IT-Sicherheitskonferenz
vom 8. Oktober bis 10. Oktober 2024

Programm für die 6. IT-Sicherheitskonferenz

26. September 2017

Eröffnungsrede

09:00 - 09:30

Hörsaal 1

Datenschutz im Internet der Dinge

09:30 - 10:30

Hörsaal 2

Im Zeitalter der Digitalisierung taucht immer wieder auch das Schlagwort "Internet der Dinge" auf. So entstehen heutzutage "Smart Homes", "Smart Cars" und sogar ganze Smart Cities, die vermeintlich intelligente Entscheidungen zum Wohle des Menschen treffen. Hinzu kommen Kühlschränke, TV's und selbst Zahnbürsten, die zum Leben erwachen und mit sich und der Welt kommunizieren. Doch wie schaut es eigentlich hinter den Kulissen aus, wohin gehen die dabei entstehenden "smarten" Daten überhaupt? Und wer könnte sich für diese (personenbezogenen?) Daten interessieren? Mir doch egal, ich habe doch nichts zu verbergen, ist eine hiermit oft verbundene Aussage. Doch sollte es einem wirklich egal sein? Im Mai des kommenden Jahres tritt nun auch die europäische Datenschutzgrundverordung (EU-DSGVO) in Kraft, welche nationale Regelungen ersetzt oder diese zu Anpassungen zwingt. Mit ihr kommen viele neue Regelungen, die für Klarheit sorgen sollen (oder etwa nicht?) und beachtet werden müssen. Hilft uns die DSGVO wirklich dabei die Kontrolle über unsere Daten und damit über uns selbst zu behalten oder macht uns das Internet der Dinge trotzdem zum gläsernen Bürger?

Identifikation, Verifikation und Abwehr von Signalisierungsangriffen auf nationale Mobiltelefonnetze. Zum Umgang mit flächendeckenden Verwundbarkeiten einer kritischen Telekommunikationsinfrastruktur

09:30 - 10:30

Hörsaal 1

Architekturimmanente Sicherheitsprobleme des für die Zentralkanalsignalisierung in heutigen Telefonnetzen verwendeten Signalisierungssystems Nr. 7 („SS7“) ermöglichen über Netzgrenzen hinweg das Abfangen von Gesprächen und Nachrichten, Datendiebstahl und Privatsphärenverletzung sowie den Betrug an Netzbetreibern und Endkunden. Um sowohl Schaden für die nationale Sicherheit durch unkontrolliertes illegales Abhören beliebiger Telefonate auch aus dem Ausland als auch finanziellen Schaden für Netzbetreiber und Teilnehmer abzuwenden, ist zwingend eine Abwehrstrategie auf Netzbetreiberebene erforderlich. Hierbei hat sich herausgestellt, daß allgemeine Gegenmaßnahmen auf Netzbetreiberebene im Kontext bestehender Netzkomponenten nur eine notwendige, aber keine hinreichende Bedingung darstellen, um Angriffe über das Signalisierungssystem abzuwehren. Der im vorliegenden Beitrag vorgestellte, neuartige Lösungsansatz erlaubt daher eine Angriffserkennung und -abwehr durch Analyse von Verkehrsranddaten in Gestalt eines Intrusion Detection Systems, welches für SS7 leistet, was auf vergleichbare Weise im Internet Protocol (IP)-Kontext schon länger gute Praxis ist. Nachdem die für eine Vielzahl von Netzbetreibern in Europa, Nordamerika und Asien durch die Autoren vorgenommenen Untersuchungen realer Verwundbarkeiten gezeigt haben, daß selbst große Netzbetreiber, die bereits glaubten, mit allgemeinen Gegenmaßnahmen gut gegen die vorgenannten Angriffe gewappnet zu sein, gegen einen motivierten über SS7 auf ihre Systeme zugreifenden Angreifer nichts ausrichten konnten, haben praktische Einsatzerfahrungen mit einem Angriffserkennungssystem wie vorab beschrieben zur Erkenntnis der tatsächlichen Gefährdung des eigenen Geschäftsmodells geführt. Der Umfang von Mißbrauch überraschte dabei oft nicht zuletzt den betreffenden Netzbetreiber selbst. Als unmittelbares Resultat hieraus konnten mithilfe des Systems rigorose Maßnahmen getroffen werden, um die identifizierten und verifizierten Angriffswege zu unterbinden.

