Programm

Stand 2017-07-27 – Änderungen vorbehalten


Aktuell: Programm als PDF herunterladen
Sessionplan
Dienstag · 5. September 2017 Mittwoch · 6. September 2017
Security Awareness Risikomanagement SECMGT Workshop
Audits, Penetration-Tests & Forensik Identifikation & Privatsphäre Richtlinien, Beweiswert & Datenschutzrecht Technische Aspekte
IT Monitoring Studentische Abschlussarbeiten Software-Sicherheit
Kritische Infrastrukturen Automatisierung
Dienstag · 5. September 2017
08.30 Uhr Registrierung, Kaffee und Tee
09.30 Uhr Begrüßung und Überblick
Security Awareness · Leitung: P. Schartner A
09.35 Uhr Security Awareness: Nicht nur schulen – überzeugen Sie!
  • Security Awareness: Komplexes Zusammenspiel verschiedener Faktoren
  • Mitarbeitersensibilisierung muss Wissen, Wollen und Können fördern
  • Integriertes Verhaltensmodell als Schlüssel zum Mitarbeiterverhalten
  • Messung Security Awareness mit Hilfe verschiedener Faktoren
  • Sensibilisierung durch individuelle Maßnahmen zur Verhaltensänderung
A. Schütz
K. Weber
FHWS
10.00 Uhr Zur Wirksamkeit von Security-Awareness-Maßnahmen
  • Social Engineering Angriffe erfordern Security Awareness
  • Vergleich geeigneter Security-Awareness-Maßnahmen für ein KMU
  • Untersuchung der Wirksamkeit im Rahmen einer empirischen Studie
  • Durchführung unter praxisnahen und realitätsgetreuen Bedingungen
  • Steigerung der Security Awareness bei E-Mail Phishing Angriffen
G. Schembre
A. Heinemann
Hochschule Darmstadt
10.25 Uhr Sozio-technische Aspekte von Finanz- und Cyberkriminalität
  • Finanzkriminalität als herausforderndes interdisziplinäres Themenfeld
  • Modi Operandi von Tätern
  • Erkenntnisse auf Basis von Täterinterviews
  • Potentielle Anknüpfungspunkte zur Stärkung von Cyber Security
  • Gegenmaßnahmen auf technischer, psycholog. und soziolog. Ebene
R. Merkel
J. Dittmann
Universität Magdeburg
S. Reichmann
M. Griesbacher
Universität Graz
10.50 Uhr Kommunikationspause
Audits, Penetration-Tests & Forensik · Leitung: E. Weippl A
11.20 Uhr Security Audits von Embedded Systems mit Mikrocontrollern
  • Viele Embedded Systems setzen auf günstige Standard Mikrocontroller
  • Firmware-Inhalte sind üblicherweise gegen das Auslesen geschützt
  • Ohne Firmware-Extraktion ist kein tiefgehender Security Test möglich
  • Es werden Labormethoden zur FW-Extraktion und -Analyse vorgestellt
  • Dadurch können enthaltene Schwachstellen identifiziert werden
M. Kammerstetter
D. Burian
S. Riegler
Trustworks KG
11.45 Uhr Evolutionäres unstrukturiertes Fuzzing von L4-Mikrokernen
  • L4 Mikrokerne sind für die Sicherheit vieler IT-Systeme grundlegend
  • "Fuzzing" ist eine erfolgversprechende Methode für Penetrationtests
  • Neuerdings ist es möglich, Fuzzing im laufenden Betrieb durchzuführen
  • Damit können erstmals L4 Mikrokerne wie L4Re derart untersucht werden
  • Die Ergebnisse erstaunen!
D. Loebenberger
genua GmbH
S. Liebergeld
Kernkonzept GmbH
12.10 Uhr Incident Analyse und Forensik in Docker-Umgebungen
  • Forensik und Incident Analysen aufgrund Cybercrime an der Tagesordnung
  • Steigender Einsatz von Docker im Unternehmensumfeld
  • Auswirkungen auf forensische Untersuchungen unklar
  • Welche Änderungen ergeben sich für Spuren, Methoden und Prozesse?
