Ref­er­en­ten beim 15. Pader­borner Tag der IT-Sich­er­heit (Ter­min wird ver­legt)

"Rechtssichere Behördenkommunikation"

Die zunehmende Digitalisierung in Gesellschaft, Wirtschaft und Verwaltung stellt insbesondere Unternehmen und Behörden vor neue Herausforderungen.

Bei der Kommunikation zwischen den Partnern sind insbesondere die Aspekte Authentizität, Integrität und Vertraulichkeit zu adressieren. Der Einsatz von Verschlüsselung zur Wahrung der Vertraulichkeit ist dabei Standard. Auch werden an vielen Stellen schon heute elektronische Signaturen eingesetzt, um die Authentizität bzw. die Integrität von Nachrichten und Dokumenten zu sichern. Dabei ist häufig das Niveau der fortgeschrittenen elektronischen Signatur das Mittel der Wahl.

Eine Reihe von weiteren Entwicklungen ist inzwischen in der Projektierung. Stichworte sind hier die Umsetzung des Onlinezugangsgesetzes (OZG) und z.B. die Servicekonten für Bürger und Unternehmen. Auch wird zukünftig eine größere Anzahl an Dienstleistungen der Verwaltung online zur Verfügung gestellt. Teilweise besteht für professionelle Teilnehmer ein Nutzungszwang (beispielsweise E-Rechnung und elektronische Steuererklärung).

Diese Entwicklung wirft insbesondere bei den beteiligten Unternehmen und Behörden eine Reihe von Fragen auf. So müssen verschlüsselte Dokumente entschlüsselt und Signaturen geprüft werden.

Bislang ist es üblich, die Kommunikation zwischen zwei Teilnehmern Ende-zu-Ende zu verschlüsseln. Die Entschlüsselung und die Signaturprüfung erfolgen dabei am Arbeitsplatz. Gerade bei verschlüsselten Inhalten ergibt sich das Problem, dass die erste Stufe der Malwareabwehr „umgangen“ wird und allein auf die Endpointsecurity am Arbeitsplatz vertraut werden muss.

Folgerichtig verbieten die Sicherheitsleitlinien einiger Behörden die direkte Weiterleitung von verschlüsselten Inhalten an den Arbeitsplatz. Zudem würde eine Signaturprüfung an den Arbeitsplätzen mit einem entsprechend hohen Schulungsaufwand einhergehen.

Für die Stellen des Bundes wurde daher die Maßnahme G2X projektiert. Ziel ist es, zentral eine Plattform zur Verfügung zu stellen, die über verschiedene Eingangskanäle (insbesondere OSCI-Transport mit Transportprofil Justiz, DeMail, S/MIME- bzw. PGP-Mail, ePostbrief und AS4) verschlüsselte und/oder signierte Nachrichten entgegennimmt. Die Plattform entschlüsselt die Nachrichten, prüft angebrachte Signaturen und dokumentiert das Prüfergebnis und führt jede Nachricht einer zentralen Malwareprüfung zu. Auf Wunsch der nutzenden Behörden können Nachrichten auch an ein beweiswerterhaltendes Zwischenarchiv weitergeleitet werden. Die Nachricht wird schließlich über das Protokoll SMTP bzw. über einen XTA-Webservice an den Nutzer weitergeleitet. Umgekehrt ist es für den Nutzer möglich, eine XTA-Nachricht an die Plattform zu leiten. Dort erfolgt die Transformation in das Zielformat und die Verschlüsselung und/oder das Anbringen von elektronischen Signaturen und der anschließende Versand.

Der Vortrag wird insbesondere auf die Architektur der Plattform, die aus am Markt verfügbaren Komponenten zusammengesetzt ist, eingehen und aufzeigen, welche Herausforderungen damit lösbar sind und welche Entwicklungen für die Zukunft noch vorstellbar sind.

Kurzbiographie:

Thomas Biere ist seit 1996 Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik. Schwerpunkte seiner bisherigen Tätigkeit waren u. a. die Mitarbeit am IT-Grundschutzhandbuch, die Erstellung von IT-Sicherheitskonzepten sowie die Betreuung verschiedener E-Government-Projekte. Hierbei lag ein Fokus auf der Integration der Virtuellen Poststelle, um den Umgang mit elektronischen Signaturen und von Verschlüsselung im Behördenalltag zu vereinfachen.

Schwerpunkte der gegenwärtigen Tätigkeit sind die Übernahme der Aufgaben als Maßnahmenverantwortlicher für die Maßnahme G2X im Rahmen der IT-Konsolidierung Bund, das Vertragsmanagement für einen Rahmenvertrag zur Informationssicherheitsberatung und Beratungen der Stellen des Bundes in Fragen der Informationssicherheit.

