Schutz Kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz - Grundlagen, Umsetzung und Entwicklungen - Dr. Christoph Wegener

Nach dem IT-Sicherheitsgesetz (ITSiG) aus dem Jahre 2015 und der zugehörigen BSI-Kritisverordnung (BSI-KritisV) aus dem Jahre 2016 bzw. 2017 sind Betreiber Kritischer Infrastrukturen verpflichtet, angemessene technische und organisatorische Maßnahmen nach Stand der Technik zu ergreifen, um die Sicherheit ihrer IT-Infrastruktur sicher zu stellen. Zudem müssen sie die getroffenen Maßnahmen alle zwei Jahre auditieren lassen und haben die Pflicht, Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Der Vortrag zeigt auf, welche Anforderungen bestehen, wie sich diese generell in der Praxis umsetzen lassen und welche Erweiterungen nunmehr mit dem IT-Sicherheitsgesetz 2.0 geplant sind. Dabei wird auch die Frage der Angemessenheit und der Umsetzung von Maßnahmen nach Stand der Technik diskutiert. Ein Einblick in die Schwellenwerte der BSI-KritisV und ein Ausblick auf mögliche zukünftige Entwicklungen runden den Vortrag ab.
 

Patch Management, die andere Seite - Felix von Leitner aka Fefe

Patch Management wird im Allgemeinen aus Sicht der Leute betrachtet, die die Patches einspielen, und ist häufig ein eher phänomenologischer Ansatz. Patches tauchen auf, was tun wir jetzt mit ihnen?

In diesem Talk geht es um die andere Seite. Was passiert eigentlich beim Hersteller, damit ein Patch entsteht? Welche Konsequenzen können wir aus diesen Prozessen für unseren Umgang mit den Patches ziehen?
 

Sherlock Unlimited: Deep-Dive into Forensics Operations to Track Down Hackers – Paula Januszkiewicz

Die globale Pandemie hat eine massenhafte Verlagerung des Arbeitsplatzes ins Homeoffice ausgelöst und dazu geführt, dass wir verstärkt vom Internet abhängig sind. Die Folge: Die Internetkriminalität boomt, denn Hacker wollen dies ausnutzen. Von Februar auf März 2020 wurde eine Zunahme der Angriffe, einschließlich Malware und Phishing, von 569 Prozent registriert, während bei Ransomware ein Anstieg um 72 Prozent im ersten Halbjahr 2020 verzeichnet wurde. Angesichts gespoofter Domains und clever gefälschter E-Mails steigt auch die Nachfrage nach Kenntnissen in der digitalen Forensik – noch nie waren sie so gefragt wie jetzt. Unternehmen wird zunehmend klar, dass sie weitere Angriffe verhindern können, wenn sie herausfinden, wie ein Angreifer in ihr System gelangt ist.

In diesem Vortrag vermittelt Paula, wie ein Hacker zu denken, und versetzt Sie in die Lage, ausnutzbare Schwachstellen in Ihrer Infrastruktur aufzudecken und die von einem Angreifer hinterlassenen Spuren zu finden. Seien Sie dabei und machen Sie sich mit den neuesten Techniken der Forensik vertraut. So werden Sie in Zukunft wissen, worauf Sie achten müssen und wie Sie die Wege eines Hackers nachvollziehen können.

Im Rahmen des Vortrags präsentiert Paula verschiedene Beispiele von forensischen Untersuchungen, die sie bei Kunden durchführt. Während der Pandemie wurden sie und ihr Team für etliche Projekte im Bereich Forensik und Incident Response, auch auf Regierungsebene, beauftragt.
Zudem erläutert Paula nicht nur topaktuelle Angriffe, sondern auch die entsprechenden Techniken, um diese Angriffe zu erkennen. Der Vortrag liefert Ihnen also die besten Methoden zur Informationssammlung; Sie erhalten gebrauchsfertige Anweisungen, wie sich an verschiedenen Stellen im Betriebssystem oder in einer Monitoring-Lösung Informationen aufspüren lassen.
 

"Flachsinn" oder "Über die Ökonomie der Aufmerksamkeit" - Prof. Dr. Gunter Dueck

Aufmerksamkeit gewinnt, welcher Art auch immer - Hauptsache schrill oder sensationell, tabuverletzend oder alternativfaktisch. Weltverschwörer, Politik-Lügner und Berufsbeleidiger vernebeln jede Faktenlage, treiben unselige Politik und erschweren klare Lagebeurteilungen. In der Wirtschaft werden Hunderte Millionen mit Hochjubeln oder Niedermachen von Hype-Aktien verdient, auch Marketing-Kampagnen überschreiten zunehmend Grenzen. Besonders beliebt: statistische Kreativität. Nüchterne Wahrheiten sind dagegen nüchtern; Fakten sind trocken. Was ist da los? Wir sind in einer Aufmerksamkeitsökonomie angekommen, in die uns die Kommunikationsmöglichkeiten des Internets geführt haben. Es zählen Klicks, Views und Likes. Der Vortrag denkt über die Hintergründe nach und gibt einen Einblick in das Aufmerksamkeits-Chaos.
 

Vom CISO im Unternehmen zum CIO/CDO eines Bundeslandes: Erfahrungen und tägliche Herausforderungen – Stefan Krebs

In seinem Vortrag schildert Stefan Krebs, ehemaliger CISO in der Bankenwelt und heutiger CIO/CDO von Baden-Württemberg, seine täglichen Herausforderungen. Er gibt Einblicke, welche Anforderungen die Gewährleistung der IT-Sicherheit an ein Bundesland stellt, und erläutert, wie das Land seinen Unternehmen Unterstützung bei sicherheitsrelevanten Vorfällen bietet. Darüber hinaus wird er einige spannende Beispiele von IT-Sicherheitsvorfällen ausführen und aus seinem umfangreichen Erfahrungsschatz berichten.
 

Rechtlicher Umgang mit IT-Katastrophen - Vorbereitung, Meldepflichten & Bußgelder – Joerg Heidrich

Offene Server mit Kundendaten, frei zugängliche Videoüberwachung, Ransomware: IT-Sicherheit ist längst Bestandteil des Datenschutzes geworden und IT-Unfälle sind in aller Regel auch Verstöße gegen die strengen Vorgaben der DSGVO. Dies fängt mit der Frage an, welche Daten man überhaupt wie lange speichern darf, betrifft die Anforderungen an ein IT-Sicherheitskonzept und schließlich auch die Herausforderungen im Umgang mit einem solchen GAU. Wie unangenehm so ein Unfall dann werden kann, zeigt ein Blick auf die möglichen Bußgelder ebenso wie auf mögliche Schadensersatzansprüche der Betroffenen. Joerg Heidrich war als Datenschutzbeauftragter von Heise Medien und als Fachanwalt für IT-Recht an Recherchen und der Auswertung von zahlreichen IT-Katastrophen beteiligt und berichtet anhand von Beispielen praxisnah über Erkenntnisse und Lehren.