Vorläufiges Programm

PDF Version herunterladen
Sessionplan
Dienstag · 24. Juni 2008 Mittwoch · 25. Juni 2008
Trends und Herausforderungen Anwendungen und Analysen Web Security
Elektronische Geschäftsprozesse Standards und Fallstudien RFID und Smartcards Risiken und Präventionsmaßnahmen
Dokumentensicherheit Authentifizierung Access Control Sichere Webapplikationen
Forensik und Intrusion Detection Biometrie und Wasserzeichen Service orientierte Anwendungen
Dienstag · 24. Juni 2008
08.30 Uhr Registrierung, Kaffee und Tee
09.30 Uhr Begrüßung und Überblick P. Horster
H. Krallmann
Trends und Herausforderungen · Leitung: T. Kob A
09.35 Uhr Aktuelle Sicherheitsparadigmen und ökonomische Konflikte
  • Dezentralisierung der Informationssicherheit
  • Sicherheitskultur als scheinbare Lösung
  • Outsourcing und Kooperation als neue Herausforderungen
  • Das Prinzipal-Agenten-Problem
  • Ökonomik als Lösungsansatz
 T. Glaser
F. Pallas
TU Berlin
10.00 Uhr Trendbeobachtung in der Informationssicherheit
  • Globale (ISC)²-Personalstudie für Informationssicherheit 2008
  • Einzige globale Studie ihrer Art, zeigt Arbeitsmarkt- und Gehälterwachstum
  • Beleuchtet nachgefragten Bildungsgrad, Erfahrung und Fähigkeiten
  • Unterstreicht die gestiegene Verantwortung und den Bedarf an Fortbildung
  • Untersucht gegenwärtig und künftig eingesetzte Technologien und Tätigkeiten
 P. Berlich
(ISC)²
10.25 Uhr Datenschutz bei Internetbekanntmachungen - ein Modell für eGovernment?
  • Einführung und aktueller Stand
  • Gefahren für den Datenschutz
  • Technische Lösungsansätze
  • Rechtliche Lösungsansätze
  • Bewertung und Folgenabschätzung
 J. Klink
Richterin
10.50 Uhr Kommunikationspause
Elektronische Geschäftsprozesse · Leitung: U. Korte A
11.20 Uhr ePOD2: Electronic Proof of Delivery at Point of Delivery
  • Sicherung logistischer Prozesse durch die elektronische Signatur
  • Von der Bestellung über das Internet bis zur Übergabe an den Endverbraucher
  • Integration in bestehende IT-Landschaften durch Service Orientierte Architektur
  • Mehrwertdienste (Bezahlung, Identifikation über RFID)
  • Live-Showcase mit Signatur-Erstellungseinheit und mobilem Gerät
 A. Trautmann
LinogistiX GmbH
11.45 Uhr Mobile Enterprise-Messaging Lösungen
  • Was ist Mobile Enterprise-Messaging
  • Führende Mobile Messaging Lösungen
  • Vergleich der IT-Lösungen
  • Bewertungsmöglichkeiten der IT-Lösungen
  • Zukünftige Entwicklung von Mobile Messaging Lösungen
 C. Russ
R. Heinrich
Infineon
12.10 Uhr Transaktionsbasierte Nachweisführung in Businessprozessen
  • Revisionssichere transaktionale Nachweisführung in Workflows
  • Standards und Konzepte verteilter Transaktions- und Workflow-Systeme
  • Anforderungen an ein transaktionales Workflow-Management-System
  • Architekturentwurf eines transaktionalen Workflow-Management-Systems
  • Anwendungsszenario sichere Nachweisführung
S. Mark
TU Dresden
Standards und Fallstudien · Leitung: K.-D. Wolfenstetter B
11.20 Uhr Business Alignment der Information Security
  • Was liefert die ISO27004 - Metrics & Measurements?
