Ref­er­en­ten beim 14. Pader­borner Tag der IT-Sich­er­heit (al­pha­bet­isch)

"Security by Design: Sichere Software von der Planung bis zur Außerbetriebnahme" (Vortrag gemeinsam mit Dr. Masud Fazal-Baqaie)

Durch die zunehmende Digitalisierung und Vernetzung von Systemen spielt das Thema Softwaresicherheit eine immer wichtigere Rolle. In diesem Workshop wird anhand konkreter Beispiele erklärt, wie IT-Systeme durch Security by Design über den gesamten Lebenszyklus - beginnend bei der Planung bis hin zur Außerbetriebnahme - systematisch abgesichert werden. Hierbei geht es unter anderem um Methoden, mit denen Softwareentwickler Sicherheitsanforderungen mit Bedrohungsmodellen ganzheitlich erfassen können, um geeignete Gegenmaßnahmen abzuleiten. Im praktischen Teil des Workshops werden die Teilnehmer (auch ohne Programmiererfahrung) selbst aktiv.

Kurzbiographie:

Dr. Matthias Becker leitet die Gruppe „Digitale Services & Apps“ am Fraunhofer Institut für Entwurfstechnik Mechatronik, die Unternehmen bei der Digitalisierung ihrer Produktion, Produkte und Dienstleistungen unterstützt. Er beschäftigt sich mit der Konzipierung und Realisierung von Services für die datengestützte Überwachung von Prozessen, von Apps für das Smart Home und dazugehörigen Cloud-Plattformen. Ein Forschungsschwerpunkt liegt dabei auf der Sicherheit der Services und Apps gegenüber Angriffen von innen und außen (Security) sowie benutzungsfreundlichen Bedienkonzepten. Er studierte an der Universität Paderborn Informatik und promovierte anschließend auf dem Gebiet von modelbasierter Simulation nicht-funktionaler Eigenschaften für Cloud-Systeme.

"Digitalisierung von öffentlicher Verwaltung und Justiz - Chancen und Herausforderungen für Unternehmen und Gesellschaft"

Der Grad der Digitalisierung der öffentlichen Verwaltung und der Justiz steigt seit einigen Jahren. Ausgehend vom Status Quo soll aufgezeigt werden, mit welchen Entwicklungen in absehbarer Zukunft zur rechnen ist. Im Workshop sollen die Chancen und die Herausforderungen, die sich dadurch für Unternehmen und Gesellschaft ergeben, herausgearbeitet werden. Dabei sollen insbesondere die Erfahrungen und Erwartungen der Teilnehmer des Workshops in den Fokus gestellt werden.

Kurzbiographie:

Thomas Biere ist seit 1996 Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik. Schwerpunkte seiner bisherigen Tätigkeit waren u. a. die Mitarbeit am IT-Grundschutzhandbuch, die Erstellung von IT-Sicherheitskonzepten sowie die Betreuung verschiedener E-Government-Projekte. Hierbei lag ein Fokus auf der Integration der Virtuellen Poststelle, um den Umgang mit elektronischen Signaturen und von Verschlüsselung im Behördenalltag zu vereinfachen.

Schwerpunkte der gegenwärtigen Tätigkeit sind die Bereitstellung von IT-Sicherheitsprodukten für die Bundesverwaltung, das Vertragsmanagement für einen Rahmenvertrag zur IT-Sicherheitsberatung und die Übernahme der Aufgabe als Maßnahmenverantwortlicher für die Maßnahme G2X im Rahmen der IT-Konsolidierung Bund.

"Automatisierte Risikoabschätzung bezüglich der Nutzung unsicherer Open-Source Komponenten" (Vortrag gemeinsam mit Dr. Johannes Späth)

Dependancy Management-Systeme wie Maven, NPM und Pip machen es Entwicklern leicht, Bibliotheken von Drittanbietern in eigene Projekte zu integrieren. Durch die Wiederverwendung von existierenden Funktionalitäten sparen Entwickler Zeit und Kosten. In 9 von 20 Softwaresystemen übersteigt der Anteil des Quellcodes von Drittanbietern soger den Anteil des eigenen Quellcodes im Projekt [1, 2].