Gesetzliche IT-Sicherheit – Pflichten für Unternehmen und die öffentliche Verwaltung nach dem IT-Sicherheitsgesetz und der Datenschutzgrundverordnung

11:00 - 12:00

Hörsaal 2

Im Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten und hat umfangreiche Anforderungen an die IT-Sicherheit geschaffen. Nach zweijähriger Übergangsfrist tritt nun auch die Datenschutzgrundverordnung im Mai 2018 unmittelbar in Kraft. Sie führt in vielen Punkten zu Veränderungen der jetzigen datenschutzrechtlichen Vorgaben und wird eine konsolidierte Umsetzung von technischem Datenschutz und der IT-Sicherheit erfordern. Sowohl Unternehmen als auch die öffentliche Verwaltung müssen bei der Verarbeitung von Daten technische und organisatorische Maßnahmen umsetzen, um die Einhaltung der neuen Grundsätze des technischen Datenschutzes zu gewährleisten. Die neuen Voraussetzungen an technische und organisatorische Maßnahmen unterscheiden sich signifikant von den bisherigen Regelungen. Sie sind insbesondere vor dem Hintergrund der deutlich erhöhten Bußgelder bei Verstößen zu beachten. Statt der Einhaltung kategorischer Maßnahmen, wie beispielsweise noch in § 9 des Bundesdatenschutzgesetzes geregelt, haben Normadressaten nun ein individuelles Schutzniveau zu gewährleisten und daher eine umfangreiche Schutzbedarfsanalyse durchzuführen. Technische und organisatorische Maßnahmen müssen außerdem dem Stand der Technik entsprechen. Dieser unbestimmte Rechtsbegriff ist zu einem zentralen Element im IT-Sicherheitsrecht geworden. Seine Bestimmung gestaltet sich für den Rechtsanwender als komplex und führt zu umfassenden Dokumentationspflichten. Der Vortrag soll die rechtlichen Anforderungen und die zentrale Rolle datenschutzrelevanter Technikgestaltung sowohl im Rahmen des IT-Sicherheitsgesetzes als auch der Datenschutz-Grundverordnung aufzeigen.

Privatsphäre und Sicherheit im Smart Home

11:00 - 11:30

Hörsaal 1

Der Technologiewandel bewirkt in der Wohnung/dem Gebäude der Zukunft tiefgreifende Veränderungen. Sensoren und Aktoren steuern den Energiebedarf oder schützen die Wohnung, die wiederum über unterschiedliche Kommunikationskanäle nach innen und außen kommuniziert. Vielfältige Assistenzfunktionen unterstützen das tägliche Leben und diese Assistenzfunktionen werden sich an fortschreitende Lebensphasen der Bewohner anpassen. Geräte-, Komponenten-, System- und Plattformhersteller konkurrieren untereinander mit zurzeit inkompatiblen, teilweise unsicheren und datenschutzrechtlich bedenklichen Produkten und Dienstleistungen. Regulatorische Vorgaben in Bezug auf Sicherheit und Privatsphäre existieren nur im Bereich Smart Metering. Der Beitrag liefert eine Standortbestimmung auf der Basis eigener Projekterfahrung und leitet daraus Handlungsempfehlungen für Entwickler/Hersteller, Wohnungseigentümer/Wohnungswirtschaft und den Gesetzgeber ab.

TLS Version 1.3

11:30 - 12:00

Hörsaal 1

Das Transport-Layer-Security-Protokoll (TLS) ist eines der meist verwendeten kryptographischen Protokolle. Aktuell ist mehr als 60 Prozent des Web-Datenverkehrs (auch Dank des Let's Encrypt-Projekts) über TLS geschützt. Nach mehr als vier Jahren stehen die Arbeit an der nächste Version (1.3) kurz vor dem Abschluss. Der Vortrag gibt einen kurzen Überblick über die wichtigsten Änderungen im Vergleich zur aktuellen Version 1.2.

