Programm

PDF-Version:
Sessionplan

Dienstag • 12 Juni 2007 Mittwoch • 13. Juni 2007
Phishing und TANs Authentifizierung Chipkarten im Gesundheitswesen
Sicherheitsmanagement Web Services Digitale Rechte und Rollen Grundschutz
RFID und Privacy eGovernment Elektronische Signaturen und Biometrie Architekturen und Anwendungen
Recht Netzwerksicherheit PKI in der Praxis




Dienstag • 12. Juni 2007

08.30 Uhr Registrierung, Kaffee und Tee
09.30 Uhr Begrüßung und Überblick P. Horster
Phishing und TANs · Leitung: P.J. Kunz A
09.35 Uhr Heute schon „gegoogelt“? Privatsphäre und Internet-Suchmaschinen
  • Datenschutz und Anonymität im Internet
  • Die Internet-Suchmaschine Google
  • Funktionsweise und Dienste von Google
  • Userprofiling und Analysemöglichkeiten von Google
  • Schutzmöglichkeiten vor den gläsernen Online Menschen
    		•  C. Russ
    Universität Klagenfurt
    10.00 Uhr Verwendet Ihre Bank Sichere TANs?
  • Online Banking mittels PIN / (i)TAN
  • Verteilung von (i)TAN-Zahlen
  • Messung der Güte von Verteilungen mittels Entropie
  • Experimente mit konkreten (i)TAN-Listen zweier Banken
  • Ausnutzen statistischer Auffälligkeiten für konkrete Angriffe
    		•  M. Fischlin
    TU Darmstadt
    10.25 Uhr Schutz vor Hybrid Phishing und XSS Trojanern durch ONR 17700
  • Phishing gestern, heute und in Zukunft
  • Wie laufen Hybride Phishing Attacken ab?
  • Bedrohung durch Cross Site Scripting Trojaner
  • Positionierung der ONR 17700
  • Anwendung der ONR 17700 an praktischen Beispielen
    		•  T. Kerbl
    SEC Consult GmbH
    10.50 Uhr Kommunikationspause

    Sicherheitsmanagement · Leitung: S. Teiwes A
    11.20 Uhr Extending BitLocker in an Enterprise environment
  • What is Full Volume Encryption?
  • What is Microsoft BitLocker?
  • Where BitLocker is successful
  • Where BitLocker reaches its limits
  • How this limits have been overcome
    		•  E. Alligand
    Utimaco Safeware AG
    11.45 Uhr Patch Management aus Sicht eines Herstellers
  • Bedeutung von Patch Management für Unternehmen
  • Produktportfolio mit vielen OEM Bestandteilen
  • Best Practice Ansatz für einen Patch Management Prozess
  • Testen und Verteilen von Updates
  • Anforderungen an ein Informationssystem das gutes Patch Management ermöglicht
    		•  G. T. Rohrmair
    K. Knorr
    Siemens AG CT IC CERT
    12.10 Uhr Wie kann Identity und Access Management Compliance unterstützen?
  • Regularien und Compliance
  • Internes Kontrollsystem und Standards für IT-Kontrollframeworks
  • Kontrollen und Kontrollarten
  • Identity und Access Management und der Bezug zu Kontrollen
  • Beispiele für Kontrollen und zugehörige Implikationen
    		•  M. Vogel
    KPMG AG

    Web Services · Leitung: F. Kollmann B
    11.20 Uhr Sichere Web Services: Standards, Interoperabilität und Roadmap
  • Status Quo: Typische Einsatzszenarien von WS-Security 1.x
  • Die Rolle von WS-I und Interoperabilitätstests in der Praxis
  • Lücken in der aktuellen WS-Sicherheitsarchitektur
  • Neue Sicherheitsstandards und Interoperabilitätsprofile
  • Beispiele für zukünftige Szenarien
    		•  M. Raepple
    SAP AG
    11.45 Uhr Sicherheit in der Prozessintegration mit Web Services und SOA
  • Service-orientierte Prozessintegration mit Web Services
  • Einheitliche, unternehmensübergreifende Prozessgestaltung
  • Erfahrungen aus einer Pilotimplementierung
  • SSL vs. WS-Security im praktischen Einsatz
  • Open Source-Komponenten auf dem Prüfstand
    		•  K. Flieder
    FH JOANNEUM
    12.10 Uhr Schutz der Privatsphäre in einem webbasierten Multiuser-System
  • Webbasierte Verwaltung sensibler Daten
  • Angriffe durch Insider
  • Schutz der Privatsphäre
  • Pseudonymisierung und Identitätsmanagement
  • Obfuscation gegen statistische Auswertungen
    		•  D. Slamanig
    C. Stingl
    FH Technikum Kärnten
    G. Lackner
    U. Payer
    IAIK TU Graz
    12.35 Uhr Gemeinsame Mittagspause

