Vorläufiges Programm


PDF Version herunterladen
Sessionplan
Dienstag · 25. September 2012 Mittwoch · 26. September 2012
Soziale Netzwerke Angriffstechniken
Mobile Endgeräte Sicherheitsmanagement IT-Forensik SECMGT - Workshop
Risikomanagement & Vertrauen Cloud-Dienste & Datenschutz Rechtliche Aspekte Usability und Benutzerunterstützung
ID-Management & Zugriffsschutz Signatur & elektronische Dokumente
Dienstag · 25. September 2012
08.30 Uhr Registrierung, Kaffee und Tee
Begrüßung und Überblick durch die Veranstalter
Soziale Netzwerke · Leitung: J. Pohle A
09.35 Uhr Social Media – eine Herausforderung für das Sicherheitsmanagement
  • Paradigmenwechsel: „To-You“ Beziehung zu einer „With-You“ Beziehung
  • Risiken im Web 2.0
  • Aktuelle Social Media Umfrage in Wirtschaft und öffentlicher Verwaltung
  • Aufbau einer Social Media Sicherheitskultur
  • SCART – Social Media Culture Assessment and Reporting Tool
S. Teufel
Université de
Fribourg – iimt
10.00 Uhr Soziale Netzwerke machen Industriespionage wirtschaftlich
  • Technologieunternehmen als Opfer gezielter Angriffe
  • Kosten/Nutzen Modell von gezielten Angriffen
  • Unvorbereitete Mitarbeiter und Spear-Phishing
  • Soziale Netzwerke liefern Angreifern wertvolle Informationen
  • Risikobewertung und die Wirtschaftlichkeit von Angriffen
P. Helmig
R. Reitze
InsidersKnowledge
10.25 Uhr Privatsphärenschutz in Dezentralisierten Sozialen Netzwerken
  • Datenschutz in Sozialen Netzwerken: zentraler Provider als Hauptproblem
  • Vielversprechender Ansatz: Dezentralisierung des Netzwerks (z.B. P2P)
  • Neue Herausforderungen: bisher weniger relevante Angreifermodelle
  • Verbindungsdaten sowie Metadaten der (verschlüsselten) Inhalte
  • Spezielle Schutzmaßnahmen für Datenschutzgewinn notwendig
B. Greschbach
S. Buchegger
KTH Royal Institute of Technology
Stockholm, Schweden
10.50 Uhr Kommunikationspause
Mobile Endgeräte · Leitung: S. Teufel A
11.20 Uhr Zur Sicherheit von ATA-Festplattenpasswörtern
  • Umgehen der ATA-Sicherheitsfunktionen von Festplatten
  • Ausnutzen von ungeschützten seriellen Schnittstellen
  • Analyse von Firmwarestrukturen
  • Schwachstellen im Design von Festplatten Firmware
  • Kostengünstige Alternativen in der Computer-Forensik
J. Knauer
H. Baier
CASED
11.45 Uhr Design einer sicheren Architektur für mobile Apps
  • Neue Smartphone-Apps zur Kundenbindung und Kundenkommunikation
  • Integration solcher Apps in bestehende IT-Infrastruktur
  • Systematische Analyse des Schutzbedarfs funktionaler Bausteine
  • Angemessene Auswahl von Komponenten und Kommunikationsprotokollen
  • Entwicklung einer effizienten und sicheren Architektur
G. Lukas
D. Mahrenholz
S. Schemmer
rt-solutions.de GmbH
R. Schumann
FHDW Berg. Gladb.