Cloud Security

14:00 - 14:30

Hörsaal 2

Seit der Einführung von Virtualisierung und insbesondere Cloud Computing ist die Diskussion ob der Sicherheit solcher Lösungen in vollem Gange. Neben der Diskussion ob und wenn ja, was virtualisiert oder in die Cloud migriert werden „darf", existieren auch immer mehr Sicherheitslösungen die selber Virtualisierungs- oder Cloud-Technologien einsetzen. In diesem Vortrag soll ein Abstraktionsschritt zurückgegangen und im Rahmen eines simplen aber realitätsnahen Beispiels analysiert werden, welche Sicherheitseigenschaften klassischer Netzwerke sich beim Einsatz von Virtualisierung und Cloud verändern. Diese Überlegungen bilden die Grundlage, um in einem späteren Schritt geeignete Sicherheitsmechanismen auszuwählen, um das benötigte Sicherheitsniveau einer IT-Infrastruktur sicherzustellen.

Praktisches Hacking

14:00 - 15:30

Hörsaal 1

Im Rahmen der zunehmenden Digitalisierung und der einhergehenden Vernetzung geraten immer mehr kritische Infrastrukturen und die vernetzten Geräte in den Fokus krimineller Hacker. Früher waren die meisten viele dieser Netze von den öffentlichen Netzen / Internet strikt getrennt und von außen nicht erreichbar. Doch auch der Einzug digitaler Technologien und die damit einhergehende enge Integration externer Geschäftspartner und Kunden in die Wertschöpfungskette bergen für die Unternehmen neue Gefahren. Allerdings werden immer mehr Firmen im Rahmen des sogenannten „digitalen Darwinismus" in eine Situation gebracht, wo sie gezwungen sind, etwaige Bedenken zu ignorieren. Anhand von Praxisbeispielen wurden Schwachstellen / Programmierfehler bei der Entwicklung solcher Systeme aufgezeigt und mögliche Verbesserungsmaßnahmen diskutiert.

IT-Sicherheit am Praxisbeispiel Markt- und Meinungsforschung

14:30 - 15:00

Hörsaal 2

Das Anonymisierungsgebot der erhobenen Forschungsdaten gehört zu den Grundprinzipien des berufsständischen Verhaltens in der Markt- und Meinungsforschung. Es ist kodifiziert in den internationalen Standesregeln der Profession. Im Vergleich zu der herausragenden Rolle des Datenschutzes spielte die Datensicherheit in den berufsständischen Verhaltensregeln der Markt- und Meinungsforschung bisher eine eher untergeordnete Rolle. Insbesondere die weitgehende Technisierung, Digitalisierung und Vernetzung aller Schritte des Forschungsprozesses aber auch die steigenden Erwartungen der Auftraggeber veranlassen die Branchenverbände und die Forschungsinstitute zu einem Umdenken. Eine empirische Bestandsaufnahme ergab spezifische Stärken und Schwächen („Baustellen“) der Informationssicherheit in den Markt- und Meinungsforschungsinstituten. Die Vorschriften des IT-Sicherheitsge-setzes sind für die Markt- und Meinungsforschungsinstitute relevant; auch wenn letztere zweifellos keine Betreiber kritischer Infrastrukturen sind. Auch die Datenschutz-Grundverordnung mit ihrem risikobasierten Ansatz zur Sicherheit der Verarbeitung personenbezogener Daten fordert eine stärkere Fokussierung der Markt- und Meinungsforschung auf die IT-Sicherheit im Rahmen ihrer berufsständischen Selbstregulierung.

Recht in der IT

15:00 - 15:30

Hörsaal 2

Das Recht in der Informationstechnik (IT) ist eine sehr komplizierte Materie, da es historisch kein eigenes „IT-Recht“ gibt. Mit dem breiten Aufkommen der elektronischen Datenverarbeitung in den 1970-er Jahren ergab sich die Notwendigkeit, ein eigenes Datenschutzgesetz zu entwickeln. Vorreiter dafür war das Land Hessen. Danach erkannte auch der Bund die Notwendigkeit, einen bundeseinheitlichen Rechtsrahmen für den Datenschutz zu erstellen und kreierte das Bundesdatenschutzgesetz (BDSG). Das Volkszählungsurteil von 1983 tat ein Übriges, dem Thema Informationsgewinnung, seiner Verarbeitung und seiner Sicherheit breiteren Raum einzuräumen. Zu einem eigenen IT-Recht konnte man sich aber weder national noch auf EU-Ebene nicht durchringen. So wurden im Laufe der Jahre - insbesondere durch höchstrichterliche Rechtsprechungen - viele Rechtsnormen geschaffen, die Bezug zur Informationsverarbeitung und Informationssicherheit aufweisen. Der Vortrag wird dieses Spektrum auffächern.