"Auswirkungen und Sicherheit neuer Internet-Protokolle" (Vortrag gemeinsam mit Martin Stecher)

Nach einer langen Zeit der Stabilität bei den wichtigsten Internet-Protokollen, hat nun eine Ära begonnen, in denen neue Web-Protokoll-Standards rasch umgesetzt werden und grundlegende Änderungen mit sich bringen. Der globale Internet-Traffic steigt weiter steil an und obwohl die letzte HTTP-Revolution erst ein paar Jahre alt ist, wird sie bereits von mehr als einem Drittel der Webserver unterstützt. Wenn die anstehenden nächsten Generationen ebenso erfolgreich sind, werden viele Sicherheitsprodukte am Gateway, im Netz und in der Cloud blind werden, falls die IT-Security-Hersteller nicht rechtzeitig reagieren. Der Vortrag gibt einen Überblick über die Entwicklung, die Motivation, Chancen und Risiken der neuen Internet-Protokolle.

Kurzbiographie:

Dr. Olaf Bonorden, Principal Engineer bei McAfee. Nach dem Informatik Studium arbeitete Olaf Bonorden als wissenenschaftlicher Mitarbeiter an der Universität Paderborn in der Arbeitsgruppe Algorithmen und Komplexität. Nach der Promotion begann Herr Bonorden als Software Entwickler bei McAfee im Bereich Web Protection und ist dort seit einigen Jahren als Architekt verantwortlich für die Weiterentwicklung zu einer vollständig cloudbasierten Lösung.

"Qualitätssicherung von elektronischen Zertifikaten"

Die sichere Digitalisierung bleibt ein Schlüsselthema für eine erfolgreiche Geschäftsentwicklung in der digitalen Welt. Mit der eIDAS-Verordnung ist ein verbindliches Rahmenwerk für sichere digitale Geschäfts- und Verwaltungsprozesse im Europäischen Binnenmarkt in Kraft getreten.

Eine Vielzahl negativer Medienberichterstattungen hat das Vertrauen in ausgegebene Public-Key-Zertifikate angekratzt. Berichtet wird über Zertifikate, deren Seriennummer nicht den gestellten Gütekriterien entsprechen und nicht erneuerte Domänenzertifikate mit überschrittenem Gültigkeitszeitraum. Dabei ist die Technik nicht neu, denn die Spezifikation für Public-Key-Zertifikate ist bereits seit 1995 für verschiedenste Domänen veröffentlicht. Um aktuelle Anforderungen abzubilden, wurden die relevanten technischen Spezifikationen stetig angepasst und erweitert.

Der Vortrag zieht einen Spannungsbogen von technischen Anforderungen der eIDAS-Verordnung für Anbieter und Servicedienstleister bis zur Demonstration eines Tools zur eIDAS-Validierung als praktische Hilfe.

Vorgestellt wird ein Ansatz zur Umsetzung der eIDAS-Verordnung für sichere Identifizierungsverfahren und eine rechtsgültige elektronische Kommunikation in Behörden und Wirtschaft. Damit lassen sich Web-, PSD2-Zertifikate und Zertifikate für digitale Signaturen gemäß der eIDAS-Verordnung der Europäischen Union validieren.

Der Referent ist anerkannter Experte der IT-Sicherheitsbranche und gibt Einblick in die aktuellen Trends und Entwicklungen.

Kurzbiographie:

Ausbildung

  • Studium, Abschluss Master of Science im Informatikstudium an der Universität Paderborn

Kernkompetenzen

  • 9 Jahre Erfahrung als Senior Consultant in den Bereichen Testautomatisierung und funktionale Tests
  • Expertise im Bereich Testentwicklung der Telematikinfrastruktur im Deutschen Gesundheitssystem
    • Testmanager für Komponententests
    • Produktverantwortlicher von Simulationsumgebungen
  • Langjährige Erfahrung im Bereich Public Key Infrastructure (PKI) mit dem Fokus auf digitale Zertifikate und Signaturverfahren
  • Entwicklung und Einführung als Softwarearchitekt und Teamleiter des achelos eIDAS Inspectors. Das Testsystem verifiziert digitale Signaturen unter elektronischen Zertifikaten und Dokumenten gemäß der europäischen eIDAS-Verordnung (EU) Nr. 910/2014.