    RFID und Privacy · Leitung: W. Effing A
    13.35 Uhr Datensicherheit bei RFID auf Artikelebene
  • RFID auf Artikelebene
  • Anforderungen des Bekleidungshandels an die Sicherheit
  • Angriffsarten
  • Sicherheitsmaßnahmen
  • Vorschlag eines Maßnahmenpaketes
    		•  M. Auerbach
    RWTH Aachen
    Y. Uygun
    Uni Dortmund
    14.00 Uhr Sicherheitsanalyse in RFID-basierten Wertschöpfungsketten
  • Abstrakte Beschreibung RFID-gestützter Wertschöpfungsketten
  • Modellierung innerbetrieblicher und überbetrieblicher RFID-Infrastrukturen
  • Detaillierte Sicherheitsanalyse anhand von System-Ebenen und Schnittstellen
  • Besonderheiten globaler Item-Identification-Networks
  • Betrachtung der Abhängigkeiten von externen Dienstleistern
    		•  K. Werner
    E. Grummt
    R. Ackermann
    SAP Research
    14.25 Uhr Datensammeln – technische Möglichkeiten, rechtliche Grenzen
  • Technologiebedingte Datenquellen
  • Zusammenführen von Daten
  • Die Privatsphäre als verfassungsrechtlich geschütztes Rechtsgut
  • Datenschutzrechtliche Grenzen der Verarbeitung
  • Tendenzen und kritische Würdigung
    		•  P. Schartner
    D. Hattenberger
    P. Horster
    Uni Klagenfurt

    E-Government · Leitung: P. Frießem B
    13.35 Uhr E-Government und der Schutz kritischer Informationsinfrastrukturen
  • Paradigmenwechsel zum digitalen Original
  • Rechtliche Basis für den Schutz von E-Government
  • Zersplitterte Kompetenzen bei E-Government
  • Integrierte E-Government Systeme und CIIP
  • Strategische Ansätze und Best practice
    		•  O. Hellwig
    IAIK TU-Graz
    14.00 Uhr Applikations-Profile der European Citizen Card
  • ID-Karten gestern, heute, morgen
  • Die European Citizen Card
  • Die ECC-Spezifikation CEN prTS 15480
  • IAS-Dienste der ECC
  • Applikationsprofile der ECC-Spezifikation
    		•  H. Daum
    G. Meister
    Giesecke & Devrient GmbH
    14.25 Uhr Datenschutzgerechte Vorgangsbearbeitung im eGovernment
  • Vorgangsbearbeitung im eGovernment
  • Datenschutz und Rechtsfragen
  • Bausteine der "VESUV-Architektur"
  • Technische Umsetzung datenschutzrechtlicher Anforderungen
  • Sicherer, Webservices-basierter Dokumentenaustausch
    		•  J. Peters
    Fraunhofer IGD
    S. Audersch
    ZGDV Rostock
    P. Laue
    Uni Kassel
    14.50 Uhr Kommunikationspause