Digitalisierung, Internet of Things, WEB 4.0 versus Sicherheitsmanagement, Datenschutz und rechtliche Anforderungen

16:00 - 17:00

Hörsaal 2

Wie verändert sich die Geschäftswelt zukünftig durch die digitale Entwicklung (Industrie 4.0, Web 4.0, Cloud Computing, Big Data und Mobile Computing) und damit einhergehende, neue technische Möglichkeiten? Welche Auswirkungen haben diese Veränderungen auf die Bedrohungslage in Unternehmen und welche Maßnahmen sind technisch, organisatorisch, datenschutzrechtlich und prozessual zu ergreifen um den Anforderungen nachhaltig zu begegnen? Einerseits bieten die Industrie 4.0, IoT, Cloud Computing, Smartphone-Apps, Online-Banking bereits heute viele positive Möglichkeiten für das Business, doch andererseits machen immer weiter fortschreitende digitalen Neuerungen auch deutlich anfälliger für Manipulationen, Datenklau, Industriespionage und Hackerangriffe. Neben diesen externen Einflussfaktoren gewinnt der Schutz der Unternehmensdaten und - informationen auch durch die gesetzlichen Anforderungen der neuen EU DS-GVO deutlich an Bedeutung. Im Vortrag wird dargestellt, wie nachhaltiges Sicherheitsmanagement und die Anforderungen des Datenschutzes, angepasst an die individuellen Bedürfnisse von Unternehmen, kostengünstig und effizient umgesetzt werden können.

IoT/Security und Botnetzangriffe

16.30 - 17:00

Hörsaal 1

zeroBS monitort seit 2013 Angriffsbotnetze im Internet mit Fokus auf Command und Control zwecks Aufklärung und Tracking. Durch eine eigene Honeypot-Infrastruktur in einem globalen Sensor Netzwerk, die seit Anfang 2016 auch IoT-Devices umfasst, werden täglich 500.000 Datensätze in Kiel gesammelt und ausgewertet,um Erkenntnisse zur aktuellen Lage zu gewinnen. Mirai wurde zum ersten Mal im Sommer 2016 gesehen und es wurde sofort eine umfassende Analyse unter dem Titel „Big Brother is watchingattacking you" erstellt. Stand September 2017 werden aktuell 8 Mirai-Forks von zeroBS getrackt. Der Vortrag befasst sich auch mit der Tatsache, das eine Anpassung der kontinentalen und globalen Bedrohung für die Internet-Infrastruktur von abstrakt auf real vorgenommen wurde. Die Professionalisierung der Botnet Akteure wird beleuchtet und das Cybercrime as a Service Geschäftsmodell erleutert.

IT-Sicherheitsrisikomanagement

17:00 - 17:30

Hörsaal 2

Unternehmen haben die Herausforderung mehrere Normen in Bezug auf das IT-Sicherheitsmanagement erfüllen zu müssen. Gerne gesehen wird ISO27001 (ISMS), ISO 22301 (BCMS), ISO 31000 (Risikomanagement) oder spezifische Anforderungen wie z.B. PCI-DSS. Jeder der erstgenannten Normen beinhaltet ein „Managementsystem“. Sind es jetzt drei Managementsysteme? Wie sehen die Schnittstellen dieser Managementsysteme aus? Oder ist es möglich EIN Managementsystem zu betreiben, welche alle Anforderungen der drei Managementsystem beinhaltet? Welche Gemeinsamkeiten bestehen? Der geneigte Leser wird erkannt haben, dass der Titel schon einen Hinweis gibt – Risiko. Und genau darum geht es! It’s all about Risk and Business Value.

