein benutzergesteuertes Onboarding als auch automatisiertes Zero-Touch-Onboarding umfasst. Dieses Konzept soll es Herstellern und Betreibern einfacher machen, den Herausforderungen der dynamischen Industrielandschaft gerecht zu werden und eine flexible Lösung für die Integration von Geräten in komplexe Netzwerke bieten.

Trustpoint wird im Rahmen eines Open Source Software Stacks frei verfügbar gemacht.

Kurzbiographie:

Als promovierte Informatikerin hat Claudia Priesterjahn mehr als 15 Jahre Erfahrung im Software-Engineering und der IT-Security sowohl in der angewandten Forschung als auch der Industrie. Seit 2018 ist sie bei der achelos GmbH in Paderborn tätig, einem Systemhaus für Cybersicherheit und digitales Identitätsmanagement, und seit 2023 Team Lead für den Bereich eHealth. Als Expertin konzentriert sie sich auf kryptografische und technische Lösungen für sicherheitskritische Anwendungsbereiche und ist verantwortlich für die Forschungsprojekte der achelos.

"Anatomie eines Dammbruchs - Log4J, Supply Chain Security und die OWASP Cheat Sheets"

Authors: Dietmar Rosenthal1, Niko Hardt1, Markus Wagner1, Alexandra Gilsbach1, Marcus Krechel1.

1TÜV Informationstechnik GmbH (TÜVIT), IT Security Evaluation and Validation, Am TÜV 1, 45307 Essen

Verlässlich etwa ein- bis zweimal jährlich wird eine bedeutende Sicherheitslücke veröffentlicht, wie etwa log4j, oder zuletzt die Hintertür in der SSH-Komponente xzutils. Der erste Impuls für IT-User und Professionals ist zumeist, nachzuforschen, ob die betroffene Open Source (OS) Library im eigenen Produkt eingesetzt wird. Das hat Software Composition Analysis und Supply Chain Security innerhalb kürzester Zeit zum Goldstandard für Schwachstellenmanagement in OS-Libraries gemacht.

Aber ist der erste Impuls auch der richtige? In diesem Vortrag wird anhand von log4j und anderen prominenten Schwachstellen nachvollzogen, dass schon durch die konsequente Anwendung der OWASP Cheat Sheets – eine Art Sammlung von Kochrezepten, die typische Sicherheitslücken verhindern – vermieden wird, dass diese Schwächen von einem Angreifer auch ausgenutzt werden können.

Die Schlussfolgerung ist, dass konsequente Härtung nach Stand der Technik nicht nur vor bekannten, sondern mit einiger Wahrscheinlichkeit auch vor den nächsten, noch unbekannten Schwachstellen schützt. Hier setzen IT-Sicherheitszertifizierungen an: Sie überprüfen, ob Hersteller die gute Praxis für die Härtung von IT-Produkten kennen und anwenden - und bieten so einige Sicherheit, dass auch die nächste bekannte Schwachstelle nicht zu einem Totalausfall führt – und der Damm erst gar nicht einreißt.

References

[1]

MITRE CVE List, https://cve.mitre.org/cve/

[2]

Wirth, A. (2022). Log Jam: Lesson Learned from the Log4Shell Vulnerability. Biomedical Instrumentation & Technology, 56(3), 72-76.

[3]

Imtiaz, N., Thorn, S., & Williams, L. (2021, October). A comparative study of vulnerability reporting by software composition analysis tools. In Proceedings of the 15th ACM/IEEE International Symposium on Empirical Software Engineering and Measurement (ESEM) (pp. 1-11).

[4]

OWASP Cheet Sheet Series, https://cheatsheetseries.owasp.org/index.html

 

Kurzbiographie:

Dietmar Rosenthal is currently technical lead source code analysis and consultant – evaluator IT security with TÜV Informationstechnik (TÜViT). He aided in the CC-certification of products ranging from eHealth terminals and -connectors to smart metering devices.

Before Dr. Rosenthal joined TÜViT in 2016, he developed imaging techniques for clinical gait analysis, and co-authored more than 20 full paper in neuro-rehabilitation and movement disorders.

With TÜViT, he specializes in security by design, as well as implementation analysis of cryptographic mechanisms.

