Suchen

IT-Security Conference 2016 Der Security Impact von IoT, Datenschutz und Cybercrime

| Autor: Stephan Augsten

Was erwartet die Teilnehmer der IT-SECURITY Management & Technology Conference 2016? An zwei Veranstaltungsorten konnten wir schon zahlreiche Impressionen und ein umfangreiches Stimmungsbild einfangen.

Firmen zum Thema

An den ersten drei Veranstaltungsorten hält IT-Security-Experte Stefan Tomanek die Eröffnungs-Keynote zur IT-SECURITY Management & Technology Conference 2016.
An den ersten drei Veranstaltungsorten hält IT-Security-Experte Stefan Tomanek die Eröffnungs-Keynote zur IT-SECURITY Management & Technology Conference 2016.
(Bild: Vogel IT-Akademie)

Bei IT-Sicherheit denkt man fast zwangsläufig an die Abwehr von Spam und Malware. Im Rahmen der 15. IT-Security Conference 2016 stellt die Leiterin der Vogel IT-Akademie Daniela Schilling aber klar, dass sich das Thema immer weiter aufgefächert hat. Maßgeblichen Anteil daran hätten beispielsweise die Cloud und das Internet of Things.

Welche Relevanz das Thema IT-Sicherheit genießt, zeigt sich allein darin, dass die IT-Security Conference über die Jahre immer weiter gewachsen ist. Dafür hat nicht zuletzt auch das umfangreiche Programm gesorgt. In drei großen Keynotes kommen beispielsweise unabhängige Experten zu Wort.

Einer davon ist in diesem Jahr der IT-Sicherheitsspezialist und Penetrationstester Stefan Tomanek. Er zeigt in seinem Vortrag „Industrie 4.0 und Einbruch 2.0“, wie man mit einfachen Mitteln ans Internet angebundene Industrie-, Tankstellen- und Heizanlagen findet. „Fragen Sie mich nicht, warum hier die Kessel-Warnleuchte rot blinkt, ich war es nicht“, stellt der White Hat Hacker klar.

Tomanek will allein die Möglichkeiten krimineller Energie darlegen, etwa wie man mit einer „Trojaner-Maus“ einen PC ausspäht oder eine Präsentationsfernbedienung kompromittiert: „Was ein Hacker nicht in C programmieren kann, muss er löten“, so Tomanek. Ob USB-Kaffeewärmer, Ventilator oder Tastatur, die Möglichkeiten der Hardware-Hacks sind laut Tomanek unbegrenzt. Die Quintessenz: „Stöpseln Sie nicht jedes Gerät unbedacht an den PC an.“

Zu guter Letzt zeigt Tomanek, wie man einen Barcode-Scanner mithilfe spezieller Strichcodes – die sich nützlicherweise in der Hersteller-Dokumentation finden – umprogrammiert. Damit macht er deutlich: Das größte Problem aller Geräte sind schlecht abgesicherte Schnittstellen. Die werden meist bewusst so einfach gehalten, dass selbst Nicht-Experten die Geräte nutzen und umkonfigurieren können. Damit leidet aber zwangsläufig auch die Sicherheit.

Die zweite Keynote obliegt dem freien Journalisten Uli Ries, der in seinem Beitrag die Möglichkeiten im Dark Web beleuchtet. Und was man dort nicht alles kaufen kann, angefangen bei Drogen über vollständige Kreditkarten-Datensätze bis hin zu Waffen – inklusive Munition und Schalldämpfer. „Natürlich, wer kauft schon Waffen ohne Schalldämpfer“, feixt Ries.

Bildergalerie
Bildergalerie mit 18 Bildern

Die Begriffe Dark Net, Dark Web und Deep Web grenzt der freie Journalist klar voneinander ab – und räumt gleich mit dem Vorurteil auf, dass sich in diesen verschlüsselten und nicht indizierten Bereichen des Internets nur Kriminelle tummeln. Ursprünglich sei die Technik nicht für illegale Zwecke erfunden worden – und noch heute gibt es Ries‘ Recherchen zufolge mindestens 50 legale Webseiten, die er allein innerhalb des TOR-Netzwerks unter der Top Level Domain .onion gefunden hat.