Versteckte Schwachstellen in IoT-Firmware - Ursache und Gegenmaßnahmen

17:00 - 17:30

Hörsaal 1

Das Internet der Dinge (IoT) ist ein heißes Thema und die Diskussionen konzentrieren sich oft auf die vielen Vorteile, die aus der zukünftigen Nutzung gewonnen werden könnte. Aber ebenso häufig sind die Fragen und Sorgen um die Sicherheit des IoT. Um zu verstehen, wie man IoT Geräte in der Zukunft sichern kann, ist es wichtig, einen Blick auf das Sicherheitsmodell der vorhandenen IoT-Geräte zu werfen. Dieser Vortrag gibt einen Überblick über eine breitflächige Untersuchung von Sicherheitsfehlern in mehreren tausend IoT Produkten durch das SEC Consult Vulnerability Lab. Auf der Grundlage von Erkenntnissen werden Gegenmaßnahmen zur systematischen Vermeidung von Sicherheitsproblemen in IoT-Geräten vorgestellt. Sowohl Hersteller als auch die beschaffenden Organisationen sind Teil des Problems als auch der Lösung für die Verbesserung von IoT-Sicherheit.

27. September 2017

Password Hacking

09:00 - 10:00

Hörsaal 1

Passworte sind der am häufigsten eingesetzte Schutzmechanismus für IT-Systeme. Leistungsstarke Hardware und frei verfügbare Cracking Tools führen dazu, dass viele weit verbreitete Anwendungen kaum noch zu schützen sind. Ziel des Vortrags ist ein aktueller Überblick zum Stand der Technik. Wir diskutieren Anwendungsbeispiele und untersuchen die Angreifbarkeit weit verbreiteter Anwendungen. Hierfür betrachten wir verschiedene Methoden zum Password Cracking: Dictionary Attacks, Exhaustive Search, Hash-Funktionen und Rainbow Tables, Salt, Brute Force, Side Channels und mehr. Abschließend erläutern wir die veränderte Bedrohungslage und geben Hinweise zu Schutzvorkehrungen.

Patienteninformationen in der Cloud – mit Open-Source- Verschlüsselung auch sensitivste Gesundheitsdaten sicher und rechtskonform digital verarbeiten

09:00 - 09:30

Hörsaal 2

Der Kunde PREVENIOMED ist Dienstleister im Bereich der Flug- und Arbeitsmedizin und untersucht Piloten auf ihre Flugtauglichkeit. Das Unternehmen bietet Fliegertauglichkeitsfeststellungen für Berufs- und Hobbypiloten an, die Lizenzen für Flugzeuge und Hubschrauber erwerben möchten. Dabei ist PREVENIOMED auch für Piloten außerhalb von Deutschland tätig: Geschäftsführer Dr. Andreas Adrian ist Fliegerarzt mit Zulassung für alle europäischen sowie US-amerikanischen Lizenzen aller Klassen. Die Herausforderung: Nachdem ein Hochwasser den Serverraum von PREVENIOMED zu Ausfällen im regulären Geschäftsbetrieb zu führen drohte, erschien die Auslagerung der Patientendaten in die Cloud immer attraktiver: Ziel war es, die wichtigen Patientendaten in einer sicheren und hochverfügbaren IT-Infrastruktur zu speichern, dort zu verarbeiten und jederzeit zuverlässig abrufen zu können. Durch die Auslagerung der Daten in ein professionelles Rechenzentrum sollte Ausfallsicherheit erreicht werden. Um die hochsensiblen Patientendaten in der Cloud speichern zu können, benötigte PREVENIOMED jedoch eine zuverlässige Sicherheitslösung zur Verschlüsselung der Daten. Schließlich unterstehen die von PREVENIOMED erhobenen Patientendaten höchsten Datenschutzbestimmungen sowie der ärztlichen Schweigepflicht. Es musste technisch sichergestellt werden, dass kein Cloud-Administrator Zugriff auf die sensiblen Daten erhält. Die Lösung: Innerhalb eines Tages wurden 19.000 Patientenakten von PREVENIOMED in die Cloud von IBM SoftLayer umgezogen. Als Verschlüsselungslösung kam das eperi Gateway for Databases zum Einsatz, welches die Patientendaten verschlüsselt, bevor sie in der Cloud gespeichert werden. Die arbeitsmedizinische Anwendung der Firma Stock Informatik, welche PREVENIOMED nutzt, lässt sich so ebenfalls sicher in der IBM Cloud nutzen. Weder die Datenbank, noch die Anwendungen mussten für den Einsatz in der Cloud verändert werden. Das eperi Gateway erfüllt die hohen Anforderungen der Bundesärztekammer (BÄK) und der Kassenärztlichen Bundesvereinigung (KBV) für die Verschlüsselung der Daten, so dass die sensiblen Patientendaten sicher in der IBM SoftLayer Cloud gespeichert werden können. Durch die Anbindung an ein professionelles Rechenzentrum konnte die Performance der von PREVENIOMED genutzten Anwendungen mit dem Umzug in die Cloud zudem merklich erhöht werden.