Die Wiederverwendung von Bibliotheken von Drittanbietern birgt allerdings unbeabsichtigte Sicherheitsrisiken für das eigene Projekt. Die eigene Software wird im selben Sicherheitskontext ausgeführt wie die Bibliothek. So gefährden existierende Schwachstellen in einer eingesetzten Bibliothek leicht das gesamte System. Ein (un-)prominentes Beispiel ist der Equifax Datendiebstahl vom September 2017, in dem Kriminelle auf persönlichen Daten wie Geburtsdatum, Kreditkarten- und Sozialversicherungsnummern von über 143 Millionen Amerikanern zugreifen konnten. Ironischerweise war diese Sicherheitslücke bereits seit März 2017 bekannt und in einer neuen Version der Bibliothek geschlossen.

In diesem Vortrag wird gezeigt, wie die statische Programmanalyse Softwareentwicklern helfen kann, Bibliotheken mit Schwachstellen frühzeitig zu identifizieren, um Schwachstellen in eigenen Softwareprojekten zu vermeiden.

[1] Heinemann, L.; Deissenboeck, Fl; Gleirscher, M.; Hummel, B.; Irlbeck M.: On the Extent and Nature of Software Reuse in Open Source Java Projects, Springer, Berlin, Heidelberg, 2011. http://doi.org/10.1007/978-3-642-21347-2_16

[2] Bauer, V.; Heinemann, L.; Deissenboeck, F.: A structured approach to assess third-party library usage, in 2012 28th IEEE International Conference on Software Maintenance (ICSM). IEEE.

http://doi.org/10.1109/ICSM.2012.6405311

Kurzbiographie:

Andreas Dann ist wissenschaftlicher Mitarbeiter in der Fachgruppe Softwaretechnik der Universität Paderborn unter der Leitung von Prof. Dr. Eric Bodden. Herr Dann forscht im Bereich der statischen Codeanalyse an Methoden und Werkzeugen, um die Integration schwachstellenbehafteter Open-Source Komponenten frühzeitig zu erkennen und damit verbundene Risiken abzuschätzen.

Im Rahmen eines Forschungsaufenthalts bei SAP hat Herr Dann an dem Open-Source Werkzeug VULAS mitgearbeitet, dass zur Erkennung schwachstellenbehafteter Komponenten während der Entwicklung eingesetzt wird.

"upb.crypto - Konstruktion, Anwendung und Umsetzung anonymer Credentials"

In der Praxis wird die Authentifikation von Nutzern mit deren Identifikation gleichgestellt. Dabei spielt bis jetzt die Privatsphäre der Nutzer eine untergeordnete Rolle. Wir werden mit Hilfe von anonymen Credentials zeigen, dass sich Authentifikation, Privatsphäre und Anonymität nicht widersprechen. Im Allgemeinen ermöglichen anonyme Credentials eine Authentifikation ohne Identifikation. In diesem Vortrag werden wir im Detail zeigen, dass man mit anonymen Credentials weit mehr erreichen kann als es mit anderen Authentifikationstechniken möglich ist. Als Anwendungsbeispiel betrachten wir Treuepunktesysteme, wie sie im Einzelhandel eingesetzt werden. Mit anonymen Credentials setzen wir ein Treuepunktesystem um, das nicht mit der Kaufhistorie der Nutzer handelt, sondern die Interessen beider Parteien (Einzelhandel und Nutzer) schützt.

Kurzbiographie:

Fabian Eidens ist Doktorand in der Arbeitsgruppe Codes & Kryptographie an der Universität Paderborn. Er forscht im Bereich Privacy-Preserving Cryptography an Anonymous Credentials, Attribute-Based Signatures und deren effiziente Umsetzung. Die Arbeitsgruppe hat in Zusammenarbeit mit Studenten die Softwaresammlung upb.crypto erstellt. Sie stellt moderne kryptographische Verfahren über einfache Schnittstellen bereit.