    Recht · Leitung: D. Hattenberger A
    15.20 Uhr meinprof.de – meinarzt.de – meinanwalt.de - Bewertungsportale im Internet
  • Rechtliche Rahmenbedingungen für Bewertungsportale
  • Sammeln von personenbezogenen Daten
  • Meinungs- und Informationsfreiheit
  • Benotungen und Kommentare
  • Top- und Flop-Listen
    		•  L. Grosskopf
    Kanzlei Grosskopf
    15.45 Uhr Rechtliche Rahmenbedingungen der „Komfortsignatur“
  • Elektronische Signaturen im Gesundheitswesen
  • Komfort und Signaturgesetz - ein Widerspruch?
  • Benutzeridentifikation durch Besitz, Wissen oder Biometrie
  • Signaturgesetzkonforme Realsierung der Komfortsignatur
  • Komfortsignatur auf Basis des eCard-API-Frameworks
    		•  D. Hühnlein
    secunet AG
    16.10 Uhr Anwendungen des M-Commerce - Grenzen in Recht und Technik
  • Geschäftsmodelle des Mobile Commerce
  • Rechtswirksamer mobiler Vertragsschluss
  • Verbraucherschutz
  • Lösungsalternativen zur Einbeziehung von AGB
  • Neue Wege zur Informationspflichtenerfüllung
    		•  N. Krüger
    OFFIS
    S. Boll
    Uni Oldenburg
    16.35 Uhr Business Continuity Management: Rechtliche Grundlagen und Entwicklungen
  • Business Continuity Anforderungen: Rechtliche Grundlagen
  • Beispiele: Datensicherheit, Buchführung, Risikoerkennungsystem
  • Sektorspezifisch: Banken/Finanzdienstleister, TK-Anbieter
  • Normadressaten, drohende Sanktionen, Haftungsrisiken
  • Gewährleistung von Business Continuity, Trends und Ausblick
    		•  U. Steger
    Heymann & Partner Rechtsanwälte

    Netzwerksicherheit · Leitung: K.-D. Wolfenstetter B
    15.20 Uhr Schutz von FinTS/HBCI-Clients gegenüber Malware
  • HBCI/FinTS schützt nur teilweise
  • Alle marktgängigen Produkte anfällig
  • Lokale Malware hat freies Spiel
  • Produkte ohne Schutz, obwohl Angriffsmethoden lange bekannt
  • Sicheres FinTS mit Klasse-3-Lesern ist möglich
    		•  H. Langweg
    Uni Bonn/NISlab
    J. Schwenk
    Uni Bochum
    15.45 Uhr Verteiltes Packet Sniffing als Sicherheitswerkzeug in MANETs
  • Packet Sniffing: Einsatzgebiete und Verfahrensweise
  • Herausforderungen für Packet Sniffing in AdHoc-Netzen
  • Erkennung von Blackhole-Angriffen durch Watchdogs
  • Erkennung von Anomalien durch Verkehrsmustererfassung und -auswertung
  • Erkennung von konventionellen Angriffen durch netzbasierte IDS-Sensoren
    		•  A. Wenzel
    M. Jahnke
    J. Tölle
    FGAN e.V.
    S. Karsch
    FH Köln
    16.10 Uhr Integritätsprüfung von entfernten Rechnersystemen
  • Problemstellung
  • Vertrauenswürdige Netzverbindung
  • Trusted Network Connect: Umsetzung und Anwendungsfelder
  • Kritische Diskussion
  • Ausblick
    		•  M. Jungbauer
    N. Pohlmann
    FH Gelsenkirchen
    16.35 Uhr Sicherer Webzugriff in Zeiten von Viren und Trojanern
  • Zentrale Surf-Server in der DMZ
  • Sicherer Zugriff vom Arbeitsplatz
  • Lösungs- und Sicherheitsarchitektur auf Basis von OSS
  • Sichere Lösungen für Druck und Download
  • Erfahrungen in der Praxis
    		•  F. Rustemeyer
    secunet AG
    17.00 Uhr Ende erster Konferenztag
    19.30 Uhr Gemeinsames Abendessen