  • Welche neuen Spuren entstehen durch Docker selbst?
M. Luft
A. Dewald
ERNW GmbH
Identifikation & Privatsphäre · Leitung: M. Ullmann B
11.20 Uhr Design- und Implementierungsaspekte mobiler abgeleiteter Identitäten
  • Mobile Geräte eignen sich gut als zweiter Faktor bei der Authentisierung
  • Überblick über europäische Systeme für abgeleitete IDs im eGovernment
  • Speicherorte für mobile abgeleitete Identitäten
  • Registrierungsprozeduren für mobile abgeleitete Identitäten
  • Designaspekte zur Zugriffsabsicherung auf abgeleitete Identitäten
D. Träder
A. Zeier
A. Heinemann
HS Darmstadt
11.45 Uhr Migration von OpenID Connect in eine bestehende Anwendungslandschaft
  • Einführung in OpenID Connect
  • Konzeptionelle Einordnung einer Migration
  • Wege zur Migration
  • Demonstration an Praxisbeispielen
  • Erfahrungsbericht (Lessons Learned)
R. H. Steinegger
S. Abeck
Karlsruher Institut für Technologie
A. Hotz
N. Hintz
iC Consult
12.10 Uhr PET-unterstützte Freigabeverfahren für Offene Daten
  • Offene Daten in der öffentlichen Verwaltung
  • Prinzip: open by default, Ausnahme: Personenbezug
  • PET-unterstützte automatisierte Freigabeverfahren
  • Betrachtung: False Positives / Negatives
  • Kritische Diskussion der Wirksamkeit
U. Greveler
HS Rhein-Waal
12.35 Uhr Gemeinsame Mittagspause
IT Monitoring · Leitung: W. Rankl A
13.35 Uhr Softwaredesign für Dynamische Integritätsmessungen bei Linux
  • Dynamische Integritätsmessungen eines Linuxsystems zur Laufzeit
  • Integritätskonzept mit Hilfe von Trusted Computing Ansätzen
  • Vorberechnung statischer Referenzwerte für Prozesse
  • Dynamische Nachberechnung von Kernelmodifikationen in der Verifikation
  • Analyse des Einflusses der Integritätsmessungen auf die Systemleistung
M. Jahnke
T. Rix
K.-O. Detken
DECOIT GmbH
A. Rein
Huawei Technologies
14.00 Uhr Security-Monitoring beim Pairing in Wireless Sensor Networks
  • Wireless Sensor Networks im Internet of Things
  • Restriktionen bei Stromverbrauch und Rechenleistung der IoT Devices
  • Sicherheits-Risiken in WSNs
  • Übersicht zu Angriffen und Gegenmaßnahmen
  • Erkennung von Angriffen in der Pairing-Phase von neuen Devices
O. Krebs
I. Schiering
T. Lorenz
Ostfalia HAW
A. Hitzmann
Osaka University
14.25 Uhr Cyber Range: Netzverteidigung trainieren mittels Simulation
  • Effiziente Angriffserkennung und -bewältigung als Herausforderung
  • Eklatanter Bedarf: Gut ausgebildetes Personal im Cyber-Umfeld
  • Simulation als ideales Mittel zum Testen & Üben von Handlungsabläufen
  • Cyber Range-Einsatz in operativem Training und universitärer Lehre
  • Wesentliche Anforderungen und Aufbau einer Cyber Range
R. Kaschow
O. Hanka
ESG
M. Knüpfer
V. Eiseler
UniBw München
Studentische Abschlussarbeiten · Leitung: S. Schauer B
13.35 Uhr Security Awareness auf Basis von Open Educational Resources
  • Grenzen des Urheberrechts in der Security-Awareness
  • Der "Open-Source-Ansatz" im Non-Software-Bereich