"Security by Design: Sichere Software von der Planung bis zur Außerbetriebnahme" (Vortrag gemeinsam mit Dr. Matthias Becker)

Durch die zunehmende Digitalisierung und Vernetzung von Systemen spielt das Thema Softwaresicherheit eine immer wichtigere Rolle. In diesem Workshop wird anhand konkreter Beispiele erklärt, wie IT-Systeme durch Security by Design über den gesamten Lebenszyklus - beginnend bei der Planung bis hin zur Außerbetriebnahme - systematisch abgesichert werden. Hierbei geht es unter anderem um Methoden, mit denen Softwareentwickler Sicherheitsanforderungen mit Bedrohungsmodellen ganzheitlich erfassen können, um geeignete Gegenmaßnahmen abzuleiten. Im praktischen Teil des Workshops werden die Teilnehmer (auch ohne Programmiererfahrung) selbst aktiv.

Kurzbiographie:

Dr. Masud Fazal-Baqaie ist Gruppenleiter beim Fraunhofer IEM. Zu seinen Themenschwerpunkten zählen bedarfsgerechte Prozesse und Werkzeuge für software-intensive Systeme sowie Security-by-Design. Er ist außerdem Sprecher der Fachgruppe Vorgehensmodelle der Gesellschaft für Informatik e.V.

Zuvor war Herr Fazal-Baqaie als Managing Consultant bei einem IT-Beratungshaus tätig, das sich auf die Prozessberatung für die Auswahl, die Entwicklung und den Betrieb von IT-Systemen spezialisiert hat. An der Universität Paderborn mit Studienaufenthalten in Kanada und in der Schweiz studierte er Informatik und promovierte anschließend im Themenfeld bedarfsgerechter Softwareentwicklungsprozesse.

"Resilienz für Kritische Infrastrukturen"

Unsere moderne Gesellschaft hängt in zunehmenden Maße von der Verfügbarkeit kritischer Infrastrukturen, wie dem Stromnetz oder von Verkehrssystemen ab. Ihre Störung kann das tägliche Leben von Millionen von Menschen beeinträchtigen. Aufgrund dieser Tatsache sind Kritische Infrastrukturen attraktive Ziele für Cyberangriffe und sollten daher "resilient" konzipiert werden, damit sie bei Angriffen, Krisen oder Ausfällen in der Lage sind, ihre Kernfunktionen beizubehalten. Im Vortrag wird besprochen, wie Kritische Infrastrukturen resilient gestaltet werden können.

Kurzbiographie:

Stefan Katzenbeisser ist Professor am Fachbereich Informatik der TU Darmstadt. Nach seiner Promotion an der TU Wien und einem Aufenthalt als wissenschaftlicher Mitarbeiter an der TU München war er "Senior Scientist" bei Philips Research. Seit 2008 leitet er das Fachgebiet "Security Engineering" an der TU Darmstadt. Seine Forschungsinteressen umfassen Angewandte Kryptographie, Systemsicherheit sowie Sichere Kritische Infrastrukturen.

"Wie prüft man eigentlich IT-Sicherheit? Praxis einer akkreditierten Prüfstelle"

„Es gibt keine absolute Sicherheit im Internet“ – eine Aussage, die man besonders nach schwerwiegenden Hackerangriffen oder festgestellten geleakten Daten von zahlreichen Betroffenen, wie zu Beginn des Jahres 2019, immer wieder beschwichtigend zu hören bekommt.  Aber ist das nicht Resignation, gegen die Gefahren des Internets anzukämpfen? Kann man IT Sicherheit eigentlich nachweisen und sogar per Zertifikat bescheinigen? Was machen IT Security Prüfstellen?

Dirk Kretzschmar, Geschäftsführer der TÜViT, hat schon viele Interview zu diesem Thema gegeben und erläutert in seiner Key Note die Arbeit einer IT Security Prüfstelle. Welche Prüfmethoden und -verfahren werden angewendet, welche Akkreditierungen sind erforderlich. Was wird wie genau geprüft. Was machen die sogenannten Ethical Hackers. Besondere Einblicke in das weltweit größte HW Security Prüflabor in einem Hochsicherheitsbereich werden vorgestellt.

Kurzbiographie:

Dirk Kretzschmar, Jahrgang 1962, ist Diplom-Ingenieur für Informationstechnik und seit mehr als 15 Jahren IT Security Experte.