    Mittwoch • 13. Juni 2007

    Authentifizierung · Leitung: H. Reimer A
    09.00 Uhr Sichere Zugangskontrolle im heterogenen Web-Conferencing
  • Web-Conferencing und Desktop-Sharing Tool-Vergleich
  • Sicherheitskonzepte von Web-Conferencing Systemen
  • Spezielle Herausforderungen des sicheren Zugriffs
  • Lösungsmöglichkeiten für den sicheren Zugriff
  • Gegenüberstellung und Bewertungsmatrix
    		•  C. Russ
    H.J. Sonnleitner
    Infineon AG
    G. Hübner
    Microsoft Deutschland GmbH
    09.25 Uhr Authentication Gateway – sicherer Zugriff auf Internetportale
  • CardToken - ein neuer Formfaktor für Smartcards
  • Internet-Protokolle, realisiert auf einer Smartcard
  • Automatische USB-Konfiguration
  • Prüfung der Identität des Portalservers
  • Unterstützung bei der Benutzerauthentikation
    		•  W. Hinz
    T. Palsherm
    Giesecke & Devrient GmbH
    09.50 Uhr Step-up Authentication in WebSphere Portal
  • Mehrstufiges Authentifikationsmodell für Portalsoftware
  • Gleichzeitige Unterstützung verschiedener Authentifikationsmethoden
  • Definition einer Ordnung von Authentifikationsstufen
  • Zusätzlicher Schutz von Ressourcen durch Authentifikationsmethode
  • Flexible Anpassbarkeit und Erweiterbarkeit
    		•  J. P. Buchwald
    D. Buehler
    M. Falkenberg
    IBM Deutschland GmbH
    10.15 Uhr Zulassungs-Management für Backend-Zugriffe durch Portale
  • Externer Zugriff auf interne Unternehmensdaten
  • Backend-Authentifizierung und -Autorisierung in Portal-Umgebungen
  • Zugriffe: Trennung zwischen Innen- und Außensicht.
  • Verzeichnisdienst, Portal, Rollen, Konten - wie passt das zusammen?
  • Es geht auch einfach - ohne komplizierte Federation Struktur!
    		•  P. Huber
    M. Watzl
    A. Feldner
    TESIS SYSware GmbH

    Chipkarten im Gesundheitswesen · Leitung: P. Schartner B
    09.00 Uhr Sicherheitskonzept für Notfalldaten unter Verwendung der eCard
  • Funktionalitäten der österreichischen Gesundheitskarte (eCard)
  • Sichere Übermittlung von Gesundheitsdaten
  • Rechtliche Rahmenbedingungen
  • Identifikation, Authentifizierung und Verschlüsselung mittels der eCard
  • Praktische Anwendung im Projekt CANIS
    		•  M. Heiligenbrunner
    C. Stingl
    D. Slamanig
    FH Technikum Kärnten
    09.25 Uhr Die Basiskonzepte der Sicherheitsarchitektur bei der Einführung der eGK
  • Anwendungen der eGK und der Telematikinfrastruktur
  • Grundsätze der Datensicherheit und deren Realisierung
  • Überblick über die Sicherheitsarchitektur der Telematikinfrastruktur
  • Kryptographische Identitäten für dezentrale Komponenten
  • Vergleich mit anderen Gesundheitstelematik-Sicherheitsarchitekturen
    		•  F. Fankhauser
    T. Grechenig
    TU Wien
    D. Hühnlein
    secunet AG
    M. Lohmaier
    gematik mbH
    09.50 Uhr Modellbasiertes Testen der deutschen Gesundheitskarten
  • Testaspekte in Bezug auf die Chipkartensicherheit
  • Testfolgengenerierung mit ausführbaren Modellen
  • Modellierung der Chipkarten und des Testgenerators
  • Abbildung der Sicherheitsaspekte im Modell
  • Testergebnisse
    		•  C. Apel
    J. Steingruber
    Giesecke & Devrient GmbH
    J. Repp
    R. Rieke
    Fraunhofer SIT
    10.15 Uhr Mobile Anwendungsszenarien der elektronischen Gesundheitskarte
  • Mobile sicherheitsrelevante Anwendungen
  • Anwendungsbereich Gesundheitswesen
  • Allgegenwärtige Gesundheitstelematik
  • Herausforderungen für eine mobile Nutzung der eGK
  • Lösungsansätze (Mobile Health Card, Serverunterstützung etc.)
    		•  D. Hühnlein
    secunet AG
    U. Korte
    BSI
    T. Eymann
    Uni Bayreuth
    T. Wieland
    FH Coburg
    10.40 Uhr Kommunikationspause