  • Aufbau eines KPI-Systems mit ISO2700x, CoBIT und Grundschutz
  • Verknüpfung der KPIs über eine Balanced Score Card mit Unternehmenszielen
  • Unternehmensnutzen eines steigenden Reifegrads der ISMS-Prozesse
  • Einbettung in einen übergreifenden Governance, Risk & Compliance-Ansatz
 T. Kob
F. Hueber
HiSolutions AG
11.45 Uhr Quantitatives IT-Risikomanagement nach ISO 27001
  • IT-Risikomanagement als zyklischer Ansatz basierend auf ISO 27001
  • Quantitative Erfassung des betrieblichen Schadenspotentials
  • Schwachstellen als fehlende Kontrollziele gemäß ISO 27001
  • Quantitative Bewertung von Risikoszenarien bezogen auf die Risikoakzeptanz
  • Nachhaltiges IT-Risikomanagement durch dezidierte Risikomanagementprozesse
 A. Knäbchen
M. Reil
J. Wiedemann
Accenture
12.10 Uhr Ganzheitliches Sicherheitsmanagement
  • Orientierung an einem risikoorientierten ISMS im Sinne des ISO 27001
  • Aufbau eines Kennzahlensystems nach dem Schema der Balanced Scorecard
  • Ableitung von Zielen der Informationssicherheit aus den Geschäftszielen
  • Entwicklung einer Methodik zur Definition von geeigneten Kennzahlen
  • Generierung von Steuerungsgrößen bzgl. Informationssicherheit
 T. Störtkuhl
Secaron
12.35 Uhr Gemeinsame Mittagspause
Dokumentensicherheit · Leitung: P. Schartner A
13.35 Uhr Die elektronische Krankenakte
  • Organisationsstruktur-basiertes Berechtigungskonzept
  • Ausführbares Modell einer Sicherheitsstrategie
  • Analyse und Verifikation von Sicherheitseigenschaften
  • Kompakte Visualisierung durch Abstraktion
  • Funktionssicherheit trotz Datensparsamkeit
 R. Rieke
P. Ochsenschläger
Z. Velikova
Fraunhofer-SIT
14.00 Uhr Bürgerportale: Sichere E-Mail mit akkreditierten Diensteanbietern
  • Spezielle Adressen für zuverlässig identifizierte Nutzer
  • Verbindliche Kommunikation mittels starker Authentisierung
  • Nachweis des Inhalts und der Zustellung einer Nachricht
  • Akkreditierung der Diensteanbieter und rechtliche Regelungen
  • Ausblick: Pilotierung zusammen mit der Wirtschaft
 A. Wappenschmidt
S. Heyde
secunet AG
H. Stach
BMI
14.25 Uhr Sicherheit in Systemen zur Digitalen Langzeitarchivierung
  • Sicherheit in Langzeitarchivierungssystemen
  • Integrität und Authentizität von Archivobjekten
  • Feingranulare Überprüfung von Informationsverlusten
  • Syntax-Semantik Modell
  • Medienbrüche und Medienwechsel
 A. Oermann
J. Dittmann
Otto-von-Guericke Universität Magdeburg
S. Dobratz
HU Berlin
Authentifizierung · Leitung: H. Storck B
13.35 Uhr Anonyme Authentifikation - Prinzipien und Anwendungen
  • Autorisierung durch Anonyme Authentifikation
  • Anonymität und Unverkettbarkeit von Transaktionen
  • Reduktion der Anonymität durch Häufigkeitsanalysen
  • Hybride Verfahren
  • Anwendungsbereiche
 D. Slamanig
FH Technikum Kärnten
14.00 Uhr Statistische Analyse verschiedener Verfahren zur Passwortwahl
  • Bieten über Eselsbrücken gebildete Passwörter tatsächlich höhere Sicherheit?