IT-Sicherheit und Verfügbarkeit in den HELIOS Kliniken Schwerin, Konzepte und Umsetzungen

11:00 - 11:30

Hörsaal 2

Mein Vortrag gibt Einblicke auf die Infrastruktur der Krankenhaus IT mit dem Fokus Sicherheit. Beschreibt Strukturen, Konzepte und Umsetzungen, sowohl in organisatorischer als auch in technischer Sicht. Ich führe einmal vom Netzwerk bis zur Anwendung. Zeige was wir bereits umgesetzt haben und was die nächsten Herausforderungen sind.

Sicherheit bei Internetzahlungen - Anforderungen der PSD II und der Bankenaufsicht

11:00 - 12:00

Hörsaal 1

Einheitliche und sichere Zahlungsverkehrssysteme sind die Grundlage eines freien und grenzüberschreitenden Warenverkehrs. Diese Grundlagen setzen aber Vorgaben durch die EU und die nationalen Gesetzgebungsorgane voraus. Wesentliche Bausteine in der EU waren die einheitliche Währung, die Einführung technischer Normen für den Zahlungsverkehr (SEPA) und die Vereinheitlichung von Regulierung (PSD II) und Aufsicht (EBA). Der Vortrag setzt sich in diesem Zusammenhang mit den regulatorischen, technischen und aufsichtlichen Anforderungen zusammen, die künftig auf Zahlungstransaktionen Einfluss nehmen, die über das Internet abgewickelt werden. Dies betrifft nicht nur die tradierte Zahlungsverkehrssysteme von Banken; mit Kontoinformationsdiensten oder Zahlungsauslösedienste gibt es neue Marktteilnehmer, die Zahlungsverkehrsdienste gewerbsmäßig anbieten. Diese neuen Markteilnehmer hat der Regulator zum Einen in die Bankenaufsicht einbezogen; zum Anderen garantiert er diesen Unternehmen aber auch einen Zugriff auf Kunden- und Kontodaten bei den Kreditinstituten. Die neuen Anforderungen an Internetzahlungen werden aus der Sicht des Kunden dargestellt; der höhere Sicherheit mit höheren Anforderungen an Autorisierung und Authentisierung erkauft. Daneben wird aufgezeigt, welche Maßnahmen den Anbietern von Zahlungsverkehrssystemen auferlegt werden, um die Sicherheit von Internetzahlungen nachhaltig zu erhöhen und zu erhalten.

Von Prevent & Protect zu Detect & Respond

14:00 - 15:00

Hörsaal 2

IT Security-Experten berichten, dass Unternehmen trotz (zu) vieler Securitytools kaum mehr adäquat auf Bedrohungsszenarien reagieren können. Jetzt ist Umdenken angesagt, um möglichst schnell die Charakteristik und Auswirkungen eines Angriffs zu begreifen. Wie bei einem Erste-Hilfe-Einsatz kommt es darauf an, den Patienten Endgerät zu stabilisieren und eine Netzepidemie zu verhindern. Welche Vorgehensweisen sind angebracht und welche Unterstützung müssen moderne Incident Response-Tools liefern?