"JESS: Präzise Erkennung von Sicherheitslücken in Open-Source-Abhängigkeiten"

Aufgrund der allgegenwärtigen Präsenz von Open-Source-Abhängigkeiten in modernen Softwareprojekten ist der Einsatz von Dependency Scannern, die versuchen, verwundbare Abhängigkeiten zu erkennen, heutzutage weit verbreitet. Die meisten Dependency Scanner analysieren dabei Metadaten, um verwundbare Abhängigkeiten zu erkennen. Diese Abhängigkeit von Metadaten ist jedoch dafür bekannt, problematisch zu sein, da sie viele Ungenauigkeiten einführt und in einigen Fällen sogar dazu führt, dass verwundbare Abhängigkeiten überhaupt nicht erkannt werden. Aus diesem Grund haben Forscher code-zentrierte Ansätze entwickelt, die darauf abzielen, direkt den Code der enthaltenen Abhängigkeiten nach Patches zu durchsuchen. Abhängigkeiten werden jedoch im Fall von Java als Binärdateien (Bytecode) eingebunden, während Informationen über Sicherheits-Patches typischerweise in Form von Fix-Commits in den jeweiligen Quellcode-Repositories der Projekte bereitgestellt werden. Zudem gestaltet sich das automatische Kompilieren ganzer Java-Projekte zu Bytecode häufig schwierig oder sogar unmöglich, insbesondere für nicht-aktuelle Versionen des Codes. Dies stellt eine erhebliche Herausforderung für code-zentrierte Ansätze dar, da sie den Bytecode des Fixes nicht einfach abrufen können und daher einen fehleranfälligen Vergleich von Quellcode zu Bytecode durchführen müssen, um verwundbare Abhängigkeiten zu erkennen.

In dieser Präsentation stellen wir daher JESS vor, einen Ansatz, der die Kompilierungsprobleme weitgehend vermeidet, indem er ausschließlich den relevanten Code kompiliert, der innerhalb eines bestimmten Commits geändert wurde. JESS reduziert den Code und behält nur die Teile bei, auf die sich die Änderung bezieht. Um Auflösungsfehler zu vermeiden, generiert JESS zusätzliche Platzhalter für Referenzen, die dem Compiler nicht zur Verfügung stehen. Die Herausforderung von JESS besteht vor allem darin, dass JESS, um die oben erwähnte Wiedererkennung zu ermöglichen, Bytecode erzeugen muss, der dem Bytecode einer vollständigen Kompilierung nahezu identisch ist.

"Researchers‘ experiences with vulnerability disclosures" (Vortrag gemeinsam mit Prof. Dr. Yasemin Acar)

Vulnerabilities are becoming more and more prevalent in scientific research. Researchers usually wish to publish their research and, before that, have the vulnerabilities acknowledged and fixed, contributing to a secure digital world. However, the vulnerability disclosure process is fraught with obstacles, and handling vulnerabilities is challenging as it involves several parties (vendors, companies, customers, and community). We want to shed light on the vulnerability disclosure process and develop guidelines and best practices, serving vulnerability researchers as well as the affected parties for better collaboration in disclosing and fixing vulnerabilities.

We collected more than 1900 research papers published at major scientific security conferences and analyzed how disclosures are reported, finding inconsistent reporting, as well as spotty acknowledgments and fixes by affected parties. We then conducted semi-structured interviews with 21 security researchers with a broad range of expertise who published their work at scientific security conferences and qualitatively analyzed the interviews.

We discovered that the main problem starts with even finding the proper contact to disclose. Bug bounty programs or general-purpose contact email addresses, often staffed by AI or untrained personnel, posed obstacles to timely and effective reporting of vulnerabilities. 

Experiences with CERT (entities supposed to help notify affected parties and facilitate coordinated fixing of vulnerabilities) were inconsistent, some extremely positive, some disappointing. Our interviewees further talked about lawsuits and public accusations from the vendors, developers, colleagues, or even the research community. Successful disclosures often hinge on researcher experience and personal contacts, which poses personal and professional risks to newer researchers.

We're working on making our collected best practices and common pitfalls more widely known both to researchers and industry, for more cooperative disclosure experiences, also in light of new reporting requirements for industry introduced by the Cyber Resilience Act. 