"Des Kaisers neue Kleider: Moderne Angriffe vs. Software Diversity"

Kaum ein Monat vergeht, an dem nicht neue gefährliche Angriffe gegen Standard Hardware & Sofware Systeme publiziert werden. Als Beispiele der letzten Jahre seien hier nur Rowhammer, Spectre und Meltdown genannt, welche insbesondere auch abseits des regulären Wissenschaftsbetrieb durch internationale Medien-Publicity Aufsehen erregt haben.

Der Vortrag setzt sich kritisch mit diesen Angriffen und im Speziellen mit deren Prämissen aus der Perspektive von Software Diversity auseinander. Forschung im Bereich Software Diversity versucht dabei, Software Systeme automatisch und transparent zu "diversifizieren", mithin so zu verändern, dass verwendete Software nicht für jeden Anwender hundertprozentig ident ist - so wie es in der derzeitigen Monokultur von Software Systemen der Fall ist.

Kurzbiographie:

Stefan Brunthaler ist Professor für sichere Softwareentwicklung am neuen nationalen Forschungsinstitut CODE der Universität der Bundeswehr, München. Nach seiner Promotion an der TU Wien 2011 war er bis 2015 Postdoctoral Scholar an der University of California, Irvine am Secure Systems and Software Laboratory, wo er gemeinsam mit Prof. Dr. Michael Franz im Rahmen mehrerer erfolgreicher DARPA und NSF Projekte geforscht hat. Derzeitige Forschungsinteressen umfassen weite Bereiche in der Software und Systemsicherheit, insb. Grundlagenforschung im Bereich sprachbasierter Sicherheit, spezieller Compiler Optimierungen und Transformationen, neue Paradigmen zur kosteneffizienten Erstellung komplexer Software Systeme am Beispiel von Browsern und schlussendlich auch Interesse an der Konstruktion energieeffizienter Data Center und neuer Suchmaschinen Technologien.

"Use Case - und jetzt?"

Basierend auf 2 bis 3 Use Cases (etwa Predictive Maintenance, Connected Car, …) werden Konzepte und Strategien entwickelt, wie diese entsprechend sicher gestaltet sein müssen. Ziel wird es sein, Gemeinsamkeiten und Unterschiede der Anwendungsfälle herauszuarbeiten (Konnektivität, Sensoren, Cloud, …). Daraufhin werden Angriffsvektoren dieser Merkmale abgeleitet (Konnektivität = Man in the Middle o.ä.). Letztlich werden Sicherheitsmaßnahmen gesammelt, die eben diese Angriffsvektoren schließen können (End-2-End-Encryption etc). Somit werden Anwendungsfälle und Sicherheitsmaßnahmen über die Angriffsvektoren gemapped.

Kurzbiographie:

Jacques Engländer, M. Sc.

FIR an der RWTH Aachen

  • 2012 – 2016 Bachelor of Science, Wirtschaftsingenieurwesen Maschinenbau
  • 2016 – 2019 Master of Science, Wirtschaftsingenieurwesen Maschinenbau
  • 2017 Auslandssemester an der NTNU Trondheim, Norwegen
  • Seit 2018: Wissenschaftlicher Mitarbeiter, Projektmanager und Promotionsstudent am FIR der RWTH Aachen, Informationsmanagement, Fachgruppe IT-Komplexitätsmanagement
  • 2014 – 2018 Verschiedene Stellen als studentischer Mitarbeiter (WZL der RWTH Aachen, FIR der RWTH Aachen)
  • 2012 – 2018 Verschiedene Industriepraktika (SMS Meer GmbH, Scheidt & Bachmann GmbH, .. und zuletzt PTC in München)

"Bedrohungsanalyse in der Praxis"

Mit der wachsenden Zahl an Sicherheitsvorfällen steigt die Aufmerksamkeit für das Thema Security in allen Branchen. Unternehmen erkennen zunehmend, dass Penetrationstests und Incident-Response-Prozesse zwar wichtige aber nicht hinreichende Maßnahmen sind. Man sollte schon früh im Softwarelebenszyklus Security-Maßnahmen ergreifen. Die Analyse potentieller Bedrohungen stellt den ersten Schritt dar. Basierend auf unseren Erfahrungen aus Industrieprojekten in verschiedenen Branchen erklären wir, wie man Bedrohungsanalysen systematisch durchführt und sie normkonform in den Softwarelebenszyklus integriert.

Kurzbiographie:

Dr. Markus Fockel ist Gruppenleiter im Forschungsbereich Softwaretechnik & IT-Sicherheit des Fraunhofer IEM. Er ist seit 2011 am Fraunhofer IEM und leitete im Themenfeld Requirements Engineering für Safety & Security bereits verschiedenste Projekte mit Industriepartnern, u.a. aus den Branchen Automotive und Maschinen- & Anlagenbau. 2018 promovierte er an der Universität Paderborn zum Thema Safety Requirements Engineering und unterstützte einen Hersteller von Industriesteuerungen auf dem Weg zur Zertifizierung gemäß dem Security-Standard IEC 62443.

