|
|
|
Risikomanagement · Leitung: D. Pawelczak |
A |
09.00 Uhr |
High-Level Risikoanalyse im Bereich Internet of Things
- Strukturierung von IoT-Domänen und Anwendungsfällen
- Security-Charakteristika von IoT-Systemen
- Identifikation von generischen Risiken
- Vorschlag für eine High-Level IoT-Risikomatrix
- Konzeptionelle Handlungsvorschläge zur Risikominimierung
|
S. Schauer
S. König
M. Latzenhofer
S. Schiebeck AIT
|
09.25 Uhr |
Subjektive Risikobewertung – über Datenerhebung und Opinion Pooling
- Opinion Pooling
- Empirische Erhebung von Risikodaten
- Risikodatenbereinigung
- Risikodaten-Aggregation (verlustfrei und verlustbehaftet)
- Anwendungen im Risikomanagement
|
J. Wachter
S. Rass AAU Klagenfurt
S. Schauer
S. König AIT
|
09.50 Uhr |
Risikominimierung bei kommerziell genutzter Open Source
- Schwachstellenerkennung im Software-Entwicklungsprozess
- Eignung der Verfahren zum Monitoring und zur Risikobehandlung
- Sicherheitslücken als Sachmangel
- Haftung von Softwareherstellern
- Wirksamkeit von Haftungs- und Gewährleistungsausschlüssen
|
H. Fleischhauer Hensoldt Sensors GmbH
S. Haßdenteufel SSW Schneider Schiffer Weihermüller
|
10.15 Uhr |
Erstellung eines detaillierten Risikobehandlungsplans
- Detaillierte Maßnahmenplanung aus dem Risikomanagement
- Risikobehandlungspläne als Kern des Risikomanagements
- Technische und organisatorische Maßnahmenbündel über alle ISMS-Level
- Workshop-basierte Vorgehensweise
- Abstimmung der Maßnahmen auf ihre Betriebsverträglichkeit
|
H. Rudolph
S. Giebelhausen
M. Müller admeritia GmbH
|
SECMGT Workshop · Leitung: D. Koschützki |
B |
09.00 Uhr |
Virtuelle Räuber, falsche Präsidenten und echte Erpresser
- Die Zahl komplexer IT-Angriffe nimmt weltweit zu
- Manipulation mittels Social Engineering ist dabei essentiell
- Gegenmaßnahme ist eine adäquate Awareness-Strategie
- Allein einfache Standard-Maßnahmen anzuwenden, ist wenig hilfreich
- Awareness sollte auf Risiken & Mitarbeiter zugeschnitten sein
|
C. Hesse Riskworkers GmbH
|
09.50 Uhr |
IT-Sicherheit für Kritische Infrastrukturen
- Durchführung von Vernetzung und Wissenstransfer der Verbundprojekte
- Begleitende Forschung zur Lage der IT-Sicherheit im Themenfeld
- Entwicklung von Methoden zu Open Innovation und IT-Security Matchplays
- Rechtliche Begleitung und Fachgruppen zur Normung und Standardisierung
- Zusammenführen von Good Practices von Betreibern kritischer Infrastrukturen
|
S. Rudel UniBw München
M. Rass
M. Jalowski FAU Erlangen-Nürnberg
|
10.40 Uhr |
Kommunikationspause |
Richtlinien, Beweiswert & Datenschutzrecht · Leitung: K. Knorr |
A |
11.10 Uhr |
Auf dem Weg zur Umsetzung der PSD2-Richtlinie
- Relevanz der Richtlinie (EU) 2015/2366 ("Payment Services Directive 2")
- Wesentliche Anforderungen der Richtlinie (Authentisierung, Kontozugriff...)