Kurzbiographie:

Juraj Somorovsky ist Professor für Systemsicherheit an der Universität Paderborn und Mitgründer von Hackmanit. Seine Forschung konzentriert sich auf die Sicherheitsanalysen von kryptographischen Protokollen (z.B. Transport Layer Security oder S/MIME). Mit seiner Gruppe analysiert er systematisch potentielle Protokoll-Schwachstellen und entwickelt Werkzeuge, um sie zu identifizieren und zu beheben. Ein Beispiel ist ein Tool zur flexiblen Analyse von TLS-Bibliotheken: TLS-Attacker.

"Hackonomics: Das Geschäftsmodell hinter Cyberangriffen"

Cyberangriffe gehören mittlerweile zum Tagesgeschäft – sowohl für Unternehmen als auch für die Angreifer. In diesem Vortrag beleuchtet Prof. Simon Trang die ökonomischen Konsequenzen von Cyberangriffen und die dahinterliegenden Geschäftsmodelle. Er zeigt auf, welche Methoden und Techniken Hacker anwenden, um möglichst viel Geld von den betroffenen Unternehmen zu erbeuten. Zudem erklärt er, wie Unternehmen die finanziellen Auswirkungen von Cybersicherheitsbedrohungen monetär bewerten können, um im Rahmen eines effektiven Informationssicherheitsmanagements kosteneffiziente IT-Sicherheitsmaßnahmen zu implementieren.

Kurzbiographie:

Simon Trang ist Professor im Department für Wirtschaftsinformatik an der Universität Paderborn und Mitglied des Kompetenzbereichs Digital Security am Software Innovation Campus Paderborn. In seiner Forschung beschäftigt er sich mit ökonomischen Effekten der Informationssicherheit, Methoden des Informationssicherheitsmanagements sowie Fragestellungen der IT-Sicherheits-Awareness. Als Verbundkoordinator leitet er zahlreiche Bundesprojekte (u.a. BMBF, BMWK, BMG) zu aktuellen Themen wie NIS2, Cybersicherheitsstrategien und der Messung von IT-Sicherheits-Kompetenzen.

Work­shops

"Modernisierung eines Online-Identity- und Access-Managements"

Die digitale Welt ist seit längerem im Umbruch - insbesondere in den Themen Cloud-Architektur sowie der Abbildung von digital handelnden Personen. Einher geht damit, dass Software-Produkte, kommerziell oder OpenSource, ihre bestehenden Lösungen auf Cloud-Native ausrichten oder diese somit nur noch als Service in der Cloud anbieten. Damit ist ein gewohnter Upgrade-Pfad der letzten Jahre am Ende.

Zum anderen treffen fachliche Anforderungen von außen auf eine behördliche Organisation, die konzeptionell bisher nicht im gleichen Sonnensystem kreisten. Anforderungen wie z.B.  dass JEDER Kunde, sei es ein Unternehmen oder Privatpersonen, einer deutschen Behörde digital vertrauensvoll angebotene Dienste nutzen soll. Dies eröffnet sofort ein Spannungsfeld zwischen Nutzbarkeit und notwendiger Sicherheit je nach angebotener Verwaltungsleistung.

Im privat wirtschaftlichen Bereich stellt sich diese Herausforderung vielleicht nicht als allzu große Nummer dar, nach dem Motto: Nutzen doch alle Facebook oder Google-Accounts, bedeutet das aber im Kontext einer öffentlichen Verwaltung eine gewaltige Herausforderung.

Dieser Beitrag erläutert, welche Herausforderungen unter behördlichen Rahmenbedingungen gelöst werden müssen, um ein bestehendes Identitäts- und Accessmanagement-System abzulösen und dieses während des Betriebs in eine neue Cloud-Architektur zu überführen.

In diesem Makro-Architektur-Beitrag erläutert der Referent die strategische Architekturausrichtung, die notwendigen fachlichen, technischen und organisatorischen Konzepte und berichtet über die Einführung des skizzierten IAM-Systems.

Unter anderem werden dabei starke Einflussfaktoren wie BSI-Richtlinien, Wetterereignisse, noch nicht ausreichende technische Standards sowie die Integration von behördlich als vertrauenswürdig eingestuften Identitäts- und Authentifizierungsverfahren eines KRITIS-Systems dargestellt.

Eine Darstellung der Produktentscheidung für die Kernfunktionen in Form von Keycloak und daraus folgenden weiterreichenden technischen Herausforderungen runden den Beitrag ab.