  • Verwendung der Anfangsbuchstaben der Wörter eines Satzes als Passwort
  • Statistische Analyse derartiger Verfahren
  • Verteilung von Eintrittshäufigkeiten entsprechend gebildeter Passwörter
  • Ergebnisvergleich und resultierende Empfehlungen
 A. Scheerhorn
A. Gehring
FH Trier
14.25 Uhr Trusted Network Connect - sicherer Zugang ins Unternehmensnetz
  • Sichere Authentifizierung des Users und der Hardware
  • Quarantänezone für sich nicht-konform verhaltende Endgeräte
  • Modulare Entwicklung im Forschungsprojekt SIMOIT
  • Auswahl unterschiedlicher Sicherheitsprofile
  • Heterogene Netz- und Endgeräteunterstützung
 K.O. Detken
DECOIT GmbH
14.50 Uhr Kommunikationspause
Forensik und Intrusion Detection · Leitung: N. Pohlmann A
15.20 Uhr Offline-Forensik für vernetzte Gruppeninteraktionen
  • Analyse des Netzwerkdatenverkehrs
  • Identifizierung und Visualisierung von strukturellen Gruppeninteraktionen
  • Forensische Offlineanalyse
  • Erkennung von nicht erlaubten Kommunikationen
  • Identifizierung von verdeckten Kommunikationskanälen
 A. Lang
J. Dittmann
Otto-von-Guericke Universität Magdeburg
15.45 Uhr Zum Einsatz einer Remote Forensic Software
  • Grundlagen zur Online-Durchsuchung
  • Technische Möglichkeiten einer "Remote Forensic Software"
  • Schutzmöglichkeiten für Betroffene
  • Rechtliche Aspekte und das Urteil des BVerfG
  • Ausblick auf mögliche Entwicklungen
 C. Wegener
Ruhr-Universität Bochum
16.10 Uhr Ganzheitliche Betrachtung eines Internet Frühwarnsystems
  • Sicherheit des Internet
  • Internet Frühwarnung
  • Globale Sicht auf das Internet
  • Ziele eines Internet Frühwarnsystems
  • Komponenten eines Internet Frühwarnsystems
 S. Bastke
Institut für Internet-Sicherheit
16.35 Uhr IDS als zukünftige Ergänzung automotiver IT-Sicherheit
  • Bedeutung von IT-Sicherheitskonzepten für das Automobil
  • Erwägung eines zukünftigen automotiven Einsatzes von IDS-Ansätzen
  • Identifikation und Diskussion individueller Anforderungen
  • Evaluierung erster Ansätze an heutiger automotiver Technik
  • Testergebnisse
 T. Hoppe
S. Kiltz
J. Dittmann
Otto-von-Guericke Universität Magdeburg
Biometrie und Wasserzeichen · Leitung: J. Dittmann B
15.20 Uhr Performanzmaße biometrischer Hashes am Beispiel Handschrift
  • Online-Handschrift als biometrisches Merkmal
  • Kryptografische vs. biometrische Hashfunktionen
  • Variabilität biometrischer Daten
  • Neue Performanzmaße für biometrische Hashfunktionen
  • Exemplarische Evaluierung eines biometrischen Hashalgorithmus
 T. Scheidat
C. Vielhauer
J. Dittmann
Otto-von-Guericke Universität Magdeburg
15.45 Uhr Multi Biometric Engine - ein universelles Framework
  • Varianten der Multibiometrie
  • Biometrische Grenzkontrolle mit Multibiometrie
  • Konzept zur Implementierung in einer generischen Multi Biometric Engine
  • Beispielhafte Umsetzung verschiedener multibiometrischer Verfahren
  • Darstellung des Potentials anhand von Testergebnissen
 K. Radestock
E. Spitzwieser
secunet AG
16.10 Uhr Optimiertes Auslesen digitaler Audiowasserzeichen
  • Robuste und transparente Audiowasserzeichen
  • Nutzung von Psychoakustik
  • Detektion von Informationen
  • Adaptive Optimierung des Auslesens
