IT-Defense 2021Vorträge

Vorträge – IT-DEFENSE 2021

Schutz Kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz - Grundlagen, Umsetzung und Entwicklungen - Dr. Christoph Wegener

Nach dem IT-Sicherheitsgesetz (ITSiG) aus dem Jahre 2015 und der zugehörigen BSI-Kritisverordnung (BSI-KritisV) aus dem Jahre 2016 bzw. 2017 sind Betreiber Kritischer Infrastrukturen verpflichtet, angemessene technische und organisatorische Maßnahmen nach Stand der Technik zu ergreifen, um die Sicherheit ihrer IT-Infrastruktur sicher zu stellen. Zudem müssen sie die getroffenen Maßnahmen alle zwei Jahre auditieren lassen und haben die Pflicht, Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Der Vortrag zeigt auf, welche Anforderungen bestehen, wie sich diese generell in der Praxis umsetzen lassen und welche Erweiterungen nunmehr mit dem IT-Sicherheitsgesetz 2.0 geplant sind. Dabei wird auch die Frage der Angemessenheit und der Umsetzung von Maßnahmen nach Stand der Technik diskutiert. Ein Einblick in die Schwellenwerte der BSI-KritisV und ein Ausblick auf mögliche zukünftige Entwicklungen runden den Vortrag ab.
 

Patch Management, die andere Seite - Felix von Leitner aka Fefe

Patch Management wird im Allgemeinen aus Sicht der Leute betrachtet, die die Patches einspielen, und ist häufig ein eher phänomenologischer Ansatz. Patches tauchen auf, was tun wir jetzt mit ihnen?

In diesem Talk geht es um die andere Seite. Was passiert eigentlich beim Hersteller, damit ein Patch entsteht? Welche Konsequenzen können wir aus diesen Prozessen für unseren Umgang mit den Patches ziehen?
 

Top 10 ways to make hackers excited: All about the shortcuts not worth taking – Paula Januszkiewicz

Eine Architektur sicher zu gestalten ist meistens teurer, aufwendiger und komplizierter. Aber ist es sinnvoll, Kosten zu sparen, wenn Hacker sich jeden Tag neue Angriffe ausdenken? Abkürzungen werden früher oder später mehr schaden als nutzen und sich als Eigentor erweisen. Kommen Sie zu diesem Vortrag und erfahren Sie, welche Fehler wir bei der Zusammenarbeit mit unseren Kunden behoben haben.
 

"Flachsinn" oder "Über die Ökonomie der Aufmerksamkeit" - Prof. Dr. Gunter Dueck

Aufmerksamkeit gewinnt, welcher Art auch immer - Hauptsache schrill oder sensationell, tabuverletzend oder alternativfaktisch. Weltverschwörer, Politik-Lügner und Berufsbeleidiger vernebeln jede Faktenlage, treiben unselige Politik und erschweren klare Lagebeurteilungen. In der Wirtschaft werden Hunderte Millionen mit Hochjubeln oder Niedermachen von Hype-Aktien verdient, auch Marketing-Kampagnen überschreiten zunehmend Grenzen. Besonders beliebt: statistische Kreativität. Nüchterne Wahrheiten sind dagegen nüchtern; Fakten sind trocken. Was ist da los? Wir sind in einer Aufmerksamkeitsökonomie angekommen, in die uns die Kommunikationsmöglichkeiten des Internets geführt haben. Es zählen Klicks, Views und Likes. Der Vortrag denkt über die Hintergründe nach und gibt einen Einblick in das Aufmerksamkeits-Chaos.
 

SAP als Cyberwaffe – Andreas Wiegenstein

Vorträge über SAP-Sicherheit haben viel mit Gin gemein: Sie sind recht trocken und es wird einem schnell schwindlig davon. Und danach hat man Schwierigkeiten, sich an die letzte Stunde (oder war es länger?) zu erinnern. Das ist deshalb so, weil SAP-Sicherheit von 99 Prozent der Informationssicherheits-Community als recht bedeutungslos gesehen wird. Was diese 99 Prozent jedoch nicht wissen: Wenn ich in ihr SAP-System einbreche, bin ich wahrscheinlich nicht hinter ihren SAP-Daten her, sondern habe es auf den Rest ihres Netzwerks abgesehen.

Dieser Vortrag beleuchtet das Angriffspotenzial einer gehackten SAP-Installation auf Ihr Unternehmensnetzwerk. Sehen Sie zu, wie gängige Abwehrmechanismen umgangen werden und versagen. Und vielleicht trinken Sie ja hinterher einen Gin ...
 