12.10 Uhr Firewalls und Virenscanner auf mobilen Plattformen
  • Relevanz von Firewalls und Virenscannern auf mobilen Plattformen
  • Untersuchte Plattformen sind Android, iOS, Windows Phone
  • Einschränkungen seitens der Sicherheitsmodelle der Plattformen
  • Existierende Firewall Lösungen und wie sie funktionieren
  • Existierende Virenscanner und wie sie funktionieren
B. Adolphi
H. Langweg
Gjovik University
College, Norwegen
Sicherheitsmanagement · Leitung: U. Widmer B
11.20 Uhr Secure Enterprise Desktop
  • Datensicherheit und Datenmobilität
  • Mobiler Arbeitsplatz
  • Bring Your Own Device
  • Data und OS Streaming
  • Zero Footprint Computing
M. Baentsch
P. Scotton
T. Gschwind
S. Wappler
IBM
11.45 Uhr Identifikation von Schatten-IT Komponenten
  • Entstehung und Problematik von Schatten-IT
  • Automatisierte Identifikation durch maschinelles Lernen
  • Visualisierung von Schatten-IT
  • Evaluation der Methodik im Rahmen eines Pilotprojekts
  • Ausblick zur Weiterentwicklung der Methodik und Chancen
F. Preussner
SCHUTZWERK GmbH
J. Hämmerle
J. Neuschwander
HS Konstanz
12.10 Uhr Information Security Incident Management
  • Integrierte Sicherheitsprozesse
  • Effektivität, Effizienz und Reifegrad
  • Best Practices und Standards
  • Security Incident Handling und Reporting mit ISO 27035
  • Service Management nach ITIL 2011
H. Kirsch
TU-Darmstadt
M. Hoche
EADS/Cassidian
12.35 Uhr Gemeinsame Mittagspause
Risikomanagement & Vertrauen · Leitung: P. Trommler A
13.35 Uhr Kontinuierliches, kollaboratives Risiko-Management
  • Risiko Management kritischer Informations-Infrastrukturen
  • Spieltheoretische Perspektive
  • Monitoring Semantik und Feedback
  • Profile und Netzwerkanalyse
  • Implementierungstechnologie: Maschinelles Lernen
H. Kirsch
TU-Darmstadt
M. Hoche
EADS/Cassidian
14.00 Uhr IT-Security Risiko Management mit Elementen der Spieltheorie
  • Risikomanagement mittels Spieltheorie
  • Identifikation von optimalen Angriffs- und Verteidigungsstrategien
  • Quantitative und Anwendungsorientierte Risikobewertung
  • Vorstellung des Forschungsprojekts SERIMA
  • Risikoanalyse und Network Provisioning
S. Schauer
B. Rainer
AIT
S. Rass
AAU Klagenfurt
14.25 Uhr Bewertung von Vertrauen mittels Spielen in der Extensivform
  • Vertrauen und Vertrauenswürdigkeit
  • Bewertung und Modellierung von Zuständigkeit und Anreizen
  • Fehlverhalten in Choreographien und Orchestrierungen
  • Generierung von Spielen in der Extensivform aus Ablaufmodellen
  • Auswertung von verteilten Abläufen mittels Spieltheorie
V. Wolff-Marting
V. Gruhn
Universität Duisburg-Essen
14.50 Uhr Hackerattacke – diese Schlagzeile lässt sich vermeiden
  • Security Intelligence in der Unternehmenssteuerung
  • Reduzierung von Informationsrisiken
  • Erkennung von Bedrohungen im Netzwerk
  • Prognose möglicher IT-Risiken
  • Einhaltung regulatorischer Vorschriften
M. Auer
Q1 Labs – An IBM
Cloud-Dienste & Datenschutz · Leitung: A. Philipp B
13.35 Uhr Bürgerkarten-Authentifizierung zur Public Cloud
  • Sichere Identifizierung und Authentifizierung
  • Authentifizierungsmodelle in der Cloud
  • Die österreichische Bürgerkarte
  • Authentifizierung zur Public Cloud unter Verwendung der Bürgerkarte
  • Google Apps und Salesforce.com
B. Zwattendorfer
K. Stranacher