  • Steigerung von Robustheit ohne Auswirkung auf Transparenz und Datenrate
 M. Steinebach
Fraunhofer SIT
16.35 Uhr Sicherung der Echtheit von Videodaten mit digitalen Wasserzeichen
  • Inhalts-fragile Wasserzeichen
  • Interest-Operatoren
  • Der erweiterte Moravec-Operator
  • Mögliche Manipulationen von Videodaten
  • Robustheit und Sensitivität des Wasserzeichenverfahrens
 S. Thiemert
M. Steinebach
Fraunhofer SIT
D. Thiemert
IMSS, University of Reading
17.00 Uhr Ende erster Konferenztag
19.30 Uhr Gemeinsames Abendessen
Mittwoch · 25. Juni 2008
Anwendungen und Analysen · Leitung: A. Bluhm A
09.00 Uhr Angriffserkennung in MANETs basierend auf Entfernungsschätzungen
  • Angriffserkennung in mobilen Ad-hoc-Netzen (MANETs)
  • Verifikation von Positionsdaten durch Funkcharakteristika
  • Messungen in verschiedenen Umgebungen mit Standard-WLAN-Karten
  • Entfernungsschätzung zweier Knoten basierend auf Funksignalstärke
  • Anwendung zur Entfernungsbestimmung durch Signalstärkemessungen
 P. Ebinger
Fraunhofer-Institut für graphische Datenverarbeitung
S. Appel
TU Darmstadt
09.25 Uhr Sicherheit von E-Voting Systemen
  • Hauptaufgaben und Elemente von E-Voting Systemen
  • Wahlgrundsätze und Wahlrecht
  • Sicherheit von E-Voting Systemen
  • Bewertung und Optimierung der Sicherheit von E-Voting Systemen
  • Anwendung der Methode
 B. Ondrisek
TU Wien
09.50 Uhr Signaturbasierte Autorisierungserweiterung für Lock-Keeper
  • Aufbau des Lock-Keeper Sicherheitsgateways
  • Sicherheitsziele des Lock-Keepers
  • Transferautorisierung mittels Digitaler Signaturen
  • Nachvollziehbarkeit durch Transferprotokolle und Transferarchivierung
  • Erfahrungen in der Praxis
 F. Losemann
A. Heuer
Actisis GmbH
10.15 Uhr Praxisbeitrag Moderne Schutzbedarfsfeststellung
  • Sicherheit managen - nie ohne Schutzbedarfsfeststellung!
  • Sensibilisierung und Vorbereitung am Projektanfang lohnt.
  • Neue Sichtweise bei Ressourcenabhängigkeiten und -bewertung.
  • Pragmatischer Umgang mit den Ergebnissen - Mut zur Lücke!
  • ValIT, IT-Governance und Kostenrechnung können in Zukunft helfen.
 R. Frankenstein
HiSolutions AG
Web Security · Leitung: S. Strobel B
09.00 Uhr WLAN Steganographie: Neue Ansätze und deren Bewertung
  • Versteckte Kanäle in WLANs
  • Steganographie und Steganalysis
  • Konstruktion versteckter Speicherkanäle
  • Konstruktion versteckter Zeitkanäle
  • Testverfahren für WLAN-Steganographie
 C. Kraetzer
J. Dittmann
R. Merkel
Otto-von-Guericke Universität Magdeburg
09.25 Uhr Integration von Sicherheitsmodellen in Web Services
  • Unternehmensübergreifende Geschäftsprozesse mit Web Services
  • IT-Sicherheit und anwendungsspezifische Sicherheitspolitiken
  • Sicherheitsmodell und HRU-Safety Analyse
  • Implementierungskonzept mittels Axis2
  • Trusted Computing Base und Referenzmonitorprinzipien
 A. Fischer
W. Kühnhauser
TU Ilmenau
09.50 Uhr Konzept "Jericho": Wie kann man Firewalls wirklich abschaffen?
  • Perimeter-Firewalls schützen nur gegen einen kleinen Teil aktueller Angriffe
  • Verschlüsselung, Authentifizierung und Monitoring ersetzen sie weitgehend
  • Jericho vs. Firewall: Sicherheitsbetrachtung an Hand von Beispielen
  • Herausforderungen bei der Umsetzung
  • Wer sind die "early adopters"?