- Optionen für eine sichere PSD2-Implementierung auf Basis von Standards
- Berührungspunkte und Synergien zwischen PSD2 und eIDAS
- Ausblick zur Implementierung und Standardisierung von PSD2
|
D. Hühnlein et al. ecsec GmbH
|
11.35 Uhr |
Datenpakete zur Informations- und Beweiswerterhaltung – ein Vergleich
- Beweiswerterhaltung, technische Lösungen in der Langzeitarchivierung
- RFC4998/6283, Evidence Records, BSI TR-03125 TR-ESOR, XAIP, XFDU
- eIDAS-VO, ETSI EN 319 162 Associated Signature Containers (ASiC)
- ISO19005-3, PDF/A-3
- Bewertung verschiedener Technologien und Ausblick
|
S. Schwalm et al. BearingPoint GmbH
|
12.00 Uhr |
Das neue Datenschutzrecht im Überblick
- Überblick über das neue Datenschutzrecht in Europa
- Einblick in Kernartikel der Datenschutz-Grundverordnung
- Erste Analyse einer frühen Version der ePrivacy-Verordnung
- Kommende Anpassungen für das Bundesdatenschutzgesetz
- Umsetzung der Anforderungen am Beispiel "SkIDentity"
|
D. Nemmert
D. Hühnlein
T. Hühnlein
M. Rauh
S. Baszanowski ecsec GmbH
|
Technische Aspekte · Leitung: G. Jacobson |
B |
11.10 Uhr |
Mikrokern für zulassungspflichtige Hochsicherheitssysteme
- Netzübergänge dienen Sicherheitsdomänen-übergreifender Kommunikation
- Bei Verschlusssachen sind besondere Anforderungen zu berücksichtigen
- Sichere Ablaufplattform ist eine Grundvoraussetzung
- Mikrokern ermöglicht formelle Evaluierung
- Separierung von Prozessen und Hardware kann nachgewiesen werden
|
T. Günther INFODAS GmbH
M. Hohmuth
A. Lackorzynski
M. Lange Kernkonzept GmbH
|
11.35 Uhr |
Angriffe auf RDP – Wie man RDP-Sitzungen abhört
- RDP dient der Fernadministration und ist nahezu omnipräsent
- Fast immer werden selbstsignierte SSL-Zertifikate eingesetzt
- Diese Standardeinstellung bietet keinerlei Abhörschutz
- Entwicklung eines Proof-of-Concepts in Python um Passwörter einzusehen
- Empfehlungen und Gegenmaßnahmen
|
A. Vollmer SySS GmbH
|
12.00 Uhr |
SSDs und Verschlüsselung: Datenremanenz als Problem
- Flashspeicher in SSDs als nichtlinear adressiertes Medium
- Flash Translation Layer (FTL) als Hardwareabstraktionsschicht in SSDs
- Systembedingte Datenremanenz als Eigenschaft eines FTL
- Sicherheitsannahmen gängiger Datenträgerverschlüsselungslösungen (FDE)
- Schwachstellen in FDE auf SSDs
|
C.-D. Hailfinger
K. Lemke-Rust HS Bonn-Rhein-Sieg
|
12.25 Uhr |
Gemeinsame Mittagspause |
Software-Sicherheit · Leitung: P. Horster |
A |
13.25 Uhr |
Formale Methoden als Werkzeug für Software Security
- Schwachstellen-Analysen zu schwerwiegenden IT-Sicherheitsvorfällen
- Modellierung sicherheitsrelevanter Abläufe
- Betrachtung grundlegender, formaler Methoden zur Programmanalyse
- Verifikation sicherheitsrelevanter Abläufe mit TESLA
- Usable Security im Softwareentwicklungsprozess = Software Security
|
P. Schwemmer WIBOND Informati-onssysteme GmbH
|
13.50 Uhr |
Java Sicherheitsanalyse mit Pattern-Detection-Tools
- Tool-gestützte Bewertung der Sicherheit von Java-Programmen
- Eignung von Pattern-Detection-Tools im Bereich der sicheren Software
- Auffinden von sicherheitsrelevanten Schwachstellen in Java-Quelltexten
- Beschreibung von typischen Sicherheitslücken mit Hilfe von Mustern