  • Chancen für Security-Awareness durch OER
  • Gewährleistung der Auffindbarkeit von OER
  • Qualitätssicherung und Finanzierung offener Materialien
J. J. Tschöll
HS Furtwangen


14.00 Uhr Entwicklung einer Benchmark Software für kryptogr. Hashfunktionen
  • Erläuterung der Funktionsweise aktueller kryptogr. Hashfunktionen
  • Vorstellung bestehender Implementierungen und Softwarelösungen
  • Aufbau, Konzepte und Softwarearchitektur der Eigenimplementierung
  • Besonderheiten bzgl. der Teststrategie bei kryptogr. Hashfunktionen
  • Fazit und Evaluation der Implementierung
M. Schlüchter
FH-Dortmund
14.25 Uhr IoT Architektur zum Schutz von Privatsphäre Ende-zu-Ende
  • Bedrohungsmodell der Privatsphäre für das Internet der Dinge (IoT)
  • Kompositorisches Privacy Enhancing Technology (PET) Taxonomiemodell
  • Privatsphären-Schutz Metrik für komponierte PET Systeme
  • Kontext-sensitive Privatsphäre Architektur für IoT Infrastrukturen
  • Prototyp Implementierung und Evaluation am Beispiel Fitness-Tracking
S. Funke
TU Darmstadt
14.50 Uhr Kommunikationspause
Kritische Infrastrukturen · Leitung: I. Münch A
15.20 Uhr Monitor IT-Sicherheit kritischer Infrastrukturen
  • IT-Sicherheit in kritischen Infrastrukturen
  • Aspekte nationaler und internationaler IT-Sicherheitsstudien
  • Die Bedrohungslage in deutschen Unternehmen
  • Realisierung von IT-Sicherheit in Deutschland
  • Bedarf nach Forschungsergebnissen und neuen Technologien
S. Dännart
T. Gurschler
U. Lechner
UniBw München

15.45 Uhr Moderne Energieverteilnetze: Bedrohungen und Gegenmaßnahmen
  • Einführung zum Energienetz und zukünftigen Energieverteilnetzen
  • Bedrohungsanalyse für dezentrale Standorte im Energieverteilnetz
  • Vorstellung relevanter Informationssicherheitsstandards im Energienetz
  • Empfehlungen für Sicherheitsmaßnahmen im Energieverteilnetz
  • Aufforderung zu mehr proaktiver Informationssicherheit im Energienetz
C.-H. Genzel
O. Hoffmann
R. Sethmann
HS Bremen
16.10 Uhr Security-Self-Assessment in kritischen Infrastrukturen
  • Wasserinfrastrukturen besitzen ein besonderes KRITIS-Risikoprofil
  • Dies stellt insbesondere kleinere Betreiber vor Herausforderungen
  • Im Forschungsprojekt Aqua-IT-Lab wurde ein Self-Assessment entwickelt
  • Dieses erstellt aufwandsarm und selbsterklärend ein Risikoprofil
  • Und generiert automatisch priorisierte Handlungsempfehlungen
J. Schneider
D. Fuhr
HiSolutions AG
E. Korte
Pretherm GmbH
C. Thim
Universität Potsdam
16.35 Uhr Artificial Intelligence to Predict Malicious Infrastructure
  • IT Security ist bekannten Angriffen immer einen Schritt hinterher
  • Prädiktive Informationen machen Verteidiger proaktiv statt reaktiv
  • Historische und aktuelle Daten werden zu Bedrohungsinformationen
  • Die Vorhersage von bösartiger Infrastruktur ist möglich geworden
  • Mit Machine Learning zukünftige bösartige IP-Adressen Vorhersagen
S. Truvé