 H. Goebel
Goebel Consult
10.15 Uhr Web Exploit Toolkits im Vergleich - Moderne Infektionsroutinen
  • Malware gestern und heute
  • Moderne Infektionsroutinen
  • Funktionsweisen moderner Web Exploit Toolkits (WETs)
  • Verschiedene Web Exploit Toolkits im Vergleich
  • WETs in der Zukunft
 D. Birk
C. Wegener
Ruhr-Universität Bochum
10.40 Uhr Kommunikationspause
RFID und Smartcards · Leitung: P. Frießem A
11.10 Uhr Verteilte Autorisation in RFID-Ereignissystemen
  • Autorisation in firmenübergreifenden RFID-Kooperationen
  • Zugriffskontrollarchitektur für Auto-ID-Repositories
  • Serviceorientierte Einbeziehung entfernter Zugriffsentscheidungen
  • Erweiterung von XACML zur regelbasierten Behandlung großer Ereignismengen
  • Effiziente Durchsetzung durch Nutzung von Datenbank-Mechanismen
 E. Grummt
SAP Research
M. Schöffel
TU Dresden
11.35 Uhr Sichere Infrastruktur zur Verwaltung eines NFC-Ökosystems
  • Near Field Communication Ökosystem
  • Verwaltung von SmartCard Applikationen
  • Konzept für ein sicheres Infrastruktursystem
  • Evaluierung durch Prototyp
  • Einsatzszenarien
 G. Madlmayr
J. Ecker
J. Langer
FH Hagenberg
J. Scharinger
Universität Linz
12.00 Uhr RFID-Authentisierung in der Lieferkette der Automobilindustrie
  • RFID-Einsatz in der Lieferkette der Automobilindustrie
  • Lückenlose Dokumentation der Fahrzeughistorie auf RFID-Transpondern
  • Datenmodell für den kontrollierten Datenaustausch in der Lieferkette
  • Sicherung der Daten durch feingranulare Zugriffsberechtigungen
  • Zugriffsschutz-Verfahren mit abgeleiteten Schlüsseln
 S. Schäfer
K. Sohr
Uni Bremen
Risiken und Präventionsmaßnahmen · Leitung: I. Münch B
11.10 Uhr Möglichkeiten und Risiken von LDAP-Verzeichnissen
  • Veröffentlichung und Datenschutz ein Zielkonflikt?
  • Evaluierung deutscher und österreichischer LDAP-Betreiber
  • Sicherheitslücken von LDAP-Verzeichnissen
  • LDAP-Zugriffe über Web Services
  • Directory Service Markup Language ( DSML)
 K. Flieder
FH CAMPUS02
11.35 Uhr Data Leakage Prevention: Alles nur eine Frage des Inhalts
  • Gefährdung der Vertraulichkeit durch Innentäter
  • Gesetzliche Grundlagen und Akzeptanz im Arbeitnehmerumfeld
  • Einbindung in bestehende Netzwerkarchitekturen
  • Konzepte zur Inhaltsanalyse
  • Fallstudie zur Integration in bestehendes Produktportfolio
 M. Schmidt
Utimaco Safeware AG
12.00 Uhr Empirische Untersuchung von IP-Blacklists
  • IP-Blacklists als Antispam-Mechanismus
  • Überschneidungen von IP-Black-, White- und Bogonlists
  • Analyse des Abfrageverhaltens von IP-Blacklists
  • regionale Ausrichtung der Nutzung von IP-Blacklists und des E-Mail-Verkehrs
  • Aktivitätszeiträume von Spamquellen
 C. Dietrich
C. Rossow
N. Pohlmann
Institut für Internet-Sicherheit
12.25 Uhr Gemeinsame Mittagspause
Access Control · Leitung: L. Neugebauer A
13.25 Uhr Eine integrative Architektur für das Identity- und Access-Management
  • Serviceorientierter Ansatz im Identity-und Access-Management
  • Intermediärstrategie und das Primat der Einheitlichkeit
  • SOA, Web Services und SOAP
  • Prozessorientierte Servicekomposition
  • Die Standards DSML, SPML, SAML und XACML
 K. Flieder
FH CAMPUS02
13.50 Uhr Zugriffskontrollsprache für Model-driven Softwaredevelopment
  • Modellierung von Zugriffskontrolle in UML
  • Trennung von Anwendungscode und Zugriffskontrolle
  • Integration von Aspect Oriented Programming
  • Spezifikationssprache: Access Control Sets
  • Code-Generierung
 P. Trommler
M. W. Weissmann
FH Nürnberg
14.15 Uhr Berechtigungsmodellierung im Geschäftsprozessmanagement von KMU
  • Benutzbarkeitsaspekte bei Berechtigungen in Web-basierten Prozessen
  • Umgang mit Ad-Hoc-Prozessen, Ausnahmesituationen und Fehleinschätzungen
  • Flexibilität und Effizienz durch Selbstbedienungsparadigma für Benutzer
  • Absicherung durch Vermeidung von destruktiven Vorgängen
  • Anwendung von Monitoring, Versionierung und Authorization Constraints
 S. Bartsch
C. Bormann
Universität Bremen
Sichere Webapplikationen · Leitung: G. Bitz B
13.25 Uhr Identitäten in einer Service orientierten Welt Identity as a Service
  • Software as a Service - braucht man das?