Risk Perception – wie wir Risiken wahrnehmen und welche es tatsächlich gibt – Volker Kozok

Nach einem kurzen Überblick über die aktuelle Bedrohungslage geht der Vortragende auf die Emotet-Angriffe in Hessen ein und beschäftigt sich mit der Frage: „Warum die Stadt Frankfurt alles richtig gemacht hat und es trotzdem falsch war“. Der zweite Teil des Vortrags beschäftigt sich mit Cybercrime in Coronazeiten. Von den Risiken des Home-Office über „Corona-Ransomware mit Chat-Funktionen“ und CEO Fraud die Cyberkriminellen haben keine Coronapause gemacht. Der dritte Teil ist den Erfindern des Home-Office gewidmet: den Hackern. Neben den neuesten Erkenntnissen zum Elcatel-Fall und dem Bulletproof-Hoster aus Traben-Trabach gibt es noch einen kurzen Ausflug ins Darknet.
 

Vom CISO im Unternehmen zum CIO/CDO eines Bundeslandes: Erfahrungen und tägliche Herausforderungen – Stefan Krebs

In seinem Vortrag schildert Stefan Krebs, ehemaliger CISO in der Bankenwelt und heutiger CIO/CDO von Baden-Württemberg, seine täglichen Herausforderungen. Er gibt Einblicke, welche Anforderungen die Gewährleistung der IT-Sicherheit an ein Bundesland stellt, und erläutert, wie das Land seinen Unternehmen Unterstützung bei sicherheitsrelevanten Vorfällen bietet. Darüber hinaus wird er einige spannende Beispiele von IT-Sicherheitsvorfällen ausführen und aus seinem umfangreichen Erfahrungsschatz berichten.
 

Exploiting Trust: The Human Element of SecurityRachel Tobac

Sicherheitsprotokolle setzen häufig auf Vertrauen – Vertrauen, das von Hackern wie Rachel Tobac ausgenutzt wird. Über E-Mails oder Telefongespräche versuchen Hacker, sich Ihr Vertrauen zu erschleichen, um dieses anschließend gegen Sie zu verwenden. Dieser Vortrag taucht ein in die Anatomie der Ausnutzung von Vertrauen im Rahmen realer Social-Engineering-Attacken, erläutert Schritt für Schritt Beispielangriffe, die während Corona stattgefunden haben, und erklärt, welche Maßnahmen Sie ergreifen können, um selbst in einer Pandemie Ihre Daten, Ihr Geld, Ihre Sicherheit und Privatsphäre vor echten Angreifern zu schützen.
 

Security Challenges down the 5G road – Altaf Shaik

Dieser Vortrag behandelt die potenziellen Sicherheitsherausforderungen, die im Bereich von 5G zu erwarten sind, und geht insbesondere auf die Aspekte Funkzugang und Kernnetzwerk ein. Auch wenn in 5G-Netzwerken etliche Sicherheitsverbesserungen umgesetzt werden, bleiben für Angreifer dennoch Türen offen. Auf der einen Seite werden die Anforderungen des Systems an eine höhere Geschwindigkeit und geringe Latenzzeiten möglicherweise auf Kosten der Sicherheit umgesetzt. Andererseits lassen sich mit frei verfügbaren Werkzeugen Angriffe auf Mobilfunknetze recht einfach durchführen. In diesem Vortrag werden Lessons Learned aus Angriffen auf 4G-Netzwerke demonstriert, um die Sicherheitsrisiken von 5G-Netzwerken besser zu verstehen.

 

Rechtlicher Umgang mit IT-Katastrophen - Vorbereitung, Meldepflichten & Bußgelder – Joerg Heidrich

Dieser Vortrag behandelt die potenziellen Sicherheitsherausforderungen, die im Bereich von 5G zu erwarten sind, und geht insbesondere auf die Aspekte Funkzugang und Kernnetzwerk ein. Auch wenn in 5G-Netzwerken etliche Sicherheitsverbesserungen umgesetzt werden, bleiben für Angreifer dennoch Türen offen. Auf der einen Seite werden die Anforderungen des Systems an eine höhere Geschwindigkeit und geringe Latenzzeiten möglicherweise auf Kosten der Sicherheit umgesetzt. Andererseits lassen sich mit frei verfügbaren Werkzeugen Angriffe auf Mobilfunknetze recht einfach durchführen. In diesem Vortrag werden Lessons Learned aus Angriffen auf 4G-Netzwerke demonstriert, um die Sicherheitsrisiken von 5G-Netzwerken besser zu verstehen.