IT-Security Conference 2016

Der Security Impact von IoT, Datenschutz und Cybercrime

| Autor: Stephan Augsten

An den ersten drei Veranstaltungsorten hält IT-Security-Experte Stefan Tomanek die Eröffnungs-Keynote zur IT-SECURITY Management & Technology Conference 2016.
An den ersten drei Veranstaltungsorten hält IT-Security-Experte Stefan Tomanek die Eröffnungs-Keynote zur IT-SECURITY Management & Technology Conference 2016. (Bild: Vogel IT-Akademie)

Was erwartet die Teilnehmer der IT-SECURITY Management & Technology Conference 2016? An zwei Veranstaltungsorten konnten wir schon zahlreiche Impressionen und ein umfangreiches Stimmungsbild einfangen.

Bei IT-Sicherheit denkt man fast zwangsläufig an die Abwehr von Spam und Malware. Im Rahmen der 15. IT-Security Conference 2016 stellt die Leiterin der Vogel IT-Akademie Daniela Schilling aber klar, dass sich das Thema immer weiter aufgefächert hat. Maßgeblichen Anteil daran hätten beispielsweise die Cloud und das Internet of Things.

Welche Relevanz das Thema IT-Sicherheit genießt, zeigt sich allein darin, dass die IT-Security Conference über die Jahre immer weiter gewachsen ist. Dafür hat nicht zuletzt auch das umfangreiche Programm gesorgt. In drei großen Keynotes kommen beispielsweise unabhängige Experten zu Wort.

Einer davon ist in diesem Jahr der IT-Sicherheitsspezialist und Penetrationstester Stefan Tomanek. Er zeigt in seinem Vortrag „Industrie 4.0 und Einbruch 2.0“, wie man mit einfachen Mitteln ans Internet angebundene Industrie-, Tankstellen- und Heizanlagen findet. „Fragen Sie mich nicht, warum hier die Kessel-Warnleuchte rot blinkt, ich war es nicht“, stellt der White Hat Hacker klar.

Tomanek will allein die Möglichkeiten krimineller Energie darlegen, etwa wie man mit einer „Trojaner-Maus“ einen PC ausspäht oder eine Präsentationsfernbedienung kompromittiert: „Was ein Hacker nicht in C programmieren kann, muss er löten“, so Tomanek. Ob USB-Kaffeewärmer, Ventilator oder Tastatur, die Möglichkeiten der Hardware-Hacks sind laut Tomanek unbegrenzt. Die Quintessenz: „Stöpseln Sie nicht jedes Gerät unbedacht an den PC an.“

Zu guter Letzt zeigt Tomanek, wie man einen Barcode-Scanner mithilfe spezieller Strichcodes – die sich nützlicherweise in der Hersteller-Dokumentation finden – umprogrammiert. Damit macht er deutlich: Das größte Problem aller Geräte sind schlecht abgesicherte Schnittstellen. Die werden meist bewusst so einfach gehalten, dass selbst Nicht-Experten die Geräte nutzen und umkonfigurieren können. Damit leidet aber zwangsläufig auch die Sicherheit.

Die zweite Keynote obliegt dem freien Journalisten Uli Ries, der in seinem Beitrag die Möglichkeiten im Dark Web beleuchtet. Und was man dort nicht alles kaufen kann, angefangen bei Drogen über vollständige Kreditkarten-Datensätze bis hin zu Waffen – inklusive Munition und Schalldämpfer. „Natürlich, wer kauft schon Waffen ohne Schalldämpfer“, feixt Ries.

Die Begriffe Dark Net, Dark Web und Deep Web grenzt der freie Journalist klar voneinander ab – und räumt gleich mit dem Vorurteil auf, dass sich in diesen verschlüsselten und nicht indizierten Bereichen des Internets nur Kriminelle tummeln. Ursprünglich sei die Technik nicht für illegale Zwecke erfunden worden – und noch heute gibt es Ries‘ Recherchen zufolge mindestens 50 legale Webseiten, die er allein innerhalb des TOR-Netzwerks unter der Top Level Domain .onion gefunden hat.

In der dritten Keynote am Abend erörtern Mareike Gehrmann und Detlef Klett, beide Rechtsanwälte der Sozietät Taylor Wessing, die Rolle des Staates in der IT-Sicherheit. Beantwortet werden Fragen wie: Welche Rolle spielt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Kampf gegen Locky und Co.? Wer ist wie vom IT-Sicherheitsgesetz betroffen? Und wie steht es in der EU um IT-Sicherheit und Datenschutz?

Erfahrungsaustausch zum Thema Datenschutz

Als Rechtsspezialisten moderieren Gehrmann und Klett untertags auch den Roundtable „Datenschutz in Europa – Chance oder Ballast“, bei dem die Teilnehmer das Thema selbst diskutieren und Erfahrungen austauschen. Ein Schwerpunkt liegt dabei auf dem EU Privacy Shield, aber auch die EU-DSGVO (EU-Datenschutzgrundverordnung) steht zur Debatte.