"Informationssicherheit einführen und managen mit ISIS12"

Die Notwendigkeit, geeignete Maßnahmen zur Einführung und Aufrechterhaltung der Informationssicherheit zu ergreifen, ist heute nahezu jedem Unternehmen, auch im Bereich der KMUs, bewusst. Entsprechend haben die meisten Unternehmen bereits eine Vielzahl geeigneter Maßnahmen umgesetzt.

Was häufig noch nicht implementiert ist, ist ein Informationssicherheitsmanagementsystem (ISMS). Durch die Nutzung eines ISMS wird u.a. sichergestellt, dass

  • eine ganzheitliche Sicht auf die IT-Sicherheit vorhanden ist,
  • alle Prozesse und Anwendungen dokumentiert und einheitlich beschrieben sind,
  • alle Richtlinien dokumentiert werden,
  • alle Dokumentationen stets aktuell gehalten werden,
  • alle Mitarbeiterinnen und Mitarbeiter zur Beachtung der Sicherheitsregeln regelmäßig geschult werden und Zugang zu den Verhaltensregeln haben, so dass auch in ungewöhnlichen Situationen im Unternehmen richtig reagiert wird,
  • die Schutzbedarfe der Anwendungen und die ergriffenen Maßnahmen zueinander passen,
  • alle erforderlichen Maßnahmen ergriffen werden,
  • die Informationssicherheit im Unternehmen stets weiterentwickelt und neuen Herausforderungen angepasst wird.

ISIS12 ist eine Vorgehensweise zur Einführung eines Informationssicherheitsmanagementsystems in 12 Schritten. Die 12 Schritte bieten konkrete, klar beschriebene Handlungsanweisungen und sind daher sehr gut umsetzbar. ISIS12 wird herausgegeben und lizenziert vom Netzwerk Informationssicherheit im Mittelstand (NIM) des Bayerischen IT-Sicherheitscluster e. V. Es ist vom Umfang her deutlich geringer als ISO/IEC 27000, bietet aber trotzdem ein hohes Maß an Sicherheit. Daher ist es gerade für KMUs besonders geeignet. ISIS12 eignet sich auch ausgezeichnet als Zwischenstufe zur späteren Einführung von ISO/IEC 27000. Unternehmen, die ISIS12 vollständig umgesetzt haben, können sich von der DQS entsprechend zertifizieren lassen.

In diesem Workshop werden im Wesentlichen die 12 Schritte von ISIS12 vorgestellt, so dass am Ende die Zuhörerinnen und Zuhörer entscheiden können, ob ISIS12 für ihr Unternehmen / ihre Institution geeignet ist.

Der Referent ist lizenzierter ISIS12 Berater.

Kurzbiographie:

  • Studium der Mathematik an der Universität Bielefeld
  • 1988 Abschluss als Dipl.-Math.
  • 1990 Promotion an der Universität Bielefeld zum Doktor der Mathematik (Dr math)
  • Oktober 1990 – Januar 1997 Systembetreuer bei Bertelsmann Zentrale Informationsverarbeitung, dem Vorläufer des heutigen arvato systems, Gütersloh. Aufgaben: Systembetreuung und Vernetzung von Computern verschiedenster Betriebssysteme
  • Seit 1.2.1997 Prof. für "Wirtschaftsinformatik, insb. Betriebssysteme und Netze in ihren betriebswirtschaftlichen Anwendungen", damit auch für IT-Sicherheit
  • Beauftragter der FH für die Betreuung der Schnittstelle Schule-Fachhochschule
  • Senatsmitglied
  • Seit 27.4.2019 lizenzierter ISIS12 Berater

„Rechtliche Anforderungen an IT-Sicherheitsupdates“

Tagtäglich werden neue Schwachstellen in der IT-Sicherheit entdeckt. Damit einhergehend stellt sich für Hersteller und Verkäufer von IT die Frage, in welchen Fällen, in welchem Umfang und für wie lange sie ihren Kunden IT-sicherheitsbezogene Softwareupdates zur Verfügung stellen müssen. Der Vortrag beleuchtet die gegenwärtige rechtliche Situation für die nicht immer klar geregelten Updatepflichten im B2B-Bereich vor allem aus der Herstellerperspektive.

