IT-Defense 2022Vorträge

Vorträge – IT-DEFENSE 2021

Schutz Kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz - Grundlagen, Umsetzung und Entwicklungen - Dr. Christoph Wegener

Nach dem IT-Sicherheitsgesetz (ITSiG) aus dem Jahre 2015 und der zugehörigen BSI-Kritisverordnung (BSI-KritisV) aus dem Jahre 2016 bzw. 2017 sind Betreiber Kritischer Infrastrukturen verpflichtet, angemessene technische und organisatorische Maßnahmen nach Stand der Technik zu ergreifen, um die Sicherheit ihrer IT-Infrastruktur sicher zu stellen. Zudem müssen sie die getroffenen Maßnahmen alle zwei Jahre auditieren lassen und haben die Pflicht, Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Der Vortrag zeigt auf, welche Anforderungen bestehen, wie sich diese generell in der Praxis umsetzen lassen und welche Erweiterungen nunmehr mit dem IT-Sicherheitsgesetz 2.0 geplant sind. Dabei wird auch die Frage der Angemessenheit und der Umsetzung von Maßnahmen nach Stand der Technik diskutiert. Ein Einblick in die Schwellenwerte der BSI-KritisV und ein Ausblick auf mögliche zukünftige Entwicklungen runden den Vortrag ab.
 

"Flachsinn" oder "Über die Ökonomie der Aufmerksamkeit" - Prof. Dr. Gunter Dueck

Aufmerksamkeit gewinnt, welcher Art auch immer - Hauptsache schrill oder sensationell, tabuverletzend oder alternativfaktisch. Weltverschwörer, Politik-Lügner und Berufsbeleidiger vernebeln jede Faktenlage, treiben unselige Politik und erschweren klare Lagebeurteilungen. In der Wirtschaft werden Hunderte Millionen mit Hochjubeln oder Niedermachen von Hype-Aktien verdient, auch Marketing-Kampagnen überschreiten zunehmend Grenzen. Besonders beliebt: statistische Kreativität. Nüchterne Wahrheiten sind dagegen nüchtern; Fakten sind trocken. Was ist da los? Wir sind in einer Aufmerksamkeitsökonomie angekommen, in die uns die Kommunikationsmöglichkeiten des Internets geführt haben. Es zählen Klicks, Views und Likes. Der Vortrag denkt über die Hintergründe nach und gibt einen Einblick in das Aufmerksamkeits-Chaos.
 

SAP als Cyberwaffe – Andreas Wiegenstein

Vorträge über SAP-Sicherheit haben viel mit Gin gemein: Sie sind recht trocken und es wird einem schnell schwindlig davon. Und danach hat man Schwierigkeiten, sich an die letzte Stunde (oder war es länger?) zu erinnern. Das ist deshalb so, weil SAP-Sicherheit von 99 Prozent der Informationssicherheits-Community als recht bedeutungslos gesehen wird. Was diese 99 Prozent jedoch nicht wissen: Wenn ich in ihr SAP-System einbreche, bin ich wahrscheinlich nicht hinter ihren SAP-Daten her, sondern habe es auf den Rest ihres Netzwerks abgesehen.

Dieser Vortrag beleuchtet das Angriffspotenzial einer gehackten SAP-Installation auf Ihr Unternehmensnetzwerk. Sehen Sie zu, wie gängige Abwehrmechanismen umgangen werden und versagen. Und vielleicht trinken Sie ja hinterher einen Gin ...
 

Vom CISO im Unternehmen zum CIO/CDO eines Bundeslandes: Erfahrungen und tägliche Herausforderungen – Stefan Krebs

In seinem Vortrag schildert Stefan Krebs, ehemaliger CISO in der Bankenwelt und heutiger CIO/CDO von Baden-Württemberg, seine täglichen Herausforderungen. Er gibt Einblicke, welche Anforderungen die Gewährleistung der IT-Sicherheit an ein Bundesland stellt, und erläutert, wie das Land seinen Unternehmen Unterstützung bei sicherheitsrelevanten Vorfällen bietet. Darüber hinaus wird er einige spannende Beispiele von IT-Sicherheitsvorfällen ausführen und aus seinem umfangreichen Erfahrungsschatz berichten.
 

Exploiting Trust: The Human Element of SecurityRachel Tobac

Sicherheitsprotokolle setzen häufig auf Vertrauen – Vertrauen, das von Hackern wie Rachel Tobac ausgenutzt wird. Über E-Mails oder Telefongespräche versuchen Hacker, sich Ihr Vertrauen zu erschleichen, um dieses anschließend gegen Sie zu verwenden. Dieser Vortrag taucht ein in die Anatomie der Ausnutzung von Vertrauen im Rahmen realer Social-Engineering-Attacken, erläutert Schritt für Schritt Beispielangriffe, die während Corona stattgefunden haben, und erklärt, welche Maßnahmen Sie ergreifen können, um selbst in einer Pandemie Ihre Daten, Ihr Geld, Ihre Sicherheit und Privatsphäre vor echten Angreifern zu schützen.
 

Rechtlicher Umgang mit IT-Katastrophen - Vorbereitung, Meldepflichten & Bußgelder – Joerg Heidrich

Dieser Vortrag behandelt die potenziellen Sicherheitsherausforderungen, die im Bereich von 5G zu erwarten sind, und geht insbesondere auf die Aspekte Funkzugang und Kernnetzwerk ein. Auch wenn in 5G-Netzwerken etliche Sicherheitsverbesserungen umgesetzt werden, bleiben für Angreifer dennoch Türen offen. Auf der einen Seite werden die Anforderungen des Systems an eine höhere Geschwindigkeit und geringe Latenzzeiten möglicherweise auf Kosten der Sicherheit umgesetzt. Andererseits lassen sich mit frei verfügbaren Werkzeugen Angriffe auf Mobilfunknetze recht einfach durchführen. In diesem Vortrag werden Lessons Learned aus Angriffen auf 4G-Netzwerke demonstriert, um die Sicherheitsrisiken von 5G-Netzwerken besser zu verstehen.
 

5G Security! Where are we standing - Altaf Shaik

Dieser Vortrag liefert praktische Einblicke aus aller Welt in die erste Phase kommerzieller 5G Netzwerke. Der Schwerpunkt liegt dabei auf den Sicherheitsproblemen, die in den früheren Generationen identifiziert und in den 5G Netzwerken behoben wurden. Obwohl von den Standardisierungsstellen wichtige Verbesserungen in puncto Sicherheit vorgenommen wurden, entscheiden sich diese bei der Umsetzung. Altaf Shaik präsentiert vorläufige Befunde und zeigt auf, wie sicher 5G Netzwerke im Vergleich zu den Vorgängerstandards sind und was wir in der zweiten Phase der 5G Netze erwarten können.
 

Big Game Hunting – Volker Kozok

Colonial Pipeline, Emotet - die Stadt Frankfurt und das Berliner Kammergericht, koreanische Hackergruppen auf Bitcoin-Jagd, Forschungsergebnisse von Universitäten - die Angriffsziele krimineller und staatlich kontrollierter Hacker werden immer besser, die Ziele immer größer. Haben sich Ransomware-Angriffe bisher auf "Endkunden" konzentriert, sind jetzt renommierte Firmen und Großorganisationen das Ziel. Gleichzeitig werden die Angebote beim "Crime as a service" immer professioneller. Der Vortrag gibt Einblicke in aktuelle Angriffe und zeigt exemplarisch die Vorgehensweise verschiedener Hackergruppen.