Programm | SYSSEC

Home / Veranstaltungen / D•A•CH Security 2018 / Programm

Stand 2018-08-04 – Änderungen vorbehalten

Aktuell: Programm als PDF herunterladen

Sessionplan


Dienstag · 4. September 2018		Mittwoch · 5. September 2018
Awareness & Schulung		Beweiswerterhaltung	Workshop KRITIS
Software- & Security-Engineering		Automatisierung, Industrie 4.0 & IoT
Angriff & Abwehr	Studentische Abschlussarbeiten	Risikomanagement	Workshop ACS
Sicherheitsmanagement		Identifikation & Authentifikation

Dienstag · 4. September 2018


08.30 Uhr	Registrierung, Kaffee und Tee
09.30 Uhr	Begrüßung und Überblick N. Pohlmann & P. Schartner
Awareness & Schulung ● Leitung: B. Mester		A
09.35 Uhr	Informationssicheres Verhalten automatisiert messen Effektivität von Security Awareness Maßnahmen beurteilen Kritisches Verhalten identifizieren Sicherheitsrelevantes Verhalten automatisch messen Verhalten von Beschäftigten datenschutzkonform aufzeichnen Prototyp demonstriert Machbarkeit	M. Janik, K. Weber A. Schütz, T. Fertig HS Würzburg-Schweinfurt
10.00 Uhr	CT2 Projekt für Lehre, Forschung und Studium von Kryptologie Geschichte des CrypTool-Projekts Kryptologie verstehen mit Toolunterstützung CrypTool 2 an Schulen und Universitäten Historische Chiffren analysieren und brechen Verteilte Kryptoanalyse mit CrypTool 2	N. Kopal B. Esslinger Uni Kassel
10.25 Uhr	Neue Narrative für Informationssicherheit Steigerung der Reslilienz durch organisatorische Beidhändigkeit Überwinden der Fachsprache – mehr Semantik durch weniger Fachbezug Awareness für Informationssicherheit als Kulturwandel begreifen Den Unterschied zwischen Schuld und Scham erkennen und begegnen Einstellungsänderung durch Sympathie und Wissen um das Thema	D. Scribane etomer GmbH, Secutain
10.50 Uhr	Kommunikationspause
Software- & Security-Engineering ● Leitung: K. Knorr		A
11.20 Uhr	Eine Programmiersprache zur souveränen Datenverarbeitung Usage Control kein fester Bestandteil klassischer Programmiersprachen Statt den Daten können Applikationen und Ergebnisse verschickt werden DSL für die Datenverarbeitung mit erweiterbaren Subsystemen Definition neuer Typen, Aktivitäten und Policies bei Bedarf Cross-Compilation in komplexe Applikationen welche Policies einhalten	F. Bruckner D. Krüger R. Nagel, S. Wenzel Frauenhofer ISST B. Otto TU Dortmund
11.45 Uhr	Security-Engineering in Software-Entwicklung und Betrieb Nutzung modellbasierter Ansätze im Security Engineering Einfluss betrieblicher Randbedingungen auf die Systemsicherheit Review bestehender Ansätze Vorstellung eines modellbasierten Ansatzes für Entwicklung und Betrieb Nutzung des Ansatzes in einer Fallstudie	A. Lunkeit Rohde & Schwarz Cybersecurity
12.10 Uhr	Techniken zur Vermeidung von ROP-Angriffen Neue OpenBSD Sicherheitsmechanismens der letzten Jahre Mit besonderem Fokus auf anti-ROP Techniken Veränderungen im Kernel bzw. Userland Einblick in die aktuelle Entwicklung Veränderungen im Bereich der Technik	J. Klemkow genua GmbH
12.35 Uhr	Gemeinsame Mittagspause
Angriff & Abwehr ● Leitung: K. Lemke-Rust		A
13.35 Uhr	Erkennung von Hardwaremanipulationen durch Lötzinn-Analyse Analyse der Lötstellen von Testleiterplatten nach Manipulation Darstellung unterschiedlicher Analysemethoden (z.B. Mikroskopie, RFA) Vergleich der Ergebnisse von zwei unterschiedlichen Rework-Anlagen Austausch von BGA-Bauteilen mit Underfill Austausch von gelöteten Schutzblechen bei Mobiltelefonen	T. Kuhn HTV GmbH
