IT-Security Management & Technology Conference 2012 Wie Hacker an sensible Daten kommen

Redakteur: Stephan Augsten

Bring your own Device, Datensicherheit und der Schutz vor Malware- und Hacking-Attacken waren und sind die Themen der IT-Security Management & Technology Conference 2012. Noch an zwei Terminen können sich Interessierte in Vorträgen, Workshops und Diskussionsrunden über Trends der IT-Sicherheit informieren.

Firmen zum Thema

Die IT-Security Management & Technology Conference lockt auch dieses Jahr wieder zahlreiche Besucher.
Die IT-Security Management & Technology Conference lockt auch dieses Jahr wieder zahlreiche Besucher.
(Bild: VIT)

„Nicht wie ein Sicherheitsanbieter, sondern wie ein Hacker denken!“ Dies ist einer der Kernsätze, die Torsten Jüngling von Stonesoft auf der IT-Security Management & Technology Conference 2012 in seiner Präsentation zu Advanced Persistent Threats herausstellte.

Gleichzeitig ist es eine der wichtigsten Lehren, die sein Arbeitgeber im Jahr 2009 aus Tests des eigenen Intrusion-Prevention-Systems gezogen hatte. Seinerzeit war aufgefallen, dass entsprechende Lösungen zwar vor einzelnen Evasion-Techniken schützen, mit deren Hilfe Hacker ihre Angriffe tarnen.

Bildergalerie

Wenn die Evasions allerdings miteinander kombiniert werden – man spricht dann von Advanced Evasion Techniques (AET) – ist auch ein Intrusion-Prevention- oder -Detection-System schnell überfordert. Angesichts der über 800 Millionen bekannten Evasions ergeben sich schier unzählbare Kombinationsmöglichkeiten.

Dieser Gefahr könne man mit einer kontinuierlichen Inspektion des Netzwerk-Traffic vorbeugen, so Jüngling. Stonesoft habe die damit einhergehenden Performance-Probleme durch Prozess-Optimierung minimieren können. Jüngling rief dazu auf, mit dem Stonesoft Evader die eigene Infrastruktur auf AET-Anfälligkeiten hin zu prüfen.

Klassische Internet-Attacken

Mit eher traditionellen Angriffen auf Webanwendungen befasste sich hingegen Mario Zimmler von Barracuda Networks. In seinem Vortrag „Wie Sie Anonymous & Co. erfolgreich abwehren“ zeigte er, wie sich man sich beispielsweise per SQL Injection oder Cross Site Scripting eine Webseite und die dahinter liegende Datenbank infiltrieren kann.

Bekannte Opfer solcher Attacken waren im vergangenen Jahr beispielsweise Sony, die GEMA oder die CIA gewesen – obwohl derartige Organisationen eigentlich über große finanzielle, personelle und technische Ressourcen verfügen. Das prinzipielle Vorgehen der Angreifer zeigte Zimmler in einer Live-Demo anhand einfacher Beispiele wie einer „Always true“-Bedingung in Webformularen.

Roundtables und Live-Hacking

Nach der Mittagspause entspann sich in einer der drei Roundtables eine rege Diskussion um die Frage „Welche Sicherheitssysteme brauchen wir in der Zukunft?“ Oliver M. Achten vom Insititut für Internetsicherheit – kurz if(is) – musste als Moderator nicht viel tun, um das Gespräch anzuheizen.

Einigkeit herrschte darüber, dass die Nutzung privater Mobilgeräte im Unternehmen (Bring your own Device, BYOD) eine besonders große Herausforderung darstellt. Für einen großen Diskurs sorgte anschließend die Frage nach rechtlichen Aspekten im Bereich der IT-Sicherheit.

Der Security-Consultant Andreas Pohl stellte fest, dass Sicherheitsmaßnahmen früher von der Technik selbst vorangetrieben wurde. Heute müsse man vor der Umsetzung zunächst einmal schauen, ob eine Lösung überhaupt die rechtlichen Anforderungen erfülle. „An dieser Stelle ist fast schon ein Jura-Studium erforderlich“, bemerkte Pohl überspitzt.

Vornehmlich verlagerte sich die Diskussion hin zum Thema der E-Mail-Archivierung und die Frage, inwieweit man private und geschäftliche Konversation überhaupt voneinander trennen könne. Dass die Gesprächsrunde damit am eigentlichen Thema vorbeilief, störte Oliver M. Achten nicht im Geringsten.

Live: Social Engineering und Hacking

Der Sicherheitsforscher hatte beim anschließenden Live-Hacking mit seinem if(is)-Kollegen Frank Timmermann noch genug Zeit, auf die aktuelle Gefahrenlage einzugehen. In der Keynote „3-2-1 meins. Wie gelangen Dritte an sensible Daten?“ stellte er gängige und teils selbst erprobte Social-Engineering- und Hacking-Techniken vor.

Vor dem Hintergrund der Passwort-Sicherheit wurde unter anderem der Schokoladen-Test beleuchtet, bei dem 45 Prozent der weiblichen Teilnehmer ihr Passwort gegen eine Tafel Schokolade herausgegeben hatten – aber nur jeder zehnte Mann. Auf die allgemeine Erheiterung ob des Stereotyps stellte Achten allerdings nüchtern fest: „Hätte man den gleichen Versuch mit Bier gemacht, hätten sich die Zahlen wohl umgekehrt.“

Neben den bereits genannten Branchenkennern sind auf der IT-Security Management & Technology Conference 2012 wie gewohnt etliche weitere Größen aus der IT- und Sicherheitsbranche vertreten. Hierzu zählen in diesem Jahr beispielsweise Cisco, Huawei, IBM, Kaspersky Lab, Microsoft, RSA, Sophos oder auch Trend Mico. Im Rahmen einer begleitenden Ausstellung dürfen sich die Konferenz-Teilnehmer die verschiedenen Sicherheitsansätze der Hersteller ansehen.

Noch an zwei Terminen – am morgigen Donnerstag, 27. September in Neuss sowie am Dienstag, 2. Oktober, in Hamburg – können Interessierte der Veranstaltung beiwohnen. Weitere Informationen gibt es auf der Landingpage zur IT-Security Management & Technology Conference 2012 unserer IT-Business- und Security-Insider-Akademie.

(ID:35797950)