G. Beeker
Recorded Future
17.00 Uhr Ende erster Konferenztag
18.30 Uhr Gemeinsames Abendessen
Mittwoch · 6. September 2017
Risikomanagement · Leitung: D. Pawelczak A
09.00 Uhr High-Level Risikoanalyse im Bereich Internet of Things
  • Strukturierung von IoT-Domänen und Anwendungsfällen
  • Security-Charakteristika von IoT-Systemen
  • Identifikation von generischen Risiken
  • Vorschlag für eine High-Level IoT-Risikomatrix
  • Konzeptionelle Handlungsvorschläge zur Risikominimierung
S. Schauer
S. König
M. Latzenhofer
S. Schiebeck
AIT
09.25 Uhr Subjektive Risikobewertung – über Datenerhebung und Opinion Pooling
  • Opinion Pooling
  • Empirische Erhebung von Risikodaten
  • Risikodatenbereinigung
  • Risikodaten-Aggregation (verlustfrei und verlustbehaftet)
  • Anwendungen im Risikomanagement
J. Wachter
S. Rass
AAU Klagenfurt
S. Schauer
S. König
AIT
09.50 Uhr Risikominimierung bei kommerziell genutzter Open Source
  • Schwachstellenerkennung im Software-Entwicklungsprozess
  • Eignung der Verfahren zum Monitoring und zur Risikobehandlung
  • Sicherheitslücken als Sachmangel
  • Haftung von Softwareherstellern
  • Wirksamkeit von Haftungs- und Gewährleistungsausschlüssen
H. Fleischhauer
Hensoldt Sensors GmbH
S. Haßdenteufel
SSW Schneider Schiffer Weihermüller
10.15 Uhr Erstellung eines detaillierten Risikobehandlungsplans
  • Detaillierte Maßnahmenplanung aus dem Risikomanagement
  • Risikobehandlungspläne als Kern des Risikomanagements
  • Technische und organisatorische Maßnahmenbündel über alle ISMS-Level
  • Workshop-basierte Vorgehensweise
  • Abstimmung der Maßnahmen auf ihre Betriebsverträglichkeit
H. Rudolph
S. Giebelhausen
M. Müller
admeritia GmbH
SECMGT Workshop · Leitung: D. Koschützki B
09.00 Uhr Virtuelle Räuber, falsche Präsidenten und echte Erpresser
  • Die Zahl komplexer IT-Angriffe nimmt weltweit zu
  • Manipulation mittels Social Engineering ist dabei essentiell
  • Gegenmaßnahme ist eine adäquate Awareness-Strategie
  • Allein einfache Standard-Maßnahmen anzuwenden, ist wenig hilfreich
  • Awareness sollte auf Risiken & Mitarbeiter zugeschnitten sein
C. Hesse
Riskworkers GmbH

09.50 Uhr IT-Sicherheit für Kritische Infrastrukturen
  • Durchführung von Vernetzung und Wissenstransfer der Verbundprojekte
  • Begleitende Forschung zur Lage der IT-Sicherheit im Themenfeld
  • Entwicklung von Methoden zu Open Innovation und IT-Security Matchplays
  • Rechtliche Begleitung und Fachgruppen zur Normung und Standardisierung
  • Zusammenführen von Good Practices von Betreibern kritischer Infrastrukturen
S. Rudel
UniBw München
M. Rass
M. Jalowski
FAU Erlangen-Nürnberg
10.40 Uhr Kommunikationspause
Richtlinien, Beweiswert & Datenschutzrecht · Leitung: K. Knorr A
11.10 Uhr Auf dem Weg zur Umsetzung der PSD2-Richtlinie
  • Relevanz der Richtlinie (EU) 2015/2366 ("Payment Services Directive 2")
  • Wesentliche Anforderungen der Richtlinie (Authentisierung, Kontozugriff...)