14.00 Uhr	Erkennung von Android-Malware mit maschinellem Lernen Trends bei Android-Malware, bestehende Erkennungsansätze Klassifizierung von Malware mit Machine Learning Trainingsset mit Schadklassen und Kernelaufrufsequenzen Lösungsarchitektur und Datenerfassung am Android-Gerät Parametervergleich Support Vector Machine & Logistic Regression	T. Straub Duale Hochschule Baden-Wüttemberg M. Stahlberger Fiducia & GAD IT AG
14.25 Uhr	fishy – Ein Framework zur Umsetzung von Verstecktechniken in Dateisystemen Open Source Framework für Dateisystem-basierte Verstecktechniken Bereitstellung von Schnittstellen zur Manipulation von Datenstrukturen Aktuelle Unterstützung unterschiedlicher Dateisysteme: EXT, FAT, NTFS Vorstellung und Evaluation des Frameworks anhand konkreter Techniken Grundlage zukünftiger Qualitätssicherungen von Forensik-Software	A. Kailus C. Hecht T. Göbel L. Liebler HS Darmstadt
Studentische Abschlussarbeiten ● Leitung: S. Schauer		B
13.35 Uhr	Secret-Sharing: Sicherheitsbetrachtungen und Tools Erläuterung von Secret-Sharing-Protokollen und Commitment-Verfahren Diskussion eines Chosen-Instruction-Angriffs Anwendbarkeit von Chosen-Instruction-Angriffen auf Secret-Sharing Vorstellung einer Bibliothek zur Durchführung von Secret-Sharing Live-Demo eines Prototyps zur Ausführung verteilter Berechnungen	V. Pachatz Alpen-Adria-Universität Klagenfurt
14.00 Uhr	Automatisierte Erkennung von Daten-Exfiltration Weltweit immer häufiger Systemeinbrüche mit dem Ziel eines Datendiebstahls Daten-Exfiltration mittels Netzwerk-Steganographie wird bisher nicht zuverlässig erkannt Statistische Analyse und maschinelles Lernen als Basis für ein neues Detektionsverfahren Wissenschaftliche Untersuchung zur Identifizierung statistischer Merkmale Fokus auf bisher unzureichend überwachte Netzwerk-Protokolle wie DNS und ICMP	N. Rogmann HS Darmstadt, Controlware GmbH
14.50 Uhr	Kommunikationspause
Sicherheitsmanagement ● Leitung: R. Benzmüller		A
15.20 Uhr	Der IT-Security-Navigator Interdisziplinäre Herausforderungen für die IT-Sicherheit Auslegungsschwierigkeiten im Hinblick auf unbestimmte Rechtsbegriffe Konkretisierung des "Standes der Technik" im Sinne des IT-SiG Domänenübergreifende technische Normung in der IT-Sicherheit Lösungsmodelle zur praxisnahen Gesetzeskonkretisierung für KMU	D.-K. Kipker Uni Bremen A. Harner S. Müller DKE/VDE
15.45 Uhr	Einführung eines KMU-CERTs in Österreich Computer Emergency Response Teams Bedarfsanalyse bei den österreichischen KMUs Struktur eines KMU-CERTs Cybersicherheit Organisation	E. Huber et al. Donau-Universität Krems
16.10 Uhr	Sei gewarnt! Vorhersage von Angriffen im Online-Banking Aktive Warnungen vor tagesaktuellen Angriffen im Online-Banking Bestimmung geeigneter Kennzahlen, die das Gefahrenlevel beschreiben Vergleich unterschiedlicher KI-Verfahren zur Bestimmung der Gefahrenlage Studie zur Nutzerfreundlichkeit des Systems im praktischen Einsatz Kritische Betrachtung der Ergebnisse und Hindernisse bei der Einführung	T. Urban, R. Riedel N. Pohlmann Institut für Internet-Sicherheit C. Paulisch TU Berlin
16.35 Uhr	Erfüllung von IT-Compliance durch automatische Vorfall-Bearbeitung Automatisierte Überwachung und Steuerung von Compliance-Aspekten Zentrale Sammlung aller sicherheitsrelevanten Informationen Generierung verstehbarer Handlungsempfehlungen Anomalien erkennen und diese melden Anbindung an ein NAC-System im Forschungsprojekt CLEARER	K.-O. Detken M. Jahnke, T. Rix DECOIT GmbH M. Steiner IT-Security@Work GmbH
17.00 Uhr	Ende erster Konferenztag
18.30 Uhr	Gemeinsames Abendessen