Kurzbiographie:

Als Gründer und kreativer Kopf der enpit GmbH & Co. KG ist Ulrich Gerkmann-Bartels als Enterprise-Architekt, Berater, Trainer und Innovationstreiber unterwegs und bringt dabei die Fachbereiche IT und User Experience von Unternehmen jeder Größe zusammen. Als Lead-Architekt und Berater bringt er Erfahrungen aus Großprojekten in unterschiedlichen Branchen mit, zuletzt mit besonderem Fokus auf Behördenkontexte. Seine Expertise umfasst die Fähigkeit, Großprojekte aus technischer Sicht als Lead Architect und Enabler mit crossfunktionalen Teams umzusetzen. Seine Erfahrungen gibt er gerne auf Konferenzen und in Netzwerken weiter.

Mehr über Ulrich Gerkmann-Bartels und seine Arbeit findet sich auf der Website der enpit GmbH & Co. KG: enpit.de oder auf seinem persönlichen LinkedIn-Profil: https://www.linkedin.com/in/ulrich-gerkmann-bartels-4a501519/

"Quo Vadis Cybersecurity Awareness"

Cybersecurity Awareness is a critical yet contentious topic in both academia and industry, particularly regarding the efficacy of phishing campaigns and awareness events. This talk will delve into the current landscape of cybersecurity awareness, focusing on the information users receive from various channels. We will explore two key dimensions: (1) the communication strategies of government bodies towards their audiences, and (2) users' risk perception and decision-making processes. Our discussion will present findings from a systematic study of official cybersecurity communications through the lens of Protection Motivation Theory (PMT). Additionally, we will examine results from a user study on risk perception and risk-taking behavior, also grounded in PMT.

Kurzbiographie:

Prof. Dr. Matteo Große-Kampmann earned his Ph.D. in 2022 through a cooperative program at the Faculty of Electrical Engineering and Information Technology at Ruhr University Bochum and the Westphalian University of Applied Sciences. Professionally, Große-Kampmann gained extensive experience as Managing Director of AWARE7 GmbH, a cybersecurity company that he co-founded with Chris Wojzechowski, growing it from 2 to 45 employees. Currently, Mr. Große-Kampmann is involved in research and development at AWARE7. Since September 2023, Matteo Große-Kampmann has been a Professor of Distributed Systems at Rhine-Waal University of Applied Sciences. His research focuses on information security and privacy in the field of connected systems. Mr. Große-Kampmann is an associate member of the North Rhine-Westphalia Graduate School and promotes teaching and research at universities of applied sciences.

"Herausforderung NIS2: Was von Unternehmen erwartet wird und wie sie den Anforderungen begegnen können"

In der heutigen Zeit, wo digitale Prozesse und Dienste das Herzstück vieler Geschäftsmodelle sind, ist Cyber Security nicht mehr nur eine technische Notwendigkeit, sondern eine grundlegende Geschäftsanforderung. Mit der Einführung der NIS2-Richtlinie reagiert die Europäische Union auf die steigenden Cyber Bedrohungen, die Unternehmen aller Größen und Branchen betreffen. Diese überarbeitete Richtlinie stellt eine erhebliche Verschärfung der bisherigen Vorschriften dar und zielt darauf ab, ein höheres Maß an Sicherheit für Netzwerke und Informationssysteme zu gewährleisten.

Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen deutlich und stellt neue, strengere Anforderungen an deren Sicherheitspraktiken. Für Unternehmen bedeutet dies nicht nur die Einhaltung neuer Vorschriften, sondern auch die Chance, ihre Widerstandsfähigkeit gegen Cyberangriffe zu stärken und das Vertrauen ihrer Kunden und Partner zu festigen. In diesem Kontext werden wir untersuchen, was genau von Unternehmen erwartet wird und wie sie die Herausforderungen der NIS2-Richtlinie effektiv meistern können, um nicht nur regulatorisch konform zu sein.