Kurzbiographie:

Dr. Dennis-Kenji Kipker

Geschäftsführer

Certavo GmbH – international compliance management

Der Informationsrechtler Dr. Dennis-Kenji Kipker arbeitet an der Schnittstelle zwischen Recht und Technik in der Cybersicherheit, dem Datenschutz und der Verantwortlichkeit für Technologieprodukte. Kipker ist Herausgeber des Rechtshandbuchs „Cybersecurity“, Lehrbeauftragter an verschiedenen Hochschulen, u.a. am Hasso-Plattner-Institut in Potsdam, und berät weltweit Unternehmen und Behörden. In seiner freien Zeit schreibt er die „Datenkolumne“ in der Bremer-Tageszeitung „WESER-KURIER“.

"Möglichkeiten und Grenzen des Trusted Computing"

Trusted Computing stand lange nur in Form von TPMs zur Verfügung und wurde oft kritisch gesehen, bot es Herstellern doch die Möglichkeit eigene Interessen durchzusetzen, allen voran DRM. In den vergangenen Jahren wurden jedoch neuartige Trusted Computing-Konzepte wie Intel SGX auf den Markt gebracht, die bereits in vielen Servern, Workstations und Laptops zum Einsatz kommen. Gleichzeitig nahm die Bedeutung von Trusted Execution Environments (TEEs) in Smartphones zu, beispielsweise in Form der ARM TrustZone, als sicherer Schlüsselspeicher oder, seit Einführung von Android 9, zur sicheren Anzeige und Bestätigung von Informationen durch den Benutzer. Damit entstehen neue Anwendungsszenarien für Trusted Computing, die heute über DRM hinausgehen und den Sicherheitsinteressen der Benutzer zugutekommen, etwa bei der Zwei-Faktor-Authentifizierung und im Cloud Computing.

Nach einem kurzen Überblick über aktuelle Trusted Computing-Architekturen soll kritisch hinterfragt werden, gegen welche Angriffsmodelle heutige TEEs schützen und ob bzw. wie sich ihr Einstatz für Drittanbieter-Apps eignet. Dabei werden neben den Möglichkeiten auch Grenzen heutiger Trusted Computing-Systeme aufgezeigt, so dass ein uneingeschränkter Schutz für viele Anwendungsszenarien nach wie vor nicht absehbar scheint. Dazu werden sowohl prinzipbedingte Einschränkungen aktueller TEEs angesprochen als auch auf Schwachstellen eingegangen, die für Intel SGX und ARM TrustZone bekannt geworden sind. Durch verschiedene Forschungsprojekte und Industriekooperationen konnten wir mehrjährige Erfahrung im Umgang mit TEEs sammeln, sowohl bei der Sicherheitsanalyse existierender TEEs, der Konzeption neuer, akademischer TEEs, als auch dem Design von Apps, die abgesichert werden sollen.

Kurzbiographie:

Dr.-Ing. Tilo Müller ist Leiter der Forschungsgruppe für Systemsicherheit und Softwareschutz am Lehrstuhl für IT-Sicherheit der Friedrich-Alexander-Universität Erlangen-Nürnberg. Seine Forschungsschwerpunkte umfassen neben Mobile Security und Reverse Engineering den Einsatz von Trusted Computing als Sicherheitsanker für Benutzerapplikationen. Er studierte Informatik an der RWTH Aachen sowie der TKK Helsinki und promovierte 2013 an der FAU Erlangen-Nürnberg über die Sicherheit von Festplattenverschlüsselungen.

"CERT und SOC Aktivitäten sowie die Herausforderungen im Umgang mit Schwachstellen in unseren Maschinen" 

Eine effiziente industrielle Fertigung hängt schon seit Jahrzehnten von spezialisierten IT-Systemen ab. Das Schlagwort „Digitalisierung“ steht in diesem Umfeld maßgeblich für die zunehmende Vernetzung der Systeme untereinander sowie ihre Verbindung mit Office-IT und Cloud-Lösungen. Jahrzehnte alte Industrial Control Systems (ICS) sollen mit modernen Industrie 4.0 Lösungen unterschiedlicher Hersteller ein homogenes und funktionierendes Gesamtsystem ergeben. Zahlreiche Sicherheitsvorfälle mit Produktionsausfällen als Konsequenz haben in den vergangenen Monaten auch Security-Laien klar gemacht, dass die damit einhergehenden Sicherheitsprobleme adressiert werden müssen. In einigen Bereichen ist Sicherheit bereits gesetzlich gefordert. Doch der Weg zum angemessenen Sicherheitsniveau ist oft schwierig. Er beginnt mit der Suche nach Transparenz über Risiken und führt zur Frage nach den richtigen Maßnahmen. Die Antwort darauf wird nicht nur von der technischen und auch organisatorischen Umsetzbarkeit von Maßnahmen bestimmt, sondern auch von deren Kosten-Nutzen-Bewertung.  