Im Juni 2015 wurde Dirk Kretzschmar zum Geschäftsführer der TÜV Informationstechnik (TÜViT) in Essen berufen. 2017 übernahm er Verantwortung für einen der sechs Geschäftsbereiche (IT) des TÜV NORD und wurde neues Mitglied der Konzerngeschäftsleitung der TÜV NORD GROUP. Im Januar 2018 gründete er hier die neue Gesellschaft TÜV NORD IT Secure Communications mit Sitz in Berlin, in welcher die IT Security Beratung für Betrieb und Planung von Telekommunikations- und IT Netzen gebündelt werden.

Nach seinem Studium arbeitete er als wissenschaftlicher Mitarbeiter in der Planung, Dimensionierung, sowie Routing und Adressierung von Datennetzen bei der Telekom in Berlin.

Mit dem Wechsel nach München zur Siemens AG 1990 war er über 15 Jahre in verschiedenen Managementpositionen im Projektmanagement, Produktmanagement, Marketing und Business Development tätig. Von 1999 an leitete Herr Kretzschmar die internationale technische Vertriebsorganisation für IT-Plattformen und Applikationen im Mobilfunk.

Mit dem Wechsel 2006 zu EADS Secure Networks leitete er als Head of Programs and Customer Care den Organisations- und Projektaufbau sowie die Prozessgestaltung für den Aufbau des deutschen digitalen Polizeifunknetzes BOSNET und war zusätzlich für das operative Geschäft, Entwicklung und Service der Firma in Deutschland verantwortlich.

2009 übernahm er als COO das weltweite operative Geschäft der Rohde & Schwarz PMR gestaltete aktiv den Geschäftsübergang an die chinesische Firma Hytera. 2011 wurde Herr Kretzschmar Mitglied der Geschäftsleitung, Leiter des Vertriebes und Leiter der Entwicklung Kryptosysteme bei Rohde & Schwarz SIT in Berlin.

"eFail"

The Efail attack compromises the confidentiality of OpenPGP and S/MIME - the two prime standards providing end-to-end security in E-Mail. The attack works by manipulating the ciphertext in such a way that malicious plaintext snippets appear in the E-Mail after it has been decrypted. Using standard-conforming backchannels, it is then possible to exfiltrate the full plaintext. The talk will cover the used techniques and technical details of the attack and discuss mitigation strategies.

Kurzbiographie:

Damian Poddebniak is a PhD student at the University of Applied Sciences in Münster. He is co-author of the eFail-Paper and interested in cryptography and privacy-related topics.

"Gezieltes Aufdecken von Schwachstellen in IKE-Implementierungen für IPsec-Anwendungen"

IPsec ist eine Protokollsuite für die sichere Kommunikation im Internet. Sie findet vor allem Anwendung in VPNs, weil sie im Gegensatz zu TLS für die Anwendungsschicht unsichtbar ist. Allerdings hängt die Sicherheit von IPsec-Verbindungen maßgeblich von der Konfiguration der IPsec-Endpunkte ab. Eine schlecht  konfigurierte IPsec Verbindung bietet viele Schwachstellen, die von Angreifern ausgenutzt werden können.

Initiiert wird eine IPsec-Verbindung durch einen Handshake, der mit dem Internet Key Exchange (IKE) Protokoll durchgeführt wird. Dabei werden Attribute für eine sichere Kommunikation wie z.B. Ciphersuites zwischen zwei Netzwerkentitäten ausgehandelt. IKE bildet damit eine wesentliche Komponente für die Sicherheit von IPsec-Verbindungen.

IKE-Implementierungen werden mit Standardeinstellungen bereitgestellt, die meistens einen angemessenen Kompromiss aus Sicherheit und Kompatibilität bieten. Für ein hohes Sicherheitsniveau muss die Konfiguration einer IKE-Implementierung jedoch manuell angepasst werden. Dieser Vorgang erfordert Expertenwissen und ist – da manuell – fehleranfällig.

Gegenstand des Workshops ist das Aufdecken von Schwachstellen in IKE-Implementierungen anhand von Beispielen aus der Praxis. Dabei kommen geeignete Testwerkzeuge zur Anwendung.

Handout

Kurzbiographie:

Dr. Claudia Priesterjahn ist seit 2018 Softwareentwicklerin im Bereich IKE/IPsec bei der achelos GmbH. Nach ihrer Promotion im Bereich Software Engineering war sie als Senior Expertin im Bereich Software Qualität am Fraunhofer IEM tätig.

