Security-Insider Podcast – Folge 50 Kontroversen auf dem IT-Sicherheitskongress

Über 8.000 Teilnehmer besuchten den 2022 abermals virtuell ausgetragenen Deutschen IT-Sicherheitskongress. Der stand zwar unter dem Motto „Cyber-Sicherheit ist Chefinnen- und Chefsache“ – bediente neben der Wirtschaft aber auch etliche Zielgruppen vom Verbraucher bis zur Verwaltung. Wir waren live dabei und berichten über spannende Einblicke, Ausblicke und Überblicke.

Anbieter zum Thema

Interessierte können die Inhalte des IT-Sicherheitskongresses noch bis Anfang März abrufen.
Interessierte können die Inhalte des IT-Sicherheitskongresses noch bis Anfang März abrufen.
(Bild: Vogel IT-Medien)

Am 1. und 2. Februar hat das BSI den 18. Deutschen IT-Sicherheitskongress ausgerichtet und das Thema Cyber-Security per Motto zur Chefinnen- und Chefsache erklärt. Der Einladung zur pandemiebedingt virtuell ausgerichteten Live-Veranstaltung folgten über 8.000 Besucher, um sich gegen eine deutlich gestiegene Gefährdungslage zu wappnen. Diese beschrieb BSI-Präsident Arne Schönbohm in seiner Eröffnungsrede und illustrierte beinahe tagesaktuell mit der einer „Cyberattacke auf Tanklogistikunternehmen Oiltanking“.

Bundesinnenministerin Nancy Faeser spannte den Bogen noch ein wenig weiter. Zwar zähle Ransomware aktuell zu den größten Bedrohungen der Branche; zusätzlich im Blick hatte die Ministerin jedoch auch Defacement-Angriffe im Kontext der aktuellen Ukraine-Krise, die Gefahren von Hasskriminalität und Menschenverachtung im Netz sowie sexualisierte Gewalt – insbesondere auch gegen Kinder.

Um den aktuellen Anforderungen zu begegnen, plant die Ministerin auch institutionelle Veränderungen. Nachzulesen übrigens als folgendes Zitat auf der Startseite des BSI:

„Wir wollen das BSI zu einer Zentralstelle im Bund-Länder-Verhältnis ausbauen – und damit die föderale Zusammenarbeit erheblich verbessern. Eine starke Rolle des BSI als Zentralstelle ist die Voraussetzung für eindauerhafte gegenseitige Information, Koordinierung und Unterstützung zwischen Bund und Ländern.“

Für die Wirtschaft sprechend forderte Iris Plöger von der BDI-Hauptgeschäftsführung im Anschluss zum einen, dass Cybersicherheits-Maßnahmen umsetzbar, risikoadäqat und zielführend sein müssten. Zum anderen sei auch eine Digitalisierung der Verwaltung überfällig. Problematisch seien hierbei nicht zuletzt die auf europäischer Ebene für die NIS2-Richtlinie diskutierten Ausnahmen.

Digitalisierung trifft Totholzdokumente

Einige von Plögers Forderungen griff das Fachprogramm anscheinend schon auf. Darin präsentierte Dr. Ulf Löckmann vom BSI etwa Ansätze zur optischen Verifikation integritätsgeschützter Verwaltungsdokumente mittels Digitaler Siegel. Bildlich gesprochen handelt es sich dabei um ausgedruckte QR-Codes, welche die Authentizität von Papierdokumenten bestätigen. Anders als bei den allgegenwärtigen Impfnachweise ist der vorgestellte Ansatz jedoch universell – lässt sich also für verschiedene Arten von Dokumente und Formularen anpassen.

Wenn einzelne Solarpanels zur KRITIS werden

Womöglich übersehene Sicherheitsherausforderungen griff auch das eigentlich Fachprogramm auf. So referierte Klaus Mochalski von Rhebo AG über die Cyberrisiken in Energieversorgungsunternehmen. Spannender Punkt dabei: Dezentrale Energieanlagen – wie vernetzte Ladestationen, Solarpanels oder Energiespeicher – sind zwar isoliert betrachtet noch keine gravierende Gefahrenquelle. Ein koordinierter Angriff auf Tausende solcher Systeme könnte gesamte Energie-Infrastrukturen in eine Schieflage bringen.

Hinab zu Tests und technischen Richtlinien

Um Mobilinfrastrukturen kümmerte sich derweil bei Dr. Brian Niehöfer von der TÜV Informationstechnik GmbH. Dabei berichtete der Project Manager/ Senior IT Security Consultant über die Tücken von Test sowie Zertifizierung von Mobilfunksystemen und arbeitete sich am Framework NESAS (GSMA Network Equipment Security Assurance Scheme) sowie dessen Optimierung für Prüfprozesse ab.