Winning the IoT Battle

14:00 - 15:00

Hörsaal 1

Das Internet of Things verändert die IT-Welt. Die Informationssicherheit bleibt hierbei meist auf der Strecke. Dies ist katastrophal, denn ein IoT ist nicht nur der vernetzte Kühlschrank. In den letzten Wochen sind insbesondere die IP-basierten Kameras und Heimrouter in das Zentrum der Aufmerksamkeit gerückt. Im Grunde muss jedes Gerät, welches über eine Netzwerkverbindung verfügt als IoT Gerät bezeichnet werden. Hierbei handelt es sich um Haushaltsgeräte wie Fernseher, DSL-Router und der Thermomix aber auch um Blockheizkraftwerke, Windparks oder dezentrale Pumpwerke, die über das Internet kommunizieren. Warum weisen diese Geräte nicht dieselbe Sicherheit auf, wie unsere Desktop- und Serversysteme oder unsere Smartphones? Was unterscheidet sie fundamental von diesen Systemen? Können die von den klassischen Systemen bekannten Ansätze auf die IoT Geräte übertragen werden? Werden neue Ansätze benötigt? Wie können die Probleme gelöst werden? Ist ein Mindesthaltbarkeitsdatum möglich/erforderlich? Der Vortrag wird diese Fragestellungen betrachten und die Probleme aufzeigen. Zum Abschluss ist der Übergang in eine offene Diskussion erwünscht.

SDR Hacking: Weniger Theorie, mehr Praxis

15:30 - 16:00

Hörsaal 1

In den vergangenen Jahren hat sich in vielen Bereichen der Informationstechnik der Trend weg von drahtgebundener hin zu drahtloser Kommunikation weiter rasant fortgesetzt. Die Vorteile drahtloser Kommunikation überwiegen mehr und mehr deren Nachteile und durch den technischen Fortschritt sowie den preislichen Verfall nimmt die Durchdringung mit Funktechnologie stetig zu. Dem Aspekt Informationssicherheit wird dabei jedoch nicht immer die Priorität eingeräumt, die dem Verwendungszweck der jeweiligen Produkte entspricht. Dies kann zu Sicherheitsschwachstellen führen, die für Nutzer und Hersteller entsprechender funkbasierter Geräte problematisch sein können. Für IT-Sicherheitsanalysten, IT-Sicherheitsberater oder Pentester, die konkret die Informationssicherheit eines Produkts untersuchen und bewerten sollen, stellen verwendete Funktechnologien eine größere Herausforderung dar. Die große Vielzahl an Funktechnologien und -standards, der Einsatz proprietärer Funkprotokolle, eine eingeschränkte Informationsbasis, ein Mangel an zuverlässigen Werkzeugen und begrenzte Testressourcen - insbesondere Zeit - gestalten Sicherheitsanalysen funkbasierter Geräte generell als schwierig. In diesem Vortrag werden unsere praktischen Erfahrungen bezüglich SDR Hacking im Rahmen von Penetrationstests und Forschungsprojekten bei der SySS GmbH vorgestellt. Anhand ausgewählter getesteter Produkte der folgenden drei Produktkategorien wird das Finden und Ausnutzen verbreiteter Schwachstellen beispielhaft in funkbasierten Geräten demonstriert: - Wireless Desktop Sets (drahtlose Maus-/Tastatur-Kombinationen) - Wireless Presenter - Wireless Alarm Systems (Funkalarmanlagen)

Grundlagenvortrag - Intelligente Videoüberwachung

16:00 - 16:30

Hörsaal 2

Intelligente Videoüberwachung wird vieles verändern, und das nicht nur im technischen Bereich. Wenn aus konventionellen Kameras „smarte" Analysesysteme werden, werden gleich mehrere gesellschaftlich hochrelevante Themenfelder völlig neu zu diskutieren und definieren sein: von gesellschaftlicher Akzeptanz über nationale und internationale Rechtsrahmen bis zu behördlichen Anwenderfragestellungen. Im Rahmen zweier Verbundforschungsprojekte des Bundesministeriums für Bildung und Forschung wurden zahlreiche sozio-technische Analysen durchgeführt und grundlegende Aspekte „intelligenter" Videoüberwachung herausgearbeitet. Der Vortrag wird einen Überblick aus sozial- und technikwissenschaftlicher Perspektive liefern und Handlungsempfehlungen sowie innovative Ansätze für Forschung und Entwicklung im Schwerpunktbereich Sicherheitsforschung präsentieren.