Der Vortrag will ausgehend von den Praxiserfahrungen des Syskron Security Teams aufzeigen, vor welchen Herausforderungen Anbieter und Nutzer von Industrial Control Systems (ICS) beim Umgang mit Security Schwachstellen in den Maschinen stehen und wie sie mit diesen umgehen. Für eine sichere Produktion müssen die Ansprüche und Möglichkeiten von Anbietern und Nutzern ausbalanciert werden. Der Erfahrungsbericht zu den CERT und SOC Aktivitäten der Krones Gruppe verdeutlich, dass Sicherheitsmaßnahmen im Idealfall mehrschichtig sind und sich nicht ausschließlich auf die Prävention konzentrieren.

Kurzbiographie:

Seit 2018 verantwortet Dr. Thomas Nowey bei Syskron die Cyber Security Beratung und Services für industrielle Umgebungen. Parallel dazu ist er Corporate Information Security Officer und Konzerndatenschutzbeauftragter der Krones Gruppe. Thomas Nowey ist seit mehr als zehn Jahren in verschiedenen Fach- und Führungsfunktionen bei Krones tätig. Das Thema Security hat ihn dabei stets begleitet, vom Aufbau des nach ISO 27001 zertifizierten ISMS, über die Gründung des Product Security Incident Response Teams bis zur Entwicklung von ICS Security Beratungsangeboten für Kunden.

Vor seinem Wechsel in die Industrie hat Thomas Nowey Wirtschaftsinformatik studiert und als wissenschaftlicher Mitarbeiter bei Prof. Dr. Hannes Federrath gearbeitet. Er hat über die überbetriebliche Sammlung von Informationen über Sicherheitsvorfälle promoviert. Als Lehrbeauftragter an der Universität Regensburg und der Hochschule Deggendorf vermittelt er mit Begeisterung sein theoretisches Wissen und seine praktischen Erfahrungen. Der passionierte Skifahrer mag den Blick über den Tellerrand und sammelt seine Ideen für effektives Risikomanagement nicht nur in Security Arbeitskreisen sondern auch im Tiefschnee.

"Sind wir noch zu retten? – Live-Hacking-Show" (Workshop gemeinsam mit Sabrina Steinhüser)

Der Rechner auf dem Schreibtisch, das Notebook im Gepäck und das Smartphone in der Hosentasche … digitale Geräte sind meist nur maximal eine Armlänge von uns entfernt. Und sie enthalten jede Menge sensible Informationen: Unsere Firmendaten/Behördendaten, Arbeitspapiere, E-Mails, Kontaktinformationen von Kollegen und Geschäftspartnern, Schnappschüsse unserer Kinder und vieles mehr. Wie fänden Sie es, wenn ein Dritter nahezu nach Belieben darauf zugreifen könnte? Ihr Smartphone als Spion? Ihr Passwort bekannt wie ein bunter Hund? Wie sicher sind denn unsere Daten eigentlich?

Warum Hacker gerade Sie im Visier haben und wie sie vorgehen, zeigen wir mit einer Live-Hacking-Show der Firma secunet Security Networks AG.

Die Referenten demonstrieren Ihnen in Echtzeit, wie ein Hacker-Angriff aussehen kann. Es erwartet Sie ein interaktiver und spannender Vortrag mit vielen Tipps und Tricks wie Sie Cyber-Angreifern das Leben schwer machen können und so ganz nebenbei mehr Informationssicherheit erreichen – im Büro, unterwegs und zu Hause. So selbstverständlich wie das Verschließen Ihrer Haustür.

Kurzbiographie:

Sascha Schwafertz arbeitet seit Januar 2019 bei der secunet AG. Neben der Erstellung von Sicherheitskonzepten nach BSI Grundschutz und Awareness-Kampagnen ist er zudem technischer Ansprechpartner für diverse Softwaretools, die das Vorgehen des BSI-Grundschutz unterstützen. Zuvor war er sechs Jahre lang im Administrativen Geschäft angestellt. Unter anderem ging es in seiner Arbeit um das aktive Vorbeugen von Sicherheitslücken in Client- und Server-Systemen. Zudem hält er Vorträge im Bereich Mitarbeiter-Sensibilisierung und Schulungen zu diversen Grundschutz-Tools. Seit August 2019 ist er aktiv für das Team der Live-Hacker der secunet AG unterwegs.