  • Optionen für eine sichere PSD2-Implementierung auf Basis von Standards
  • Berührungspunkte und Synergien zwischen PSD2 und eIDAS
  • Ausblick zur Implementierung und Standardisierung von PSD2
D. Hühnlein et al.
ecsec GmbH
11.35 Uhr Datenpakete zur Informations- und Beweiswerterhaltung – ein Vergleich
  • Beweiswerterhaltung, technische Lösungen in der Langzeitarchivierung
  • RFC4998/6283, Evidence Records, BSI TR-03125 TR-ESOR, XAIP, XFDU
  • eIDAS-VO, ETSI EN 319 162 Associated Signature Containers (ASiC)
  • ISO19005-3, PDF/A-3
  • Bewertung verschiedener Technologien und Ausblick
S. Schwalm et al.
BearingPoint GmbH

12.00 Uhr Das neue Datenschutzrecht im Überblick
  • Überblick über das neue Datenschutzrecht in Europa
  • Einblick in Kernartikel der Datenschutz-Grundverordnung
  • Erste Analyse einer frühen Version der ePrivacy-Verordnung
  • Kommende Anpassungen für das Bundesdatenschutzgesetz
  • Umsetzung der Anforderungen am Beispiel "SkIDentity"
D. Nemmert
D. Hühnlein
T. Hühnlein
M. Rauh
S. Baszanowski
ecsec GmbH
Technische Aspekte · Leitung: G. Jacobson B
11.10 Uhr Mikrokern für zulassungspflichtige Hochsicherheitssysteme
  • Netzübergänge dienen Sicherheitsdomänen-übergreifender Kommunikation
  • Bei Verschlusssachen sind besondere Anforderungen zu berücksichtigen
  • Sichere Ablaufplattform ist eine Grundvoraussetzung
  • Mikrokern ermöglicht formelle Evaluierung
  • Separierung von Prozessen und Hardware kann nachgewiesen werden
T. Günther
INFODAS GmbH
M. Hohmuth
A. Lackorzynski
M. Lange
Kernkonzept GmbH
11.35 Uhr Angriffe auf RDP – Wie man RDP-Sitzungen abhört
  • RDP dient der Fernadministration und ist nahezu omnipräsent
  • Fast immer werden selbstsignierte SSL-Zertifikate eingesetzt
  • Diese Standardeinstellung bietet keinerlei Abhörschutz
  • Entwicklung eines Proof-of-Concepts in Python um Passwörter einzusehen
  • Empfehlungen und Gegenmaßnahmen
A. Vollmer
SySS GmbH

12.00 Uhr SSDs und Verschlüsselung: Datenremanenz als Problem
  • Flashspeicher in SSDs als nichtlinear adressiertes Medium
  • Flash Translation Layer (FTL) als Hardwareabstraktionsschicht in SSDs
  • Systembedingte Datenremanenz als Eigenschaft eines FTL
  • Sicherheitsannahmen gängiger Datenträgerverschlüsselungslösungen (FDE)
  • Schwachstellen in FDE auf SSDs
C.-D. Hailfinger
K. Lemke-Rust
HS Bonn-Rhein-Sieg
12.25 Uhr Gemeinsame Mittagspause
Software-Sicherheit · Leitung: P. Horster A
13.25 Uhr Formale Methoden als Werkzeug für Software Security
  • Schwachstellen-Analysen zu schwerwiegenden IT-Sicherheitsvorfällen
  • Modellierung sicherheitsrelevanter Abläufe
  • Betrachtung grundlegender, formaler Methoden zur Programmanalyse
  • Verifikation sicherheitsrelevanter Abläufe mit TESLA
  • Usable Security im Softwareentwicklungsprozess = Software Security
P. Schwemmer
WIBOND Informati-onssysteme GmbH
13.50 Uhr Java Sicherheitsanalyse mit Pattern-Detection-Tools
  • Tool-gestützte Bewertung der Sicherheit von Java-Programmen
  • Eignung von Pattern-Detection-Tools im Bereich der sicheren Software
  • Auffinden von sicherheitsrelevanten Schwachstellen in Java-Quelltexten
  • Beschreibung von typischen Sicherheitslücken mit Hilfe von Mustern