A. Tauber
EGIZ
14.00 Uhr Anonymisierung/Pseudonymisierung von Daten für den Test
  • Datenkategorien und deren Vor- und Nachteile
  • Datenschutz- und IT-Sicherheitsanforderungen an Testumgebungen
  • Methoden zur Anonymisierung und Pseudonymisierung von Informationen
  • Prozessbeschreibung zur Anonymisierung von Daten für den Test
  • Erfahrungsberichte bei der Umsetzungen von Anonymisierungsprojekten
A. Lang
T-Systems Multimedia Solutions GmbH
14.25 Uhr Datenschutzgerechter Authentifizierungsdienst
  • Sichere und vollautomatisierte Registrierungsprozesse
  • Verschlüsselung sensibler Registrierdaten
  • Pseudonymisierung von Identitäten
  • Single-Sign-On-Authentifizierung durch Besitz und Wissen
  • Skalierbare Sicherheitsstufen mittels unterschiedlicher Zugangstoken
R. Krüger
T. Mohnhaupt
secunet AG
14.50 Uhr Domänenübergreifende profilbasierte Autorschafts-Attribution
  • Demaskierung anonymer Texte
  • Identifizierung von Autorenschaften über Domänen hinweg
  • Approximation der Autorenstile durch Feature-Vektoren
  • Vergleich der Autorenstile anhand einfacher Metriken
  • Evaluierung der Erkennungsgenauigkeit
O. Halvani
M. Steinebach
Fraunhofer SIT
15.15 Uhr Kommunikationspause
ID-Management & Zugriffsschutz · Leitung: R. Posch A
15.45 Uhr Verteilte Dienstnutzung mit dem neuen Personalausweis
  • Trennung von Authentisierung und Dienstnutzung
  • Sichere Nutzung von Diensten
  • Mobile Authentisierung
  • Flexible Authentisierung in unsicheren Umgebungen
  • Innovative Anwendung für den neuen Personalausweis
M. Horsch
J. Braun
TU Darmstadt
A. Wiesmaier
AGT Group (R&D) GmbH
16.10 Uhr Erhalt von Datenzugriffsrechten im Forschungsumfeld
  • Elektronische Dokumentation von Forschungsprozessen
  • Beweiswerterhalt und Archivierung von elektronischen Forschungsdaten
  • Gewährleistung der Datenverfügbarkeit und des Datenschutzes
  • Übernahme von Zugriffsrechten in digitale Langzeitarchive
  • Pflege von Zugriffsrechten über Systemgrenzen hinaus
J. Potthoff
KIT-SCC
16.35 Uhr Standards und Schnittstellen für das Identitätsmanagement in der Cloud
  • SkIDentity – vertrauenswürdige Identitäten für die Cloud
  • Föderiertes Identitätsmanagement mit SAML, OAuth & Co
  • Starke Authentisierung in der Cloud mit beliebigen eCards
  • Usable Security – ein Widerspruch?
  • Open eCard App – die quelloffene Alternative zur AusweisApp
D.u.T. Hühnlein
J. Schmölz
M. Horsch,
T. Wich
B. Biallowons
ecsec GmbH
17.00 Uhr Zugriffskontrolle in Webdatenbanken mit Query Rewriting
  • Feingranulare Zugriffskontrolle in Webdatenbanken
  • Modell der Zugriffskontrolle für einzelne Datensätze
  • Zugriffskontrolle mit Hilfe von Query Rewriting
  • Sprache zur Spezifikation der Zugriffskontrolle
  • Ausblick zur Integration in einen Softwareentwicklungsprozess
P. Trommler
S. Prijovic
M. Rossel
B. Große
Hochschule Nürnberg
17.25 Uhr Ende erster Konferenztag
19.30 Uhr Gemeinsames Abendessen
Mittwoch · 26. September 2012
Angriffstechniken · Leitung: M. Matten A
09.00 Uhr Mobile Security – Sprach- und Datenspionage bei Smartphones
  • Abhörmethodiken von Mobilfunk
  • Ortung von Mobilfunkteilnehmern
  • Datenspionage mittels kompromittierter Apps
  • Erschleichen von Leistungen mittels SMS und CallID-Spoofing
  • Gängige Angriffsszenarien auf Smartphones