Mittwoch · 5. September 2018


Beweiswerthaltung ● Leitung: G. Jacobson		A
09.00 Uhr	Langfristige Beweiswerterhaltung und Datenschutz in der Blockchain Blockchain, insbeonsere Private Chain Nachweis- und Aufbewahrungspflichten EU-Verordnungen zur Digitalisierung (eIDAS, DSGVO…) Lösungsansätze zum Erhalt des Integritätsschutzes Lösungsansätze zum Beweiswerterhaltung	T. Kusber S. Schwalm Fraunhofer FOKUS C. Berghoff U. Korte BSI
09.25 Uhr	Anforderungen an eine vertrauenswürdige Langzeitarchivierung Integrität und Nicht-Abstreitbarkeit einer VoIP-Kommunikation Integrität und Authentizität über die Phasen des OAIS-Modells Digitale Langzeitarchivierung nach DIN-Norm 31644 Anforderungen an die Archivierung von VoIP-Daten nach DIN-31644 Integritätsprüfung über PCR-Check eines TPMs	P. Kathmann G. Gritzan O. Hoffmann R. Sethmann HS Bremen
09.50 Uhr	Ein sicherer Datenrekorder Datenschreiber für intelligente Robotersysteme Sicheres Aufzeichnen und Speichern des Systemzustandes Transparenz in der Entscheidungsfindung von durchzuführenden Aktionen Nachvollziehbarkeit in komplexen (Roboter-) Systemen Unterstützung von forensischen Untersuchungen nach Fehlverhalten	S. Taurer B. Dieber Joanneum Research – Robotics
10.15 Uhr	Vertrauenswürdige E-Akte auf Basis von TR-RESISCAN / TR-ESOR EU-Verordnungen zur Digitalisierung (eIDAS, DSGVO…) Ersetzendes Scannen (BSI TR-03138, TR-RESISCAN) Elektronische Vorgangsbearbeitung (E-AKTE) Beweiswerterhaltung für Signaturen (BSI TR-03125, TR-ESOR) ETSI-Standards für Vertrauens- und Bewahrungsdienste	D. Hühnlein ecsec GmbH J. Ahmad U. Korte BSI
Workshop KRITIS ● Leitung: U. Lechner & S. Dännart		B
09.00 Uhr	IT-Sicherheit bei den Kliniken des Bezirks Oberbayern Schutz von Patientendaten in Kliniken Reaktionen auf Ransomwareattacke auf Krankenhäuser Strategie des ausgewogenen Risikomanagements Einsatz eines multiprofessionellen IT-Sicherheitskomitees Schnelle, transparente Entscheidungen von IT und Anwendern ermöglichen	T. Kehr S. Dännart UniBw München
	IT-Sicherheit für Geschäftsprozesse im Finanzsektor Unterstützung des Risikomanagements in Banken Ganzheitliche Risikobewertung durch die Managementlösung PREVENT Vielzahl an Datenquellen im Unternehmen aggregieren Wechselwirkungen zwischen Ebenen im Unternehmen darstellen Verschiedene Sichten bedarfs- und anwendergerecht erzeugen	T. Bollen Wincor Nixdorf S. Rudel UniBw München
	Ausfallsicherheit in der Zentralen Leitstelle Ostthüringen Vorstellung einer zentralen Rettungsleitstelle als KRITIS Ausfallsicherheit des Alarmierungs-prozesses Weiterentwicklung der Informations- und Kommunikationstechnologie Disponentenarbeitsplätzen Rückfallebenen und Redundanzen	S. Müller Stadtverwaltung Gera T. Gurschler UniBw München
