IT-Defense 2020Vorträge

Vorträge – IT-DEFENSE 2020

Immer wieder neu - Updatepflichten und das neue Informationssicherheitsrecht – Prof. Dr. Thomas Hoeren

Die Sicherheit von Informationstechnologie ist eine der großen Herausforderungen der Digitalwirtschaft. Es kommen immer neue Richtlinien und Gesetze. So hat die Europäische Union mehrere Regelwerke zur Updatepflicht und zur Verbesserung der Datensicherheit verabschiedet, deren Konturen alles andere als klar sind. Hinzu kommen zahlreiche Anforderungen durch das neue Informationssicherheitsgesetz, die in dem Vortrag vorgestellt werden.
 

Star Trek: Wie aus technischen Visionen Realität wird – Dr. Hubert Zitt

Als Captain Kirk vom Raumschiff Enterprise Ende der 1960er Jahre seinen Kommunikator aufklappte, hätte wohl niemand gedacht, dass dieses Gerät 30 Jahre später die Entwickler von Handys inspirieren würde. Was im späten 20. Jahrhundert noch Visionen von Science-Fiction-Autoren waren, ist teilweise heute schon längst zur Realität geworden.

Wie gut sind bzw. waren die Visionen der Star Trek-Autoren bezüglich der Mensch-Maschine-Interaktion? Der Touchscreen ist bereits in unseren Alltag eingezogen. Welche reellen Chancen haben wir, in Zukunft mit Computern reden zu können? Und wird unsere Generation vielleicht die letzte sein, die Fremdsprachen erlernen muss, weil bald jeder einen Universalübersetzer in seiner Tasche haben wird? Werden wir in Zukunft unsere Freizeit statt vor dem Fernseher in einem Holodeck verbringen und selbst interaktiv an den Geschehnissen teilnehmen?

Im Vortrag werden die Visionen von Star Trek in seriöser und gleichzeitig witziger Art und Weise mit dem heutigen Stand von Wissenschaft und Technik verglichen.
 

Von den OWASP Top Ten zum OWASP ASVS – Jim Manico

Manche Menschen sind fälschlicherweise der Annahme, dass ihre Webanwendungen sicher sind, wenn sie die OWASP Top Ten beachten. Die OWASP Top Ten (und andere Top-Ten-Listen) sind allerdings nur das absolute Minimum, mit dem sich bestenfalls eine grundlegende, allgemeine Awareness erreichen lässt. Vielmehr ist ein umfassenderes Verständnis von Anwendungssicherheit erforderlich. In diesem Vortrag werden die OWASP Top Ten 2017 und die OWASP Top Ten Proactive Controls 2018 untersucht und mit einem umfangreicheren Standard verglichen: dem OWASP Application Security Verification Standard (ASVS) v4.0. Der OWASP ASVS enthält über 180 Anforderungen. Diese können als Grundlage dienen, um zu definieren, was sichere Software wirklich ist. Mithilfe des OWASP ASVS können technische Sicherheitsmaßnahmen von Web- und API-Anwendungen überprüft werden. Auch bietet er Entwicklern eine Reihe von Anforderungen zur sicheren Entwicklung, die sehr viel differenzierter und detaillierter sind, als eine Top-Ten-Liste. Anhand einer Top-Ten-Liste lässt sich kein Sicherheitsprogramm erstellen. Jedoch kann anhand des OWASP ASVS ein Programm zur Anwendungssicherheit erstellt werden.
 

Absicherung von Windows im Jahr 2019 und darüber hinaus – Sami Laiho

2018 ist die Anzahl an neuer Malware pro Tag zum ersten Mal seit Jahren nicht gestiegen. Andererseits haben sich die finanziellen Verluste durch Malware oder Sicherheitslücken mehr als verdoppelt. Die größte Bedrohung stellen aktuell Ransomware, Krypto-Miner und der Diebstahl von Zugangsdaten dar. In diesem Vortrag erfahren Sie von einem der weltweit führenden Sicherheitsexperten, Sami Laiho, wie seine Prognose zur Sicherheit für 2019 sowie die kommenden Jahre aussieht und wie Windows Sie in der sich stets verändernden IT-Sicherheitslandschaft schützen kann.
 

Konsens, Anpassung und Zusammenarbeit im Zeitalter des Internets – Paul Vixie

Ein Großteil der Handlungen und Gewohnheiten des Menschen aus der realen Welt (dem sogenannten „Meatspace“) spiegeln sich relativ eindeutig im Internet (dem Cyberspace) wider. Dennoch gibt es für einige Teile des menschlichen Puzzles keinen offensichtlichen Platz auf der Spielwiese des Internets, was zu einer ungeahnten Veränderung der Gesellschaft durch ihr digitales Nervensystem, das Internet, geführt hat. Befinden wir uns lediglich im postwestfälischen Zeitalter oder – wie viele behaupten – in einem postnationalen Zeitalter? Lassen Sie uns gemeinsam darüber diskutieren.
 

Verwundbarkeit out of the box – Betrachtung von Android-Geräten - Ryan Johnson & Angelos Stavrou

Zur Sicherstellung ihrer Funktionsfähigkeit sind auf Android-Geräten bestimmte Apps vorinstalliert. Diese vorinstallierten Apps sind aufgrund ihrer privilegierten Position und umfassenden Möglichkeiten ein attraktives Ziel für Angreifer. Diese Bedrohung ist nicht nur theoretischer Natur; in etlichen vorinstallierten Apps gab es bereits Designschwachstellen, die den Endbenutzer einem erheblichen Risiko aussetzten. Deshalb sind bei vorinstallierten Apps zusätzliche Überprüfungen, mit denen ein Missbrauch von Berechtigungen anderer Apps (sogenannte Capability Leaks) oder Angriffsgefahren in der Lieferkette erkannt werden sollen, durchaus gerechtfertigt. Angesichts der großen Menge an Android-Vendor-Firmware-Images mit vorinstallierten Apps empfehlen wir, diese vor ihrer Bereitstellung proaktiv zu scannen. In diesem Vortrag stellen wir einige Anwendungsfälle aus der realen Welt vor und demonstrieren die Gefahr für den Endbenutzer. Außerdem werden wir zeigen, wie sich mithilfe einer automatisierten Untersuchung vorinstallierter Android-Apps potenzielle Gefahren erkennen und eindämmen lassen. Kryptowire hat in den letzten Jahren über 150 CVEs im Android-Ökosystem identifiziert und veröffentlicht; dies macht das Ausmaß des Problems der Softwareanalyse und  verifizierung für Mobilfunkunternehmen sowie Chipsatz- und Gerätehersteller deutlich.