- Vorstellung eines eigenen Tools an konkreten Beispielen
|
M. Kreitz
A. Baumann UniBw München
|
14.15 Uhr |
Security in der Java-Grundausbildung
- Defizite und aktueller Stand des Themas Security in der Ausbildung
- Analyse der Oracle "Secure Coding Guidelines for Java SE"
- Integration sicherheitsrelevanter Aspekte in die Java Grundausbildung
- Konkrete Programmierbeispiele im Hinblick auf sichere Software
- Diskussion der gewählten Lehrinhalte und möglicher Alternativen
|
A. Baumann
D. Pawelczak UniBw München
|
14.40 Uhr |
Kommunikationspause |
Automatisierung · Leitung: A. Baumann |
A |
15.10 Uhr |
Drahtloses Abhören von Bussystemen in der Gebäudeautomatisierung
- Steigende Verbreitung von Bussystemen
- Smart Home mit einer Vielzahl von Sensoren, Aktoren
- Geringe technische Hürden zur Abhörung
- Vorstellung eines einfachen Systems ohne physische Eingriffe
- Analyse von Ritto Twinbus Datentelegrammen
|
A. Attenberger FH Kufstein
|
15.35 Uhr |
Fingerabdruck-Identifizierung im Seniorenwohnheim
- Erfahrungsbericht Fingerabdruck-Identifizierung im Seniorenwohnheim
- Datenschutzaspekte der biometrischen Authentisierung
- Überprüfung der IT-Sicherheit durch Sicherheitsuntersuchung
- Schutzkonzept basierend auf dem BSI IT-Grundschutz
- Bedrohungsanalyse Minutien
|
K. Knorr
A. Schmidt Hochschule Trier
T. Wambach Universität Koblenz
|
16.00 Uhr |
Safety nicht ohne Security in der kollaborativen Robotik
- Safety in der kollaborativen Robotik
- Sichere Planung für Roboteranwendungen
- Angriffe auf das Robot Operating System
- Security im Robot Operating System
- Demonstration eines Angriffs auf Safety-Komponenten in einem Robotersystem
|
B. Breiling
B. Dieber
B. Reiterer
A. Schlotzhauer
S. Taurer Joanneum Research
|
16.25 Uhr |
Konferenzende |
... als Referenten haben sich zusätzlich zur Verfügung gestellt: |
|
Integration von SDN in eine virtualisierte IT-Topologie
- Umstellung einer Netzwerktopologie auf SDN
- automatische, ereignisbasierte Anpassung von Netzwerkeinstellungen
- Verknüpfung von IDS (Snort) mit OpenDaylight und OpenFlow
- Erkennung von Angriffen über Snort, Nutzung von OpenFlow zur Abwehr
- Abwehr von Angriffen auf Netzwerkebene direkt am SDN-Switch
|
J. Sell FH Dortmund
E. Eren Hochschule Bremen
|
|
IT-Sicherheitsanalyse durch NAC-Systeme mit SIEM-Funktionalität
- Einsatz und Schwächen von NAC-Systemen
- Monitoring von IT-Sicherheit mittels SIEM
- Architektur einer Open-Source-basierten Lösung
- Erweiterung eines NAC-Systems mit SIEM-Funktionalitäten
- Stand und weitere Arbeiten des CLEARER-Projektes
|
C. Kleiner
M. Rohde Hochschule Hannover
K.-O. Detken DECOIT GmbH
M. Steiner IT-Security(at)Work
|
|
Starke Authentisierung – jetzt!
- Was ist "starke Authentisierung" und warum ist das wichtig?
- Die Initiative "Starke Authentisierung – jetzt!" (www.2fa.jetzt) im Überblick
- Welche Verfahren zur starken Authentisierung werden in der Praxis genutzt?
- Wo wird heute bereits starke Authentisierung eingesetzt?
- Wie kann man starke Authentisierung in seinen Dienst integrieren?
|
D. Hühnlein et al. ecsec GmbH
|
Die Beiträge dieser Referenten finden Sie ebenfalls im Tagungsband zur Konferenz. |