"Aktuelle Angriffe auf alte (noch eingesetzte) Kryptographie"

Mit Ausnahme von TLS und Websicherheit stehen wichtige in der Praxis eingesetzte Kryptographiestandards, die meist in den 90er Jahren des letzten Jahrhunderts entwickelt wurden, selten im Fokus der akademischen Forschung. Während Angriffsmethoden auf kryptographische Bausteine wie Verschlüsselung und digitale Signaturen immer ausgefeilter werden, arbeiten diese Standards im Wesentlichen weiter mit über 20 Jahre alten Primitiven.

Am Beispiel der Industriestandards S/MIME (E-Mail-Verschlüsselung) und PDF-Sicherheit wollen wir aufzeigen, dass Angriffe verallgemeinert werden können und ein Umdenken in Richtung einer ganzheitlichen Betrachtung von Anwendungen erforderlich ist, um die Sicherheit dieser Anwendungen auch in Zukunft zu garantieren.

Kurzbiographie:

Prof. Dr. Jörg Schwenk leitet den Lehrstuhl Netz- und Datensicherheit an der Ruhr-Universität Bochum seit dem Jahr 2003. Von 1993 bis 2001 arbeitete er im Bereich Sicherheit der Deutschen Telekom in verschiedenen Industrieprojekten. Anschließend lehrte er zwei Jahre lang an der Technischen Hochschule Nürnberg Georg Simon Ohm. Er ist Autor von mehr als 60 Patenten und mehr als 100 wissenschaftlichen Publikationen. Seine Forschungsinteressen umfassen kryptographische Protokolle (SSL/TLS, IPSec, SSH, Kerberos), die Sicherheit kryptographischer Datenformate (OpenPGP, S/MIME, XML, JSON, PDF), sowie Web- und Internetsicherheit (XSS, Same-Origin-Policy).

„Umgang mit Betroffenenrechten (Auskunft, Löschung, etc. nach DSGVO) in der Praxis“

Die Datenschutz-Grundverordnung DSGVO räumt den Betroffenen umfangreiche Rechte ein. Ob Auskunft, Löschung, Widerspruch oder die weiterreichenden Transparenzpflichten, Unternehmen haben diesbezüglich komplexe Aufgaben zu bewältigen.

Die DSGVO greift die bisherigen Rechte des ehemals geltenden Bundesdatenschutzgesetzes auf und entwickelt sie weiter. Dabei sind auch einige Verschärfungen, wie zum Beispiel einzuhaltende Fristen unbedingt zu beachten. In diesem Workshop werden die Rechte der Betroffenen und eine praxisorientierte Umsetzung in Ihrem Unternehmen beispielhaft aufgezeigt. Aktuelle Rechtsprechung und Stellungnahmen der Aufsichtsbehörden runden die Diskussion ab.

Kurzbiographie:

  • Fachanwältin für Informationstechnologierecht
  • Dozentin der Nordakademie
  • Lehrbeauftragte der FH Flensburg

Rechtsanwältin Carola Sieling ist Spezialistin auf dem Gebiet des IT- und Internetrechts. Sie beherrscht nicht nur das Handwerkszeug einer Rechtsanwältin, sondern verfügt über ausgezeichnete technische Kenntnisse, die für eine rechtliche Beratung im IT-Recht unablässig sind.

"Developers are not the enemy! – On usability issues for secure software development."

Usability problems are a major cause of many of today’s IT-security incidents. Security systems are often too complicated, time-consuming, and error prone. For more than a decade, researchers in the domain of usable security (USEC) have attempted to combat these problems by conducting interdisciplinary research focusing on the root causes of the problems and on the creation of usable security mechanisms. While major improvements have been made, to date USEC research has focused almost entirely on the non-expert end-user. However, many of the most catastrophic security incidents were not caused by end-users, but by developers. Heartbleed and Shellshock were both caused by single developers yet had global consequences. Fundamentally, every software vulnerability is caused by developers making a mistake, but very little research has been done into the underlying causalities and possible mitigation strategies. In this talk we will explore usable security concepts for developers focusing on secure password storage and usability issues of software analysis. 

Kurzbiographie:

Matthew Smith is a Professor for Usable Security and Privacy at the University of Bonn and Fraunhofer FKIE. His research is focused on human factors of security and privacy with a wide range of application areas. His work has been published at amongst others IEEE S&P, ACM CCS, USENIX Security, NDSS, ACM SIGCHI and SOUPS the Symposium on Usable Security and Privacy. Matthew Smith is also actively involved in the organisation of top academic conferences and is serving on the steering committees of SOUPS, USEC and EuroUSEC as well as serving as program co-chair for SOUPS 2016 and 2017 and program co-chair for IEEE EuroS&P 2017 and 2018. In 2017 he co-founded the start-up Code Intelligence to help companies integrate cutting edge, developer friendly dynamic software testing into their software development lifecycle.