„Wenn Hochsicherheit versagt - Eine Fallstudie zu Xilinx FPGAs“

"When Military Grade Security Fails - A Case Study on Xilinx Ultrascale FPGAs"

Thermal laser stimulation (TLS) is a failure analysis technique, which can be deployed by an adversary to localize and read out stored secrets in the SRAM of a chip. To this date, a few proof-of-concept experiments based on TLS or similar approaches have been reported in the literature, which do not reflect a real attack scenario. Therefore, it is still questionable whether this attack technique is applicable to modern ICs equipped with very strong security countermeasures. The primary aim of this work is to assess the feasibility of launching a TLS attack against
a device with very sophisticated security features. To this end, we select a modern (20nm) FPGA, and more specifically, its key memory, the so-called battery-backed SRAM (BBRAM), as a target. We
demonstrate that an attacker is able to extract the stored 256-bit AES key used for the decryption of the FPGA’s bitstream, by conducting just a single non-invasive measurement. Moreover, it becomes evident that conventional countermeasures are incapable of preventing our attack since the FPGA is turned off during key recovery. Based on our time measurements, the required effort to develop the attack is shown to be less than 7 hours.

Kurzbiographie:

Prof. Dr. Jean-Pierre Seifert, Leiter des Fachgebietes „Security in Telecommunications“ an der TU Berlin und den Telekom Innovation Laboratories (Stand Januar 2019)

Jean-Pierre Seifert studierte Informatik und Mathematik an der Johann-Wolfgang-Goethe-Universität in Frankfurt/Main. Im Jahre 2000 promovierte er dort bei Prof. Dr. Claus Schnorr, einem der wichtigsten Theoretiker auf dem Gebiet der Sicherheit von Informationstechnik. Danach sammelte Seifert intensive praktische Erfahrungen in den Forschungs- und Entwicklungsabteilungen für den Bereich IT-Sicherheit bei Infineon in München und bei Intel in den USA. Bei Intel war Professor Seifert von 2004 bis 2006 unter anderem für die Integration neuer Sicherheitsinstruktionen für Mikroprozessoren verantwortlich, die ab dem Jahr 2010 in alle Intel-Mikroprozessoren standardmäßig integriert werden. Für Samsung entwickelte er 2007 das weltweit erste kommerzielle auf dem Betriebssystem Linux basierende „sichere“ Handy. Seit Ende 2008 ist Jean-Pierre Seifert Professor für das Fachgebiet „Security in Telecommunications“ an der TU Berlin. Diese Professur ist gleichzeitig mit der Leitung des gleichnamigen Forschungsgebietes in den Telekom Innovation Laboratories verbunden, dem Forschungs- und Entwicklungsinstitut der Deutschen Telekom an der TU Berlin. Im Jahr 2002 wurde Prof. Seifert von Infineon mit dem „Inventor of the Year“ Preis geehrt. Außerdem erhielt er 2005 zwei Intel Achievement Awards für seine CPU security instructions für Intel Mikroprozessoren. Prof. Seifert wurden bereits mehr als 40 Patente im Bereich Computer Security erteilt.

"SecuStack - Die sichere Cloud."

SecuStack zielt auf eine gesamtheitliche Absicherung des Cloud-Betriebs mit der Open Source Lösung für IaaS: OpenStack. Dafür sind Erweiterungen an verschiedenen Stellen nötig, zum Beispiel um Nutzerdaten zu schützen, Nutzern Kontrolle über diese Absicherungen zu geben und eine gegenseitige Absicherung zwischen einzelnen Nutzern sowie dem Betreiber zu schaffen.

Kurzbiographie:

Josephine Seifert hat 2018 ihr Informatikstudium an der TU Dresden mit dem Diplom abgeschlossen. Schon als Werkstudentin bei Cloud&Heat beschäftigte sie sich mit dem Projekt zur Sicherheit in Clouds und ist Teil der neu gegründeten SecuStack.
 