Kurzbiographie:

Dimitrij Kochanow, Projektreferent für FitNIS2 von Deutschland sicher im Netz e.V. und ein Informationssicherheitsberater aus Nürnberg, steht für technische Versiertheit und Engagement in IT-Sicherheitsberatung und Innovation. Aktuell strebt er einen Master in Cyber- & IT-Security an der DBU Hochschule in Berlin an. In seiner Karriere hat er sich intensiv um die Betreuung und Weiterentwicklung von Großkunden im Bereich IT-Sicherheitsmanagement gekümmert. Zu seinen Spezialgebieten zählen die Anpassung und Implementierung von Sicherheitskonzepten nach ISO27001, die Ausarbeitung von IT-Sicherheitsstrategien und das Management von Risikoanalysen. Neben seinen beruflichen Tätigkeiten engagiert sich Dimitrij ehrenamtlich als Digitaler Ersthelfer beim Bundesamt für Sicherheit in der Informationstechnik.

„Können Ihre Mitarbeitenden den nächsten Cyberangriff abwehren? Der Test und Weg zur starken Human Firewall“

Kürzliche Cyber-Angriffe haben eindrucksvoll gezeigt, dass die Mitarbeitenden die zentrale Schwachstelle sind, über die im Jahr 2022 sogar 82 % der Cyber-Angriffe realisiert wurden. Somit ist es für Unternehmen von höchster Relevanz, ihre Mitarbeitenden gezielt auf die Cyber-Angriff-Abwehr zu schulen. Viele Unternehmen versuchen, diese Relevanz bereits durch den Einsatz von Cybersecurity-Maßnahmen zu adressieren und geben hierfür im Jahr durchschnittlich 142 EUR pro Mitarbeitenden aus. Dennoch ist die Zahl der Cyber-Angriffe steigend.

Dadurch lässt sich ableiten, dass die von Unternehmen eingesetzten Trainingsmaßnahnamen nicht die gewünschten Trainingserfolge erzielen. Gründe hierfür sind die fehlende Passgenauigkeit sowie eine fehlende Nachhaltigkeit in der Sensibilisierung der Mitarbeitenden. Dies ist unter anderem darauf zurückzuführen, dass die auf dem Markt verfügbaren Trainings häufig unzureichend die Anforderungen spezifischer Branchen, Organisationsarten/-größen sowie Berufsbilder berücksichtigen.

Im Rahmen dieses Workshops zeigt die Referentin auf, wie der Trainingsbedarf von Mitarbeitenden mittels IT-Sicherheitskompetenztests gezielter bestimmt werden kann und wie ITSicherheitstrainings somit nachhaltig gestaltet werden. Insbesondere für Entscheidungsträger in KMUs werden Lösungen vorgestellt, um die individuellen Informationssicherheitsfähigkeiten Ihrer Mitarbeitenden zu erheben und diese zielgerichtet zu schulen. Die passgenaue Auswahl von IT-Sicherheitstrainingsmaßnahmen auf Basis der Vorqualifikation und Stellenanforderung der einzelnen Mitarbeitenden kann dabei zur Effizienz- und Effektivitätssteigerung im Bereich IT-Sicherheit der jeweiligen Organisationen beitragen.

Kurzbiographie:

Dr. Kristin Masuch ist Leiterin der Forschungsgruppe „Enterprise Cybersecurity” an der Georg-August-Universität in Göttingen und zertifizierte ISO/IEC 27001 Practitioner. Weiterhin leitet sie die Projekte „KISK” und „ITS.kompetent“, welche das Ziel verfolgen innovative und nachhaltige Cybersecurity-Messung und -Maßnahmen für KMUs und Krankenhäuser zu entwickeln. Ihre Promotion, die sich mit Krisenstrategien nach einem Data Breach beschäftigte, schloss Sie im Jahr 2022 ab. Ihre aktuellen Forschungsschwerpunkte sind das Crisis Management, die Disaster Recovery Strategies und die innovativen „Security, Training, Awareness, and Education” (SETA) Maßnahmen. Zusätzlich ist sie freiberuflich in Beratungsprojekten tätig, in denen individuelle und zielgerichtete Cybersecurity-Maßnahmen entwickelt werden.

An­s­prech­part­ner In­halte

business-card image

Dr. Simon Oberthür

Software Innovation Campus Paderborn (SICP)

R&D Manager - Digital Security

Write email +49 5251 60-6822

An­s­prech­part­ner­in Or­gan­isa­tion

business-card image

Gabriele Stall

Software Innovation Campus Paderborn (SICP)

Assistenz, Sachbearbeitung

Write email +49 5251 60-6818