	Transfer in die Praxis Lösungen zur IT-Sicherheit, wie sie konkret angewendet werden Bandbreite von Good Practices Zusammenspiel Technik, Organisation, Mensch Weitere Beiträge von Experten Kostenfreie Bezugsquelle der Fallstudien	U. Lechner S. Dännart UniBw München
10.40 Uhr	Kommunikationspause
Automatisierung, Industrie 4.0 & IoT ● Leitung: H. Storck		A
11.10 Uhr	Biometrie in der Industrie 4.0 Neue Herausforderung durch die Datenschutzgrundverordnung Rechtliche Erlaubnis zur Nutzung biometrischer Daten Datenverarbeitung im Rahmen eines Beschäftigungsverhältnisses Neue technische Gestaltungsvorgaben für den Datenschutz Rechtskonforme Technikgestaltung im Bereich der Industrie 4.0	S. Schindler J. Schneider T. Goeble Uni Kassel
11.35 Uhr	Security-Demonstrator Industrie 4.0 Sicherheit für komplexe Industrie 4.0 Umgebungen Sichere Steuerung von Industrie-Prozessen Kommunikations-basierte Szenarien mit Basis-Angriffen Security-Demonstrator für experimentelles Security-Testing Demonstrative Umsetzung und experimentelle Auswertung	R. Fischer K. Lamshöft J. Dittmann Otto von Guericke Universität Magdeburg
12.00 Uhr	OT-Security: Von der Norm ins Leitsystem Pragmatische Umsetzung der IEC 62443 durch Komplexitätsreduktion Managementsystem: Was es kann, was nicht – und wo man anfängt Risikoanalyse: Ingenieurmethoden statt Glaskugel Maßnahmen: Wenn Security die Arbeit mit dem Leitsystem erleichtert Security für Safety-Systeme: Keine Parallelstrukturen aufbauen	S. Fluchs H. Rudolph admeritia GmbH
12.25 Uhr	Gemeinsame Mittagspause
Risikomanagement ● Leitung: N. Pohlmann		A
13.25 Uhr	Risikobewertungen in Datennetzwerken Metadatenbasierte Risiko- und Sicherheitsbewertung von Datenressourcen Flexibilisierung von metadatenbasierten Metriken Unterstützung des unternehmensübergreifenden Datenaustausches Datenkataloge zur qualitativen Risikobewertung von Data Supply Chains Kollaboratives Risikomanagement in Datennetzwerken und -ökosystemen	D. Tebernum M. Spiekermann S. Wenzel ISST Frauenhofer B. Otto TU Dortmund
13.50 Uhr	Ansatz zur Auswahl von Risikomanagement-Methoden Vergleich von Risikomanagementframeworks Aktualisierung des ENISA Vergleichs (2006) Diskussion der Vergleichskriterien Diskussion der Praxisanwendung Fokus auf Risikomanager in KMUs	S. Schauer M. Latzenhofer S. König C. Kollmitzer AIT
14.15 Uhr	Risikobewertung für vernetzte kritische Infrastrukturen Vernetzte kritische Infrastrukturen Identifikation von Kaskadeneffekten Statisches und dynamisches Risikomodell Simulation und Visualisierung Ganzheitliche Risikoanalyse	S. Schauer et al. AIT
Workshop ACS ● Leitung: T. Kleinert & S. Becker		B
13.25 Uhr	Die Wirtschaft im Fokus von Cyber-Angriffen Bedrohungslage Aktuelle Vorfälle Tätertypologie Angebote von BSI & Ermittlungsbehörden Skizzierung Incident Response	S. Becker T. Kleinert BSI