Post-Quanten-Kryptographie - Wie sieht die Zukunft der Verschlüsselung aus?

16:00 - 17:00

Hörsaal 1

Quantencomputer sind in den Medien aktuell ein wichtiges Thema. Der Grund dafür ist die extreme Leistungsfähigkeit dieser Computer. Was bedeutet die Leistungsfähigkeit eigentlich für unsere heutigen Rechnernetze und die Kryptographie, die wir täglich anwenden? Gibt es überhaupt noch eine zuverlässige Kryptographie, wenn Quantencomputer ihre volle Leistung entfesseln? Der Vortrag soll Antworten zu diesen Fragen geben und dabei einen Einblick in die Post-Quantenwelt der Kryptographie gewähren.

Grundlagenvortrag - The Razors Edge - Die schwierige Beurteilung von Cybersecurity Vorfällen in der Industrie

16:30 - 17:00

Hörsaal 2

Die umfassende Vernetzung in Wirtschaft und Industrie stellt die Sicherheitsverantwortlichen vor neue Herausforderungen. Die Frage nach der Ursache von Anomalien und Ausfällen lässt sich auf Grund der wachsenden Komplexität nicht immer einfach beantworten. Der Vortrag gibt mit Hilfe von Beispielen einen Einblick welche Mittel angewendet werden können, um zu entscheiden, ob es sich um eine Fehlkonfiguration oder einen gezielten Angriff handelt.

28. September 2017

HF-Hacking am Beispiel von Smarthome

09:00 - 10:30

Haus 4, Raum 221

Ist Ihr zu Hause intelligent vernetzt? Smart Home bietet einen hohen Komfort, birgt jedoch auch einige Sicherheitsrisiken. Im Workshop "HF-Hacking am Beispiel von Smart Home" zeigen Johannes Pohl und Andreas Noack wie Angreifer die Kontrolle über fremde Haushalte übernehmen können. Sie stellen dazu den Universal Radio Hacker (URH) vor. Diese Spezialsoftware wurde an der Hochschule Stralsund entwickelt und bereits auf der Elite Hacker Konferenz BlackHat [1] vorgestellt. Das Programm unterstützt Forscher beim Auffinden von Sicherheitslücken in Funkprotokollen mit Software Defined Radios und legt besonderen Fokus auf einfache Bedienbarkeit. Im Workshop wird außerdem ein neues, bisher nicht gezeigtes Feature vom URH enthüllt. [1] https://www.blackhat.com/us-17/arsenal.html#universal-radio-hacker-investigate-wireless-protocols-like-a-boss-arsenal-theater-demo

Angriff und Verteidigung: Szenarien am Beispiel eines Webshops in Verbindung mit einer BIG-IP-Lösung von F5

11:00 - 12:30

Haus 4, Raum 221

  1. Teil (Demo + Hands on)
    • Open Source Intelligence - OSINT
      • Finden eines "Opfers" und eines geeigneten Angriffsvektors
    • (Angriffe auf Clients)  „Cross Site Scripting" (XXS) und Beef (Browser Hook)
      • Finden und ausnutzen einer XSS-Schwachstelle
      • Initiieren und ausnutzen eines Browser-Hooks (BeeF)
      • Schutzmöglichkeiten mit F5 Networks
    • SQL-Injection
      • Finden und ausnutzen eines möglichen Angriff-Vektors
      • Zugriff auf DB und ausnutzen z.B. des besten Coupon-Codes zum Bestellen
      • Schutzmöglichkeiten mit F5 Networks
  2. Teil 2 (Demo)
    • Beispiele für „Advanced" Web-Attacken and Schutzmöglichkeiten mit F5 Networks
      • Authentication Bypass (No-SQL-DB)
      • AngularJS Injection und Sandbox Bypass
      • self-executing XSS over Web-Sockets
      • Authentication-Bypass over Websockets
    • Vorbereiten einer Spear-Phishing Attacke
      • Erstellen einer Malware (Veil-Evasion)
      • Weitere Vorgehensweise (Email, Browser-Hook...)

Ausrichter

Hochschule Stralsund Sund-Xplosion

Sponsoren/Praxispartner

Alcatel-Lucent Enterpise Germany Cratos Digitales MV Steinbeis Tedesio WIIT