    Digitale Rechte und Rollen · Leitung: G. Bitz A
    11.10 Uhr Abonnements für elektronische Zeitungen mit statischer Baumstruktur
  • Abonnements auf hierarchisch gegliederten Content
  • Zeitlich limitierter Zugriff auf elektronische Zeitungsausgaben
  • Realisierung elektronischer Rechte
  • Key-Management mit Ableitungskonzept
  • Problem der Weitergabe von Schlüsseln
    		•  F. Kollmann
    Uni Klagenfurt
    11.35 Uhr Kryptographisch geschützte Wasserzeichencontainer
  • Digitale Wasserzeichen zur Kundenverfolgung
  • Alternativen zu DRM
  • Container zur sicheren und schnellen Erzeugung von Wasserzeichen
  • Kryptographie und Wasserzeichen-Container
  • Individuelle Markierung auf Kundenseite
    		•  M. Steinebach
    Fraunhofer SIT
    M. Kaliszan
    Fraunhofer MCI
    12.00 Uhr Erklärte Sicherheitsprofile (ESPE)
  • Zugriffskontrolle auf Programmebene
  • Zielgruppenspezifische Erklärungen in natürlicher Sprache
  • Digitale Signaturen zur sicheren Verteilung
  • Policyverwaltung
  • Einsatzszenarien im Unternehmen
    		•  P. Trommler
    FH Nürnberg

    Grundschutz · Leitung: P. Kraaibeek B
    11.10 Uhr Vom IT-Grundschutz zum integrierten Informationsschutz
  • Objektorientiertes Prozess- und Datenmodell eines generischen ISMS
  • Erweiterung des Grundschutzansatzes auf Prozesse und Informationen
  • Security-Kennzahlen als Teil unternehmensweiter Qualitätsmessungen
  • Reduktion von Auditkosten durch Mapping von Standards und Gesetzen
  • Aufbau von Branchenprofilen
    		•  M. Frisch
    T. Kob
    HiSolutions AG
    A. Bluhm
    C. Böhm
    TU Berlin
    11.35 Uhr Vom IT-Notfallplan zum BCM durch die Kombination von Standards
  • Vergleich von BS25999, ISO27001 und IT-Grundschutz
  • Integration des BCM in den Grundschutzansatz
  • Von der Schutzbedarfsfeststellung zur prozessorientierten BIA
  • Einbindung des Service Continuity Managements von ITIL/ISO20000
  • Ergänzung der BIA um eine wertschöpfungsketten-orientierte Sicht
    		•  R. Kallwies
    T. Kob
    HiSolutions AG
    12.00 Uhr Hierarchisch aggregierte Bewertung der Sicherheit von Organisationen
  • Sicherheitsbewertung von Unternehmen
  • Anforderung an die Bewertung
  • Häufigkeiten des Auftretens von Vorfällen und deren Schäden
  • Modellierung von Bedrohungen
  • Aggregation von detaillierten Informationen zu Gesamtindikatoren
    		•  K. Meyer-Wegener
    S. Weiß
    Uni Erlangen-Nürnberg
    12.25 Uhr Gemeinsame Mittagspause

    Elektronische Signaturen und Biometrie · Leitung: F. Kollmann A
    13.25 Uhr Sichere Plugins durch die Anwendung elektronischer Signaturen
  • Elektronische Signaturen beim Software-Deployment
  • Sicherheitsrisiken in Plugin-Architekturen
  • Sicherheitsziele: Code-Integrität und Authentizität von Plugins
  • Automatisierte Validierung von Plugins
  • Technische Aspekte bei der Umsetzung des Prototypen
    		•  J. Key
    NetSys.IT GbR
    D. Fischer
    TU Ilmenau
    13.50 Uhr Digitale Handschrift: Extraktion gerätespezifischer Merkmale
  • Bestimmung der Aufnahmegeräte digitaler Handschriften
  • Sensometrie, Biometrie und Forensik
  • Computerkriminalität, Archivierung, sichere Geschäftsprozesse
  • Sicherung der Authentizität
  • Evaluierung mittels Entscheidungsbaum-Modell und Ausgabeklassen
    		•  A. Oermann
    C. Vielhauer
    J. Dittmann
    Uni Magdeburg
    14.15 Uhr Kombination von Sensoren zur biometrischen Handschriftenerkennung
  • Dynamische Handschrift als biometrisches Merkmal
  • Authentifikation durch Wissen, Besitz und Sein
  • Szenario: 3-Faktoren Authentifizierung
  • Konzept: Kombination von Signaturtablett und IO-Pen
  • Evaluierung: experimentelle Fehlerraten
    		•  T. Scheidat
    C. Vielhauer
    A. Oermann
    Uni Magdeburg