In der dritten Keynote am Abend erörtern Mareike Gehrmann und Detlef Klett, beide Rechtsanwälte der Sozietät Taylor Wessing, die Rolle des Staates in der IT-Sicherheit. Beantwortet werden Fragen wie: Welche Rolle spielt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Kampf gegen Locky und Co.? Wer ist wie vom IT-Sicherheitsgesetz betroffen? Und wie steht es in der EU um IT-Sicherheit und Datenschutz?

Erfahrungsaustausch zum Thema Datenschutz

Als Rechtsspezialisten moderieren Gehrmann und Klett untertags auch den Roundtable „Datenschutz in Europa – Chance oder Ballast“, bei dem die Teilnehmer das Thema selbst diskutieren und Erfahrungen austauschen. Ein Schwerpunkt liegt dabei auf dem EU Privacy Shield, aber auch die EU-DSGVO (EU-Datenschutzgrundverordnung) steht zur Debatte.

An den beiden ersten Veranstaltungsorten der IT Security Conference 2016 kristallisierte sich bereits heraus, dass bei vielen Diskutanten eine große Unsicherheit hinsichtlich der aktuellen Rechtslage herrscht. Mit Blick auf Privacy Shield stellt Mareike Gehrmann allerdings klar: „Unternehmen, die personenbezogene Daten in die USA übermitteln, bleibt aktuell nur die Absicherung über Standard-Vertragsklauseln.“

Die aktuellen Datenschutz-Regelungen bezeichnete Klett als „stumpfes Schwert“. Bußgeldbescheide seien momentan noch relativ günstig zu bekommen, scherzte der Rechtsexperte, dies werde sich aber bald ändern. Seine Meinung fand Anklang im Publikum: „Der Datenschutz in Europa ist eine Lachnummer“, ereiferte sich ein hauptberuflicher Datenschützer. Auch in Hamburg und Düsseldorf/Neuss dürfen die Teilnehmer wieder ihre Erfahrungen miteinander teilen, auch der Roundtable „Vernetzte Industrieanlagen – Alptraum für IT-Sicherheit“ mit Uli Ries lädt dazu ein.

Workshops und Vorträge der Hersteller

Ein etabliertes Format, bei dem die Plätze naturgemäß eng bemessen sind, besteht in den über den Tag verteilten Hersteller-Workshops. Stefan Cink von Net at Work erläutert in seinem Beitrag zu „noSpamProxy“ beispielsweise Anti-Spam-Techniken. Wortfilter sind seiner Ansicht nach recht pflegeaufwändig und die Pattern Detection leidet darunter, dass Cyber-Kriminelle versuchen, lang anhaltende Angriffsmuster zu vermeiden. Auf Heuristiken und Sandboxing wiederum hätten die Kunden keinen Einfluss, URL-Checks eigneten sich vorwiegend für den Bereich Anti Phishing.

Was ein Administrator aber prüfen kann, sind der Absender und dessen Reputation. Zwar könne man mit IP-Adresslisten rund 80 Prozent der bösartigen Mails abfangen, doch IPv6 erschwere das Verfahren künftig. Mit einer Kombination aus Techniken wie SPF (Sender Policy Framework), DKIM (Domain Key Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) könne man die Probleme aber in den Griff bekommen. In seinem Vortrag beleuchtet Cink grundlegend, wie das funktioniert.

Ergänzendes zum Thema
Über die IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2016

Im Juli veranstaltet die Vogel IT-Akademie noch an zwei Tagen und Orten die IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2016. In diesem Jahr liegen die thematischen Schwerpunkte unter anderem auf aktuellen Bedrohungen, Sicherheit in der Industrie 4.0 sowie Datenschutzrecht und Sicherheitsgesetzen.

Auf dem Ganztagsprogramm stehen Keynotes unabhängiger Security-Experten, spannende Fachvorträge und Workshops mit Umsetzungsbeispielen aus der Praxis sowie Roundtables zum Meinungs- und Erfahrungsaustausch. Teilnehmer können sich außerdem über neueste Security-Technologien informieren. Unser Matchmaking-Tool erlaubt es dabei, bequem persönliche One-on-One-Meetings mit passenden Ansprechpartnern zu vereinbaren.