„Die Datenschutzgrundverordnung DSGVO und der Umgang mit Datenpannen“

Die DSGVO ist seit dem 25.05.2018 wirksam. Der Umgang mit Datenpannen ist gegenüber dem damaligen BDSG verschärft geregelt worden. Dieser Workshop führt Sie mit praktischen Bezügen in den nun durch die DSGVO erforderlichen Umgang mit Datenpannen ein. Was ist überhaupt eine Datenpanne? Wann bestehen in welchem Umfang Meldepflichten? Was ist aus organisatorischer Sicht zu beachten? Wie kann ein Reaktionsplan aussehen? Welche Maßnahmen ergreifen diesbezüglich die Aufsichtsbehörden? Was sind die ersten Erfahrungen in der Praxis? All diese Fragen beantwortet Ihnen Ihre Referentin Carola Sieling.

Kurzbiographie:

  • Fachanwältin für Informationstechnologierecht
  • Dozentin der Nordakademie
  • Lehrbeauftragte der FH Flensburg

Rechtsanwältin Carola Sieling ist Spezialistin auf dem Gebiet des IT- und Internetrechts. Sie beherrscht nicht nur das Handwerkszeug einer Rechtsanwältin, sondern verfügt über ausgezeichnete technische Kenntnisse, die für eine rechtliche Beratung im IT-Recht unablässig sind.

"Exploiting Network Printers" 

Von der Idee eines papierlosen Büros wurde seit über drei Jahrzehnten geträumt. Drucker sind jedoch immer noch eines der wichtigsten Geräte für die tägliche Arbeit. Anstatt sie zu entfernen, haben sich Drucker von einfachen Geräten zu komplexen Netzwerkcomputersystemen entwickelt, die direkt in Unternehmensnetzwerken installiert werden und vertrauliche Daten in ihren Druckaufträgen enthalten. Dies macht sie zu einem attraktiven Angriffsziel. In unserer Arbeit haben wir eine umfassende Analyse von Druckerangriffen durchgeführt und eine einheitliche Methodik für die Druckersicherheitsanalyse entwickelt. Basierend auf unserer Methodik haben wir ein Open-Source Tool namens PRinter Exploitation Toolkit (PRET) implementiert. Wir haben PRET verwendet, um 20 Druckermodelle von verschiedenen Anbietern zu bewerten. Dabei haben wir festgestellt, dass jeder der getesteten Drucker für mindestens einen Angriff anfällig war. Neben unserer systematischen Analyse zeigen wir neue Erkenntnisse, wie unsere Angriffe auf Systeme jenseits Drucker angewendet werden können.

Kurzbiographie:

Juraj Somorovsky ist Sicherheitsforscher an der Ruhr-Universität Bochum und Mitbegründer der Hackmanit GmbH. Er ist Mitautor nahmhafter TLS-Angriffe (z. B. DROWN oder ROBOT) und Hauptentwickler eines flexiblen Tools für die TLS-Analyse: TLS-Attacker (github.com/RUB-NDS/TLS- Attacker). Er hat seine Arbeiten auf zahlreichen wissenschaftlichen und industriellen Konferenzen
präsentiert, darunter Usenix Security, Blackhat, Deepsec und OWASP Europe.

"Automatisierte Risikoabschätzung bezüglich der Nutzung unsicherer Open-Source Komponenten" (Vortrag gemeinsam mit Andreas Dann)

Dependancy Management-Systeme wie Maven, NPM und Pip machen es Entwicklern leicht, Bibliotheken von Drittanbietern in eigene Projekte zu integrieren. Durch die Wiederverwendung von existierenden Funktionalitäten sparen Entwickler Zeit und Kosten. In 9 von 20 Softwaresystemen übersteigt der Anteil des Quellcodes von Drittanbietern soger den Anteil des eigenen Quellcodes im Projekt [1, 2].

Die Wiederverwendung von Bibliotheken von Drittanbietern birgt allerdings unbeabsichtigte Sicherheitsrisiken für das eigene Projekt. Die eigene Software wird im selben Sicherheitskontext ausgeführt wie die Bibliothek. So gefährden existierende Schwachstellen in einer eingesetzten Bibliothek leicht das gesamte System. Ein (un-)prominentes Beispiel ist der Equifax Datendiebstahl vom September 2017, in dem Kriminelle auf persönlichen Daten wie Geburtsdatum, Kreditkarten- und Sozialversicherungsnummern von über 143 Millionen Amerikanern zugreifen konnten. Ironischerweise war diese Sicherheitslücke bereits seit März 2017 bekannt und in einer neuen Version der Bibliothek geschlossen.