„Auswirkungen und Sicherheit neuer Internet-Protokolle“ (Vortrag gemeinsam mit Dr. Olaf Bonorden)

Nach einer langen Zeit der Stabilität bei den wichtigsten Internet-Protokollen, hat nun eine Ära begonnen, in denen neue Web-Protokoll-Standards rasch umgesetzt werden und grundlegende Änderungen mit sich bringen. Der globale Internet-Traffic steigt weiter steil an und obwohl die letzte HTTP-Revolution erst ein paar Jahre alt ist, wird sie bereits von mehr als einem Drittel der Webserver unterstützt. Wenn die anstehenden nächsten Generationen ebenso erfolgreich sind, werden viele Sicherheitsprodukte am Gateway, im Netz und in der Cloud blind werden, falls die IT-Security-Hersteller nicht rechtzeitig reagieren. Der Vortrag gibt einen Überblick über die Entwicklung, die Motivation, Chancen und Risiken der neuen Internet-Protokolle.

Kurzbiographie:

Dipl.-Inform. Martin Stecher, McAfee Fellow, Geschäftsführer McAfee Germany GmbH. Nach seinem Informatikstudium an der Universität Kaiserslautern und ersten Berufserfahrungen im Düsseldorfer Raum, arbeitet Martin Stecher nunmehr seit 20 Jahren in Paderborn, zunächst beim Startup webwasher.com AG, die über eine Reihe von Akquisitionen seit 2008 in den McAfee-Konzern integriert ist. In den Jahren hat Herr Stecher erfolgreich die Entwicklung der Web Protection Produkte aufgebaut und technologisch unter anderem das Protokoll ICAP mitentwickelt und zum Industriestandard geführt. Als McAfee Fellow und Chief Architect war er für die systemübergreifende Plattformarchitektur aller Corporate-Produkte von McAfee weltweit verantwortlich und leitet nun die Entwicklung der neuen Unified Cloud Edge Sparte. Außerdem fungiert Herr Stecher als Geschäftsführer der McAfee Germany GmbH.

"Sind wir noch zu retten? – Live-Hacking-Show" (Workshop gemeinsam mit Sascha Schwafertz)

Der Rechner auf dem Schreibtisch, das Notebook im Gepäck und das Smartphone in der Hosentasche … digitale Geräte sind meist nur maximal eine Armlänge von uns entfernt. Und sie enthalten jede Menge sensible Informationen: Unsere Firmendaten/Behördendaten, Arbeitspapiere, E-Mails, Kontaktinformationen von Kollegen und Geschäftspartnern, Schnappschüsse unserer Kinder und vieles mehr. Wie fänden Sie es, wenn ein Dritter nahezu nach Belieben darauf zugreifen könnte? Ihr Smartphone als Spion? Ihr Passwort bekannt wie ein bunter Hund? Wie sicher sind denn unsere Daten eigentlich?

Warum Hacker gerade Sie im Visier haben und wie sie vorgehen, zeigen wir mit einer Live-Hacking-Show der Firma secunet Security Networks AG.

Die Referenten demonstrieren Ihnen in Echtzeit, wie ein Hacker-Angriff aussehen kann. Es erwartet Sie ein interaktiver und spannender Vortrag mit vielen Tipps und Tricks wie Sie Cyber-Angreifern das Leben schwer machen können und so ganz nebenbei mehr Informationssicherheit erreichen – im Büro, unterwegs und zu Hause. So selbstverständlich wie das Verschließen Ihrer Haustür.

Kurzbiographie:

Sabrina Steinhüser arbeitet seit Mai 2019 bei der secunet AG. Sie unterstützt dort die Einhaltung der Anforderungen im Bereich eHealth und führt zudem wissenschaftliche Recherchen dazu durch. Zuvor war sie bei einem Versorgungsunternehmen einerseits als Ansprechpartnerin und Beraterin für Mitarbeiter und darüber hinaus in der Software-Dokumentation tätig. Weiter gehörten zu ihrem Aufgabenbereich die Verantwortung, Wartung und Erweiterung des Informationsbereiches einer Abteilung. Seit August 2019 ist sie Teil des Live-Hacker-Teams der secunet AG.

Die Bildrechte der im Rahmen der Vorstellung der Referentinnen/Referenten veröffentlichten Fotos liegen bei den jeweiligen Referentinnen/Referenten.