  • Vorstellung eines eigenen Tools an konkreten Beispielen
M. Kreitz
A. Baumann
UniBw München
14.15 Uhr Security in der Java-Grundausbildung
  • Defizite und aktueller Stand des Themas Security in der Ausbildung
  • Analyse der Oracle "Secure Coding Guidelines for Java SE"
  • Integration sicherheitsrelevanter Aspekte in die Java Grundausbildung
  • Konkrete Programmierbeispiele im Hinblick auf sichere Software
  • Diskussion der gewählten Lehrinhalte und möglicher Alternativen
A. Baumann
D. Pawelczak
UniBw München
14.40 Uhr Kommunikationspause
Automatisierung · Leitung: A. Baumann A
15.10 Uhr Drahtloses Abhören von Bussystemen in der Gebäudeautomatisierung
  • Steigende Verbreitung von Bussystemen
  • Smart Home mit einer Vielzahl von Sensoren, Aktoren
  • Geringe technische Hürden zur Abhörung
  • Vorstellung eines einfachen Systems ohne physische Eingriffe
  • Analyse von Ritto Twinbus Datentelegrammen
A. Attenberger
FH Kufstein
15.35 Uhr Fingerabdruck-Identifizierung im Seniorenwohnheim
  • Erfahrungsbericht Fingerabdruck-Identifizierung im Seniorenwohnheim
  • Datenschutzaspekte der biometrischen Authentisierung
  • Überprüfung der IT-Sicherheit durch Sicherheitsuntersuchung
  • Schutzkonzept basierend auf dem BSI IT-Grundschutz
  • Bedrohungsanalyse Minutien
K. Knorr
A. Schmidt
Hochschule Trier
T. Wambach
Universität Koblenz
16.00 Uhr Safety nicht ohne Security in der kollaborativen Robotik
  • Safety in der kollaborativen Robotik
  • Sichere Planung für Roboteranwendungen
  • Angriffe auf das Robot Operating System
  • Security im Robot Operating System
  • Demonstration eines Angriffs auf Safety-Komponenten in einem Robotersystem
B. Breiling
B. Dieber
B. Reiterer
A. Schlotzhauer
S. Taurer
Joanneum Research
16.25 Uhr Konferenzende
... als Referenten haben sich zusätzlich zur Verfügung gestellt:
Integration von SDN in eine virtualisierte IT-Topologie
  • Umstellung einer Netzwerktopologie auf SDN
  • automatische, ereignisbasierte Anpassung von Netzwerkeinstellungen
  • Verknüpfung von IDS (Snort) mit OpenDaylight und OpenFlow
  • Erkennung von Angriffen über Snort, Nutzung von OpenFlow zur Abwehr
  • Abwehr von Angriffen auf Netzwerkebene direkt am SDN-Switch
J. Sell
FH Dortmund
E. Eren
Hochschule Bremen
IT-Sicherheitsanalyse durch NAC-Systeme mit SIEM-Funktionalität
  • Einsatz und Schwächen von NAC-Systemen
  • Monitoring von IT-Sicherheit mittels SIEM
  • Architektur einer Open-Source-basierten Lösung
  • Erweiterung eines NAC-Systems mit SIEM-Funktionalitäten
  • Stand und weitere Arbeiten des CLEARER-Projektes
C. Kleiner
M. Rohde
Hochschule Hannover
K.-O. Detken
DECOIT GmbH
M. Steiner
IT-Security(at)Work
Starke Authentisierung – jetzt!
  • Was ist "starke Authentisierung" und warum ist das wichtig?
  • Die Initiative "Starke Authentisierung – jetzt!" (www.2fa.jetzt) im Überblick
  • Welche Verfahren zur starken Authentisierung werden in der Praxis genutzt?
  • Wo wird heute bereits starke Authentisierung eingesetzt?
  • Wie kann man starke Authentisierung in seinen Dienst integrieren?
D. Hühnlein et al.
ecsec GmbH
Die Beiträge dieser Referenten finden Sie ebenfalls im Tagungsband zur Konferenz.
© syssec 2017