Bis auf die Ebene der technischen Richtlinien (TR-03164 und TR-03116-6) hinab begab sich Dr. Katharina Bräunlich vom BSI in ihrem Beitrag zu „Vorgaben für den sicheren und interoperablen Betrieb von kooperativen intelligenten Transportsystemen im europäischen Anwendungskontext“. Der sperriger Titel täuschte übrigens, denn Bräunlich lieferte anschauliche Beispiele für den Sinn einer sicheren Kommunikation zwischen Fahrzeugen und Verkehrsinfrastrukturen.

Bereits heute mit Deep Fakes und Quantencomputing planen

Die Zukunftsthemen Quantencomputing und Deep Fakes kamen ebenfalls nicht zu kurz. So plauschte Marco Di Filippo von der whitelisthackers GmbH per Video mit einem gefälschten Olaf Scholz. Matthias Neu vom Bundesamt für Sicherheit in der Informationstechnik diskutierte derweil mögliche Abwehrmechanismen für derlei Angriffsszenarien mit „automatisiert manipulierten medialen Identitäten“. Eine Frage dabei: Wie können auch biometrische Systeme erkennen, dass ihnen ein Fake vorgesetzt wird.

Mit Moscas Theorem verdeutlichte Oliver Zendel vom BSI, warum man heute schon über quantensichere Verschlüsselung nachdenken sollte. Denn, so das Argument: Möglicherweise entwickle sich die Technologie schneller, als vertrauliche Daten altern.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Rahmen mit Preisen, Poetry Slam und Musik

Aufgelockert wurde das Programm durch die Vergabe der ersten IT-Sicherheitskennzeichen. Der damit ausgezeichnete E-Mail-Diensteanbieter mail.de sei damit der erste Anbieter auf dem deutschen Verbrauchermarkt, der das Versprechen in die Sicherheit seiner Dienste durch das IT-Sicherheitskennzeichen für Verbraucherinnen und Verbraucher transparent mache – so das BSI in einer offiziellen Mitteilung.

Wie tauglich oder verwirrend das Kennzeichnen tatsächlich für Verbraucher ist, war übrigens auch Gegenstand einer Podiumsdebatte. Auf der forderte Prof. Dr. Melanie Volkamer Karlsruher Institut für Technologie statt solcher Siegel ein ein garantiertes Mindestmaß an Security und Privacy für alle Produkte.

Der BSI Best Student Award ging an Asiye Öztürk und Erfan Koza vom Clavis Institut für Informationssicherheit der Hochschule Niederrhein. In ihrem Vortrag präsentierten die beiden Doktoranten die „Entwicklung eines adaptiven Anforderungsanalyse-Tools zur bedarfsgerechten Ermittlung von CERT und IDS Dienstleistungen für die Akteure in der Energiewirtschaft“.

Auf unterhaltsamere Weise näherte sich Sandra Da Vina per Poetry-Slam-Beitrag dem Thema Digitaler Verbraucherschutz. Zum künstlerisch, musikalischen Rahmen trugen per Video eingeblendete Performances von Moritz Simon Geist bei.

Inhalte noch bis März abrufbar

Nachdem sich das BSI in diesem Jahr vom zweijährigen Turnus verabschiedet hat, wird der nächste IT-Sicherheitskongress bereits im kommenden Jahr stattfinden. Wer nicht so lange warten will, kann noch bis zum 2. März das Anmeldeportal nutzen und die archivierten Inhalte der diesjährigen Veranstaltung abrufen – inklusive der gestreamten Fachbeiträge. Die 341-seitige Kongressdokumentation ist als PDF verfügbar, aber nicht ganz leicht zu finden: Gehen Sie hierfür auf dem virtuellen Kongressgelände zur Information. Dort befindet sich links ein unscheinbarer Bildschirm; ein Klick darauf liefert etliche Dateien, darunter eben auch die „Die Themen des 18. Deutschen IT-Sicherheitskongresses“.

Den Security-Insider Podcast gibt es auf Spotify, Apple Podcasts, Google Podcasts, Deezer, YouTube, Amazon Music / Audible und auf Podimo! Abonnieren Sie den Security-Insider Podcast über den Webplayer oder security-insider.podigee.io.

Sie haben Themenvorschläge und Anregungen für kommende Podcast-Folgen? Schreiben Sie uns eine E-Mail!

(ID:47979031)