An den beiden ersten Veranstaltungsorten der IT Security Conference 2016 kristallisierte sich bereits heraus, dass bei vielen Diskutanten eine große Unsicherheit hinsichtlich der aktuellen Rechtslage herrscht. Mit Blick auf Privacy Shield stellt Mareike Gehrmann allerdings klar: „Unternehmen, die personenbezogene Daten in die USA übermitteln, bleibt aktuell nur die Absicherung über Standard-Vertragsklauseln.“

Die aktuellen Datenschutz-Regelungen bezeichnete Klett als „stumpfes Schwert“. Bußgeldbescheide seien momentan noch relativ günstig zu bekommen, scherzte der Rechtsexperte, dies werde sich aber bald ändern. Seine Meinung fand Anklang im Publikum: „Der Datenschutz in Europa ist eine Lachnummer“, ereiferte sich ein hauptberuflicher Datenschützer. Auch in Hamburg und Düsseldorf/Neuss dürfen die Teilnehmer wieder ihre Erfahrungen miteinander teilen, auch der Roundtable „Vernetzte Industrieanlagen – Alptraum für IT-Sicherheit“ mit Uli Ries lädt dazu ein.

Workshops und Vorträge der Hersteller

Ein etabliertes Format, bei dem die Plätze naturgemäß eng bemessen sind, besteht in den über den Tag verteilten Hersteller-Workshops. Stefan Cink von Net at Work erläutert in seinem Beitrag zu „noSpamProxy“ beispielsweise Anti-Spam-Techniken. Wortfilter sind seiner Ansicht nach recht pflegeaufwändig und die Pattern Detection leidet darunter, dass Cyber-Kriminelle versuchen, lang anhaltende Angriffsmuster zu vermeiden. Auf Heuristiken und Sandboxing wiederum hätten die Kunden keinen Einfluss, URL-Checks eigneten sich vorwiegend für den Bereich Anti Phishing.

Was ein Administrator aber prüfen kann, sind der Absender und dessen Reputation. Zwar könne man mit IP-Adresslisten rund 80 Prozent der bösartigen Mails abfangen, doch IPv6 erschwere das Verfahren künftig. Mit einer Kombination aus Techniken wie SPF (Sender Policy Framework), DKIM (Domain Key Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) könne man die Probleme aber in den Griff bekommen. In seinem Vortrag beleuchtet Cink grundlegend, wie das funktioniert.

Ergänzendes zum Thema
 
Über die IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2016

Während Sophos mit Blick auf „Standardisierung“ und der eigenen „Security Heartbeat“-Strategie gleich zwei Workshops abhält, beleuchten Flexera Software und ADN das Thema Schwachstellen-Management. Der deutsche Sicherheitsanbieter G Data Software widmet sich hingegen der IT-Sicherheit im Mittelstand.

Hersteller-Vorträge mit unterschiedlichen Schwerpunkten

Zum Programm der IT Security Conference tragen aber jedes Jahr aufs Neue auch die Partner bei. Check Point Software befasst sich mit der Hacker-Abwehr, F-Secure mit kriminellen Geschäftsmodellen. Cisco Systems beleuchtet die Vorteile von Security-Automatisierung und ganzheitlichem Management.

Ein Thema, das auf der IT Security Conference immer wieder angesprochen wurde, war die Schwachstelle Mensch. Kaspersky Lab und 8soft widmeten der Mitarbeiter-Sensibilisierung unter dem Motto „Security fängt im Kopf an“ gar einen eigenen Vortrag. Michael Hirschmann, Senior Technical Sales Engineer bei Kaspersky Lab, zeigt hier, wie erfolgreiche Sicherheitstrainings und Awareness-Kampagnen aussehen müssen.

„Auch die zuverlässigste Software schützt nicht vor der ‚Schwachstelle Mitarbeiter‘“, konstatiert Hirschmann. Ob zu überhastetes Klicken auf Spam-Mails bzw. deren Anhänge, schlecht gewählte Passwörter, das Einstecken unbekannter USB-Sticks oder das Teilen wertvoller Informationen über Social Networks: Etwa 80 Prozent aller Cyber-Security-Vorfälle seien auf menschliches Fehlverhalten zurückzuführen.

Als Anbieter entsprechender Services empfiehlt Kaspersky Lab einen dreiseitigen Ansatz, der Wissen, Verhalten und Motivation mit einbezieht. Hier empfehle sich eine Kombination aus Security Games, Online-Trainings und Schulungen sowie angemessene Handlungsempfehlungen und eine Sicherheits-Leitkultur. Unter anderem zeigte Hirschmann, wie ein spielerischer Ansatz aussehen kann.

Weitere Beiträge liefern Bomgar, Bitdefender, Infinigate gemeinsam mit Dell Security und Centrify, Radar Services, Symantec sowie Fortinet zusammen mit Wick Hill. Außerdem kommen Carbonite, dataglobal, Datakom, Eset, Ergon Informatik gemeinsam mit airlock, Logrythm, NCP Engineering und CensorNet, Proofpoint und ADN sowie Rohde und Schwarz Cybersecurity gemeinsam mit AllNet zu Wort.

Noch zwei Mal lädt die Vogel IT-Akademie zur IT-Security Conference 2016. Bereits am kommenden Dienstag, 5. Juli, gastiert die Veranstaltung mit begleitender Hersteller-Expo im Hotel „Grand Elysee“ Hamburg, am Donnerstag, 7. Juli, noch einmal im Dorint Kongresshotel Düsseldorf/Neuss. Hier wird im Übrigen Dr. Sandro Gaycken, von der European School for Management and Technology (ESMT) die erste Keynote unter dem Motto „Industrie 4.0: das fatale Zusammenspiel von Safety und Security“ halten. Die vollständigen Veranstaltungspläne finden Interessierte auf der ITSecCon-Website.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44142786 / Mitarbeiter-Management)