    Architekturen und Anwendungen · Leitung: W. Kühnhauser B
    13.25 Uhr Trusted-Computing-Anwendungen mit Open Source Software
  • Architektur und Designziele von Trusted Computing
  • Funktionen des Trusted Platform Modules
  • Der TCG Software Stack als Open Source
  • Aktuelle Anwendungsbeispiele mit Open Source Software
  • Offene Ansätze in der Forschung
    		•  W. Dolle
    HiSolutions AG
    C. Wegener
    wecon.it-consulting
    13.50 Uhr Eine 8-bit Highspeed Softwareimplementierung von Whirlpool
  • Hash-Funktionen auf eingebetteten Systemen
  • Whirlpool und SHA1 - Ein Vergleich
  • Performance optimierte Softwareimplementierung
  • Effiziente Speicherarchitektur
  • Performance Ergebnisse
    		•  R. Könighofer
    S. Berger
    C. Herbst
    IAIK TU Graz
    14.15 Uhr Sicherheitsrelevante Anwendungen der Satellitennavigation
  • Satellitennavigationssysteme heute: GPS, GLONASS, EGNOS, Galileo
  • Satellitennavigationssysteme zukünftig: Galileo
  • Sicherheitsrelevante Anwendungen im zivilen Bereich
  • Sicherheitsrelevante Anwendungen im militärischen und BOS Bereich
  • Test und Zertifizierung.
    		•  S. Baumann
    T. Sichert
    IABG mbH
    14.40 Uhr Kommunikationspause

    PKI in der Praxis · Leitung: U. Korte A
    15.10 Uhr Chipkarten in österreichischen PKIs: Analyse des Status Quo
  • Offene Public-Key Infrastrukturen in Österreich
  • Duplikate in den LDAP-Verzeichnissen
  • Resultierende Identifikationsprobleme
  • Manipulation des Signaturprozesses
  • Lösungsansätze und Ergebnisse
    		•  C. Stingl
    D. Slamanig
    M. Reiner
    J. Thierry
    FH Technikum Kärnten
    15.35 Uhr Certification Practice Statement und Certificate Policy nach RFC 3647
  • RFC 3647: Der Standard für CPS und CP
  • Die wichtigsten Mängel von RFC 3647
  • Probleme mit RFC 3647 für nichtenglischsprachige Autoren
  • Wie ein guter CPS/CP-Standard aussehen müsste
  • Wie man trotz allem mit RFC 3647 zurecht kommt
    		•  K. Schmeh
    cv cryptovision GmbH
    16.00 Uhr Erfolgskriterien von Public Key Infrastrukturen
  • Erfolgsfaktor: Standards und Flexibilität
  • Erfolgsfaktor: Business-Enabler, Wirtschaftlichkeit, angemessene Sicherheit
  • Erfolgsfaktor: Akzeptanz durch robuste, einfache und transparente Verfahren
  • Dilemma: Regulierung und Markt
  • Fazit: Wirtschaftlich stabile Infrastrukturen werden Realität
    		•  M. Hesse
    FH Gelsenkirchen
    H. Reimer
    Tele Trust e.V.
    16.25 Uhr Konferenzende

    . . . als Referenten haben sich zusätzlich zur Verfügung gestellt:
    Quantitative Wirtschaftlichkeitsbetrachtungen für Notfall (Disaster Recovery)-Maßnahmen R. Gabriel
    Ruhr-Uni-Bochum
    J. Wiedemann
    A. Knäbchen
    Accenture GmbH
    Verteilte Suche nach digitalen Wasserzeichen in eMule M. Steinebach
    Fraunhofer SIT
    M. Wagner
    Uni Kassel
    Eine Architektur für Identity Management A. Kern
    M. Kuhlmann
    C. Walhorn
    Beta Systems Software AG
    VoIP-Security – Standards, Evaluierung und Konzeptbeispiele anhand von Asterisk K.O. Detken
    Decoit GmbH
    E. Eren
    FH Dortmund
    © syssec 2012