M. Di Filippo
Compass Security AG
09.25 Uhr Angriffsdetektion in kabelgebundenen Ethernet-Netzwerken
  • Moderne Switche und ihre Schwachstellen
  • Unerwünschte Geräte im Netzwerk erkennen und sperren
  • Funktionsweise physikalischer Schnittstellen (Ethernet-Phy)
  • Exemplarische Betrachtung eines Angriffs
  • Implementierung und Testergebnisse eines Prototyps
U. Kalinna
Hochschule Emden/Leer
09.50 Uhr Malvertising – Bedrohung durch Online-Werbeanzeigen
  • Auslieferung von Werbemitteln im Internet
  • Aktuelle Verbreitungswege von Malware
  • Untersuchung der Bedrohungen durch Malware in Online-Werbung
  • Evaluierung existierender Sicherheitslösungen
  • Konzeption eines neuen zentralen Sicherheitsmechanismus
B. Klein
K. Lemke-Rust
Hochschule Bonn-Rhein-Sieg
10.15 Uhr Kommunikationspause
IT-Forensik· Leitung: P. Beenken A
10.45 Uhr Erste Betrachtung einer Metrik für Methoden der IT-Forensik
  • Vorstellung erprobter forensischer Systematiken
  • Betrachtung der Kriterien für die Auswahl forensischer Werkzeuge
  • Entwurf einer Metrik zur Unterstützung der Auswahl
  • Faktoren für eine Gewinnfunktion
  • Faktoren für eine Kostenfunktion
R. Altschaffel
R. Clausing
S. Kiltz
J. Dittmann
Universität Magdeburg
11.10 Uhr Datenreduktion mit kryptographischen Hashfunktionen in der IT-Forensik
  • Automatisierte Analyse von Datenbeständen
  • Whitelisting (insbesondere NIST-Whitelist) und Blacklisting
  • Grenzen kryptographischer Hashfunktionen in der IT-Forensik
  • Benutzerprofile und ihre Bedeutung für die Datenreduktion
  • Datenreduktionsraten für unterschiedliche Profile
H. Baier
CASED
C. Dichtelmüller
Hochschule Darmstadt
11.35 Uhr Beweissichere Daten in der digitalisierten Forensik
  • Die lückenlose Beweiskette in der kriminalistischen Forensik
  • Anpassung von IT-forensischen Modellen für die digitalisierte Forensik
  • Forensische Datenarten und Mengen von Methoden für die Daktyloskopie
  • Vollständigkeit und Nachvollziehbarkeit des Untersuchungsverlaufs
  • Rechte- und Rollenmanagement sowie Inter-Case Datenfusion
S. Kiltz
J. Dittmann
Universität Magdeburg
C. Vielhauer
FH Brandenburg
12.00 Uhr IT-Forensik im Wandel
  • Computer-Forensik
  • Beweisverwertungsverbot
  • Aufweichung des Paradigmas der Unveränderbarkeit
  • Forensische Untersuchung eines Smartphones mit Windows Phone OS
  • Regeln zur minimal invasiven forensischen Ermittlung
B. Roos
H. Baier
Hochschule Darmstadt/CASED
WORKSHOP der GI-FG SECMGT · Leitung: I. Münch / B. Witt B
10.45 Uhr Gekoppelte Management Systeme in der Informationssicherheit
  • Dynamische Policies
  • Regelkreise
  • Nachbildungsäquivalenz
  • Gekoppelte Management Systeme
  • Starke/schwache Kopplung
W. Boehmer
TU-Darmstadt
11.35 Uhr Wege zur Risikobewertung
  • Risikomanagement als wichtige Aufgabe der Leitungsebene
  • Sinn und Unsinn von Eintrittswahrscheinlichkeiten
  • Subjektive Risikowahrnehmung für objektive Risikobewertung
  • Qualitative vs. quantitative Risikoanalysen
  • Empfehlungen und Ausblick
I. Münch
BSI
12.25 Uhr Gemeinsame Mittagspause
Rechtliche Aspekte · Leitung: J. Taeger A
13.25 Uhr Sicherheit von Messgeräten und der Beweiswert digitaler Daten
  • Manipulation von Messgeräten ohne physischen Zugriff
  • Gaszähler, Waagen, Tanksäulen – kann man den Werten trauen?