	Incident Response – Workshop zum korrekten Verhalten im Ernstfall Vorstellung eines Fallbeispiels Kurzfristige Maßnahmen Zusammensetzung eines Krisenstabs Erarbeitung eines Notfallplans Übung erzeugt Kompetenz	S. Becker T. Kleinert BSI
14.40 Uhr	Kommunikationspause
Authentifikation & Identifikation ● Leitung: U. Korte		A
15.10 Uhr	Mehr Sicherheit und Benutzerfreundlichkeit für Fernsignaturen Die eIDAS-Verordnung – der "Digitalisierungsmotor" im Überblick Die Fernsignatur – das "Killer-Feature" der eIDAS-Verordnung Bedrohungsmodell: Wie sicher ist die Fernsignatur eigentlich? Mehr Sicherheit und Benutzerfreundlichkeit für die Fernsignatur SkIDentity – Gestern, heute, morgen – von eID zu eIDAS!	T. Wich S. Schuberth R. Lottes T. Hühnlein D. Hühnlein ecsec GmbH
15.35 Uhr	Kontextsensitive CAPTCHAs im Online-Banking Darstellung von aktuellen Angriffen im Online-Banking Konzeption eines Protokolls zur Absicherung von Transaktionen durch CAPTCHAs Konzeption von Angriffen auf das entwickelte Protokoll Berechnungen des Restrisikos eines erfolgreichen Angriffs Umfangreiche Nutzerstudie zum praktischen Einsatz des Systems	T. Urban, R. Riedel N. Pohlmann Institut für Internet-Sicherheit C. Paulisch TU Berlin
16.00 Uhr	Risikobasierte und adaptive Authentifizierung Maßnahmen für eine frustfreie Multi-Faktor Authentifizierung Synergien durch Zentralisierung der Identifikation und Authentifikation High-Level Design eines adaptiven Identity Providers Anwendungsfälle mit Blick auf gesetzliche Rahmenbedingungen Vergleich bestehender Systeme und deren IT-Sicherheitskonzepte	R. Riedel N. Pohlmann Institut für Internet-Sicherheit
16.25 Uhr	Konferenzende
... als Referenten haben sich zusätzlich zur Verfügung gestellt:
	ML-gestützte Authentifizierung mit QR Code und Smartphone Profilbildung anhand von Smartphonesensoren Vereinfachung und Absicherung von Authentifizierung durch maschinelles Lernen Adaptive Authentifizierung mit maschinellem Lernen Authentifizierung mittels Smartphonesensordaten – Vergleich von Algorithmen Ergebnisdaten durch die Nutzung von XignQR	M. Hertlein XignSys GmbH
	Using Geolocation Data as a Threat Enlargener Privacy Leaks in Geolocation Data Operational Security Risks Open Source Data Risks Social Engineering Attacks Enlarging Attack Surface through Data Analysis	M. Cagnazzo N. Pohlmann Institut für Internet-Sicherheit
	Integrität und Nicht-Abstreitbarkeit von VoIP-Kommunikation Nicht-Abstreitbarkeit mündlicher Konversation Integritätsschutz mittels Trusted-Computing-Technologie Sichere Authentifizierung der Kommunikationspartner Revisionssichere Speicherung der Kommunikation Umsetzung im Forschungsprojekt INTEGER	K.-O. Detken M. Jahnke DECOIT GmbH B. Röllgen Global IP Telecommunications
Die Beiträge dieser Referenten finden Sie ebenfalls im Tagungsband zur Konferenz.