Die übrigen Veranstaltungsorte und -termine lauten:

  • Dienstag, 05. Juli 2016, Hamburg
  • Donnerstag, 07. Juli 2016, Neuss

Die Teilnahmegebühr beträgt 289 Euro (zzgl. MwSt.). Registrieren Sie sich auf Security-Insider.de und zahlen Sie unter Angabe des Anmeldecodes „SEC-SEI-REG“ auf ITSecurity-Conference.de nur 149 Euro (zzgl. MwSt.). Begleitende Informationen rund um die Konferenz finden Sie unter dem Hashtag #ITSECCON auf Twitter.

Während Sophos mit Blick auf „Standardisierung“ und der eigenen „Security Heartbeat“-Strategie gleich zwei Workshops abhält, beleuchten Flexera Software und ADN das Thema Schwachstellen-Management. Der deutsche Sicherheitsanbieter G Data Software widmet sich hingegen der IT-Sicherheit im Mittelstand.

Hersteller-Vorträge mit unterschiedlichen Schwerpunkten

Zum Programm der IT Security Conference tragen aber jedes Jahr aufs Neue auch die Partner bei. Check Point Software befasst sich mit der Hacker-Abwehr, F-Secure mit kriminellen Geschäftsmodellen. Cisco Systems beleuchtet die Vorteile von Security-Automatisierung und ganzheitlichem Management.

Ein Thema, das auf der IT Security Conference immer wieder angesprochen wurde, war die Schwachstelle Mensch. Kaspersky Lab und 8soft widmeten der Mitarbeiter-Sensibilisierung unter dem Motto „Security fängt im Kopf an“ gar einen eigenen Vortrag. Michael Hirschmann, Senior Technical Sales Engineer bei Kaspersky Lab, zeigt hier, wie erfolgreiche Sicherheitstrainings und Awareness-Kampagnen aussehen müssen.

„Auch die zuverlässigste Software schützt nicht vor der ‚Schwachstelle Mitarbeiter‘“, konstatiert Hirschmann. Ob zu überhastetes Klicken auf Spam-Mails bzw. deren Anhänge, schlecht gewählte Passwörter, das Einstecken unbekannter USB-Sticks oder das Teilen wertvoller Informationen über Social Networks: Etwa 80 Prozent aller Cyber-Security-Vorfälle seien auf menschliches Fehlverhalten zurückzuführen.

IT-Security Conference 2016
Bildergalerie mit 25 Bildern

Als Anbieter entsprechender Services empfiehlt Kaspersky Lab einen dreiseitigen Ansatz, der Wissen, Verhalten und Motivation mit einbezieht. Hier empfehle sich eine Kombination aus Security Games, Online-Trainings und Schulungen sowie angemessene Handlungsempfehlungen und eine Sicherheits-Leitkultur. Unter anderem zeigte Hirschmann, wie ein spielerischer Ansatz aussehen kann.

Weitere Beiträge liefern Bomgar, Bitdefender, Infinigate gemeinsam mit Dell Security und Centrify, Radar Services, Symantec sowie Fortinet zusammen mit Wick Hill. Außerdem kommen Carbonite, dataglobal, Datakom, Eset, Ergon Informatik gemeinsam mit airlock, Logrythm, NCP Engineering und CensorNet, Proofpoint und ADN sowie Rohde und Schwarz Cybersecurity gemeinsam mit AllNet zu Wort.

Noch zwei Mal lädt die Vogel IT-Akademie zur IT-Security Conference 2016. Bereits am kommenden Dienstag, 5. Juli, gastiert die Veranstaltung mit begleitender Hersteller-Expo im Hotel „Grand Elysee“ Hamburg, am Donnerstag, 7. Juli, noch einmal im Dorint Kongresshotel Düsseldorf/Neuss. Hier wird im Übrigen Dr. Sandro Gaycken, von der European School for Management and Technology (ESMT) die erste Keynote unter dem Motto „Industrie 4.0: das fatale Zusammenspiel von Safety und Security“ halten. Die vollständigen Veranstaltungspläne finden Interessierte auf der ITSecCon-Website.

Artikelfiles und Artikellinks

(ID:44142786)

Über den Autor

 Stephan Augsten

Stephan Augsten

Chefredakteur, Dev-Insider