  • Sicherung und Schutz der Qualität von Software in Messgeräten
  • Nachweis einwandfreier Konfiguration von Messsystemen
  • Trusted Platform Module, Möglichkeit zum Erzeugen von Beweisketten
C. Rudolph
Fraunhofer SIT
L. Großkopf
IS-Bremen
B. Endicott-Popovsky
Univ. of Washington
13.50 Uhr Verhinderung "mobiler Gewalt" in Schulen
  • Gewaltzunahme an Schulen
  • Neue Gestaltungsformen durch mobile Technik
  • Aufsichts- und Überwachungspflicht der Schulen
  • Schutz der informationellen Selbstbestimmung
  • Möglichkeiten der Aufdeckung und Verhinderung mobiler Gewalt
B. Mester
Universität Oldenburg
14.15 Uhr Cloud Computing und USA Patriot Act
  • Anwendungsbereiche des USA Patriot Act und des FISA
  • Zugriffsbefugnisse amerikanischer Behörden auf Daten in der Cloud
  • National Security Letters
  • Übermittlung von Daten aus Deutschland an amerikanische Behörden
  • Vereinbarungen mit dem Cloud-Anbieter zum Schutz vor Datenzugriffen
M. Arning
Norton Rose Germany LLP
Usability & Benutzerunterstützung · Leitung: J. Schmölz B
13.25 Uhr Usability-Evaluierung der österreichischen Handy-Signatur
  • Bürgerkarte als zentrales Element des österreichischen E-Governments
  • Überblick über verschiedene Bürgerkarten-Implementierungen
  • Relevanz von Usability im Bereich E-Government
  • Usability-Analyse existierender Bürgerkarten-Implementierungen
  • Handy-Signatur als klarer Sieger in Bezug auf Usability
T. Zefferer
V. Krnjic
TU-Graz
13.50 Uhr Erhöhung der IT-Sicherheit durch Konfigurationsunterstützung
  • Virtualisierte Netzsimulation
  • Virtualisierungstechniken
  • Anwendungsszenarien im Mittelstand
  • Schaffung von Virtual Security Appliances
  • Implementierung in vorhandene IT-Infrastrukturen
K.-O. Detken
DECOIT GmbH
14.15 Uhr Reduktion von Fehlerraten mittels ergonomischer Passwörter
  • Klassische Anforderungen an Passwörter: Sicherheit und Merkbarkeit
  • Ziel ergonomischer Passwörter: schnelles und fehlerfreies Tippen
  • Implementierung eines Prototypen – ErgonomicPasswordTool
  • Sicherheitsbetrachtung ergonomischer Passwörter
  • Praxistest der ergonomischen Passwörter
B. Herres
D. Weich
K. Knorr
FH Trier
14.40 Uhr Kommunikationspause
Signatur & elektronische Dokumente· Leitung: G. Welsch A
15.10 Uhr Rollenbasierte, qualifizierte Signaturdienste
  • Zentralisierung der Signaturkarten und deren Administration
  • Viele Nutzer und wenige qualifizierte Signaturkarten
  • Einfache Handhabung der qualifizierten Signatur für die Sachbearbeiter
  • Sicherheit und Datenschutz bleiben erhalten
  • Praxisbeispiele
R. Krüger
secunet AG
U. Oesing
FH Jena
15.35 Uhr Die BSI-Richtlinien TR-ESOR und TR-RESISCAN
  • TR-ESOR: Beweiswerterhalt signierter Daten
  • Archivdatenformat und die Evidence Record Syntax
  • TR-RESISCAN: Ordnungsgemäßes ersetzendes Scannen
  • Konformität und Zertifizierung
  • E-Government-Gesetz
D. Hühnlein
ecsec GmbH
U. Korte
A. Schumacher
BSI
16.00 Uhr Ein interoperabler Container für elektronische Dokumente
  • Die EU Dienstleistungsrichtlinie und das EU Pilotprojekt SPOCS
  • Elektronische Verfahren um eine Dienstleistung im Ausland anzubieten
  • Interoperabilität elektronischer Dokumente und digitaler Signaturen
  • Das Interoperabilitätskonzept OCD (Omnifarous Container for eDocuments)
  • Grenzüberschreitender Austausch von elektronischen Dokumenten
K. Stranacher
B. Zwattendorfer
TU Graz
16.25 Uhr Konferenzende
. . . als Referenten haben sich zusätzlich zur Verfügung gestellt:
Reverse Engineering als Werkzeug zur biometrischen Sicherheitsanalyse K. Kümmel
T. Scheidat
C. Vielhauer
FH Brandenburg
J. Dittman
Uni Magdeburg
Automatisches Erkennen mobiler Angriffe K.-O. Detken
DECOIT GmbH
Tatortforensik: Beweissicherer Kunstschweißdruck J. Sturm
C. Vielhauer
FH Brandenburg
M. Hildebrand
J. Dittman
Uni Magdeburg
Surfen im Büro? Aber sicher! N. Schirmer
Sirrix AG
Die Beiträge dieser Referenten finden Sie ebenfalls im Tagungsband zur Konferenz
© syssec 2017