In diesem Vortrag wird gezeigt, wie die statische Programmanalyse Softwareentwicklern helfen kann, Bibliotheken mit Schwachstellen frühzeitig zu identifizieren, um Schwachstellen in eigenen Softwareprojekten zu vermeiden.

[1] Heinemann, L.; Deissenboeck, Fl; Gleirscher, M.; Hummel, B.; Irlbeck M.: On the Extent and Nature of Software Reuse in Open Source Java Projects, Springer, Berlin, Heidelberg, 2011. http://doi.org/10.1007/978-3-642-21347-2_16

[2] Bauer, V.; Heinemann, L.; Deissenboeck, F.: A structured approach to assess third-party library usage, in 2012 28th IEEE International Conference on Software Maintenance (ICSM). IEEE. http://doi.org/10.1109/ICSM.2012.6405311

Kurzbiographie:

Dr. Johannes Späth ist wissenschaftlicher Mitarbeiter am Fraunhofer IEM und arbeitet in der Abteilung Softwaretechnik und IT-Sicherheit. Herr Späth forscht im Bereich der statischen Codeanalyse und hat im Januar 2019 seine Promotion erfolgreich abgeschlossen. In seiner Dissertation hat er effiziente und präzise statische Codeanalyse-Algorithmen entwickelt. Die Algorithmen finden Anwendung im Werkzeug CogniCrypt, welches den Quelltext kontinuierlich auf Sicherheitslücken untersucht und die Entwickler frühzeitig vor Schwachstellen in ihrer Software warnt.

"Cyberangriffe und Wirtschaftsschutz - Wirtschaftsdaten in Gefahr"

Der Workshop soll den Teilnehmern einen Überblick über das Thema Wirtschaftsschutz geben, geht also näher auf die Bedrohung von (insbesondere auch kleinen und mittelständischen) Unternehmen durch Wirtschaftsspionage, Cyberattacken und Extremisten am Arbeitsplatz ein. Dabei wird zunächst die Bedrohung der Wirtschaft generell dargestellt, Hintermänner und Bedrohungspotentiale aufgezeigt, sowie die gängigsten Angriffsmethoden vorgestellt. Daneben soll anhand von Fallbeispielen die Sensibilität aller Beteiligten gesteigert und grundlegende Gedanken zur Erstellung/Aktualisierung eines ganzheitlichen Sicherheitskonzepts erstellt werden.

Kurzbiographie:

Henning Voß, LL.M.
Studium der Rechts- und Politikwissenschaften
Eintritt in den Landesdienst 2011
Referent für Wirtschaftsschutz und Geheimschutz in der Wirtschaft des Verfassungsschutzes beim Ministerium des Innern NRW und Lehrbeauftragter der Fachhochschule für öffentliche Verwaltung NRW

„Praktische Einführung eines ISMS auf Basis des modernisierten IT-Grundschutz“

Der Workshop erklärt anhand von praktischen Beispielen und der Anwendung von ISMS-Tools, wie ein Informationssicherheitsmanagementsystem nach den aktuellen Standards des BSI eingeführt werden kann. Gezeigt wird dabei, wie die einzelnen Schritte des BSI-Standards 200-2 durchgeführt und dokumentiert werden können.

Firmeninformation

Die neam IT-Services GmbH ist ein inhabergeführtes, mittelständisches IT-Beratungsunternehmen mit derzeit über 80 zertifizierten, hochqualifizierten Mitarbeitern an den Standorten Paderborn und Berlin. Seit über 20 Jahren berät neam in den Geschäftsbereichen IT-Systemhaus und IT-Sicherheit nationale und internationale Kunden. Kai Wittenburg ist Gesellschafter und Geschäftsführer und verantwortet den Bereich der Informationssicherheit (BSI IT-Grundschutz, ISO 27001, Notfallmanagement, Penetrationstest).

Die Bildrechte der im Rahmen der Vorstellung der Referentinnen/Referenten veröffentlichten Fotos liegen bei den jeweiligen Referentinnen/Referenten.

Link zu den Präsentationen der Referentinnen und Referenten