  • ...und wie ist es mit der Sicherheit bestellt?
  • Die Identität als Basis im Internet
  • Konsequenzen für unternehmerisches Handeln
  • ...und wie kann es umgesetzt werden?
 A. Reckeweg
Sun Microsystems GmbH
13.50 Uhr E-Mail-Krypto-Gateways
  • E-Mail-Verschlüsselung auf dem Gateway entspricht nicht der reinen Lehre
  • Trotzdem ist dieser pragmatische Ansatz beliebt
  • Standardisierung ist noch nicht ausreichend
  • Entwicklungsmöglichkeiten bestehen
  • Client- und Gateway-Verschlüsselung schließen sich nicht aus
 K. Schmeh
cv cryptovision
14.15 Uhr Open-Source Webapplikationen - Eine Bedrohung für das Internet?
  • Massenhafte Verbreitung von Open-Source Content Management Systemen
  • Denial of Service Attacken und Spam-Relays
  • Die Bedrohung durch Bot-Netzwerke
  • Eine Aktuelle Fallstudie
  • Best-Practice und Alternativen
 G. Lackner
R. Weinberger
studio78.at
14.40 Uhr Kommunikationspause
Service orientierte Anwendungen · Leitung: H. Reimer A
15.10 Uhr SOA Security: Symmetric Key Management Systems based on SKML
  • Enterprise Key-Management die Anforderungen
  • SKML Vorstellung des Protokolls
  • Stand der Standardisierung SKML
  • Einsatzgebiete, vorgestellt anhand einer OpenSource Implementierung
  • Grenzen von SKML
 A. Philipp
Utimaco Safeware AG
15.35 Uhr Integration von Security in ein SOA-Vorgehensmodell
  • SOA Security
  • Vorgehensmodellanalyse
  • Management Aspekte von SOA Security
  • Security Integration in SOA Vorgehensmodell
  • Ergänzung von und Zusammenspiel mit technischen Aspekten
 A. Bluhm
C. Schröpfer
TU Berlin
16.00 Uhr Security als Service in SOA Infrastrukturen
  • Security in Service-Orientierten Architekturen
  • Anforderungen an Modellierung, Administration, Workflows
  • Einsatz von Security Standards und Integration vorhandener Lösungen
  • Lokale und Domänenweite Architekturansätze für Security Services
  • SOA Security Automation - von Modellierung über Roll-Out bis zum Audit
 B. Quint
CORISECIO
16.25 Uhr Konferenzende
. . . als Referenten haben sich zusätzlich zur Verfügung gestellt:
Mobile Forensics - bewegte Spuren S. Krause
HiSolutions AG
Java-basierte Simulation von Smartcards R. Wigoutschnigg
P. Schartner
Universität Klagenfurt
Über die lokale und verteilte Erzeugung systemweit eindeutiger Zufallszahlen M. Schaffer
P. Schartner
Universität Klagenfurt
© syssec 2010