1. ==>  Unsere IT ist doch schon sicher.
   Wozu dann noch ISO 27.000?

2. ==>  Die Umsetzung von Compliance-Vorgaben in der Praxis
   – Wer klaut in der Cloud? –

1. ==>  Wie Cyber-Kriminelle Netzwerk-Security-Systeme umgehen

2. ==>  Security-Bausteine für das Münchner Wissenschaftsnetz

1. ==>  Ihre Website in der Cloud:  Einsatzmöglichkeiten und Erfolgsbeispiele

2. ==>  Problemstellungen in der interorganisationalen Intrusion-Detection am Beispiel von GIDS

• Infrastruktur des LRZ und des Münchner Wissenschaftsnetzes
• Führung durch Rechner-Räume des LRZ

1. ==>  Beschaffungsprozess und Inbetriebnahme des neuen LRZ-Supercomputers "SuperMUC"

2. ==>  Sicherheit von Multifunktionsgeräten

1. ==>  Supercomputer-Hardware auf Basis von x86-Prozessoren

2. ==>  Green IT:  Supercomputer kühlen mit heißem Wasser

• Identity-Management im Münchner Wissenschaftsnetz

• Sicher im Internet – Medienkompetenz für Familie Huber.
  Erziehung zur Sicherheit – aber wie?

1. ==>  IPv6?  Herausforderung für die IT-Security

2. ==>  IT-Forensik – Ein Erfahrungsbericht anhand aktueller Fälle aus der Praxis

3. ==>  Wirtschaftsspionage 2.0 – Neue Wege für Spione

• Der Weg der IT zum Selbstbedienungsladen
  –  Wie Cloud-Computing die IT verändern kann

Zu einer erfolgreichen Einführung von ISO 27000 in der Unternehmens-IT ist ein mittleres bis großes Projekt mit entsprechenden Kosten und Personalaufwand erforderlich.

Der Vortrag stellt zuerst kurz vor, worum es sich bei ISO 27000 (evtl. auf Basis von IT-Grundschutz) handelt, und geht danach auf die unterschiedlichen Gründe ein, warum man ein derartiges Projekt in Angriff nehmen muss bzw. sollte.

Herr Heinzmann ist Mitgründer und Mitinhaber der Consulting-Firma "plan42".  Im Bereich der IT-Security ist der Referent als Auditor für den "IT-Grundschutz" (BSI) und "ISO 27001" zertifiziert.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist eine Vorgehensmethodik, die sehr komplex und aufwändig ist;  sie eignet sich deshalb nur für mittlere bis große Organisationen.  Einen Einstieg bietet der allgemein zugängliche Webkurs "IT-Grundschutz".

Daneben stellt das BSI den Leitfaden "IT-Sicherheit" auf Deutsch und Englisch allgemein zur Verfügung.  Es handelt sich dabei um eine leicht verständliche Schrift von ca. 50 Seiten, die kleinen bis mittleren Institutionen mit beschränkten finanziellen und personellen Möglichkeiten helfen soll, die eigene Sicherheit zu verbessern.

Der Vortrag befasst sich mit den existierenden Compliance-Regelungen und deren zum Teil schwierige Umsetzung in der Praxis.

Stichworte hierzu:

• Betriebssysteme laufen weltweit.  Rechtssysteme nur innerhalb ihrer Jurisdiktion.
• Wolken ziehen über Landesgrenzen, Rechtssysteme nicht.

Was bedeutet dies für die Projektarbeit?

Anhand konkreter Beispiele wird gezeigt, wie Datenschutz, Datensicherheit und Compliance zusammenwachsen.

Herr Reiners ist Gründungspartner der Münchner Kanzlei "PRW Rechtsanwälte", die sich auf ausgewählte Gebiete des nationalen und internationalen Wirtschaftsrechts spezialisiert hat;  der Branchenfokus umfasst die Bereiche IT / Medien, Werbung / Marketing, Technologie und Finance.
Der Referent ist außerdem Lehrbeauftragter an der europäischen Privathochschule Munich Business School für das Fach "International Economic Netlaw und E-Commerce" (Wirtschaftsrecht) und Autor diverser Veröffentlichungen zu Gebieten des IT-Rechts.

In seinen Vorträgen bei Konferenzen und Fachkongressen schafft es Herr Reiners, die trockene Materie auch für Nicht-Juristen anschaulich darzustellen und pragmatische Lösungen vorzustellen.

Behandelte Themen:

• Vorgehensweise von Cyber-Kriminellen
• Evasions und Advanced-Evasion-Techniques
• Schwachpunkte bei IPS und NextGeneration-Firewalls
• Schutz von Daten und Anwendungen

Zum Schutz vor Schadsoftware gibt es zahlreiche Lösungen.  "Advanced Evasion Technique" (AET) heißt ein neues Zauberwort, das frei übersetzt in etwa "Fortgeschrittene Tarnung" bedeutet.  Unter den Evasion-Techniken fassen IT-Sicherheitsexperten Methoden zusammen, mit denen sich Attacken auf Netze und Rechner tarnen lassen.

Sicherheitsprobleme, vor allem im Zusammenhang mit Evasions, werden oft von Protokollanwendungen verursacht, die unterschiedlichen Codierungstechniken zu entsprechen versuchen.  Deshalb sollte Sicherheit bereits bei der Protokollentwicklung eine wichtige Rolle spielen, nicht erst danach.  Neue AETs verfügen über höher entwickelte sowie unterschiedlich kombinierbare Methoden, die gleichzeitig über mehrere Protokolle und Layerschichten hinweg agieren.  Dagegen gilt es, sich zu wappnen.

Oder:  "Wie Profihacker IT Security Systeme umgehen"

Der Vortrag beinhaltet eine Live-Demo und veranschaulicht, wie professionelle Hacker beliebigen Schadcode erstellen und installieren.  Mit Hilfe dieser Techniken kann jedes bekannte System (es wurden alle aus dem IPS Gartner Magic Quadrant getestet) einfach umgangen werden und beliebiger Schadcode an ein Zielsystem geschickt werden.  So kann zum Beispiel ein Server oder eine Applikation übernommen, Daten gestohlen oder manipuliert werden ohne dass die Ursache nachverfolgbar wird.

Das Münchner Wissenschaftsnetz (MWN) bindet die mehr als 80.000 (!) Endsysteme der Müncher Hochschulen und vieler Forschungseinrichtungen aus dem Münchner Raum an das X-WiN des deutschen Forschungsnetzes und damit an das Internet an.

Im Gegensatz zu Firmennetzen sind Hochschulnetze wie das MWN meist relativ offen, um Forschung & Lehre möglichst wenig zu behindern.  Außerdem ist der Sicherheitszustand der Rechner, die an das MWN angeschlossen sind, sehr unterschiedlich.  Als Folge bleibt es leider nicht aus, dass im MWN zu jedem beliebigen Zeitpunkt viele Endsysteme kompromittiert sind, wie die Statistik der Abuse-Fälle zeigt.

Das Leibniz-Rechenzentrum (LRZ) ist als Betreiber des MWN verpflichtet, auch auf die Sicherheit des MWN zu achten.  Nach einem Überblick über das Sicherheitsumfeld des MWN stellt der Vortrag die Sicherheitsdienste des LRZ vor:

• Zentrale Maßnahmen, die vom LRZ selbst betrieben werden
• Die LRZ-Kunden können durch unterstützende Dienste die Sicherheit der eigenen Rechner verbessern.

Herr Bötsch befasst sich am LRZ u.a. mit folgenden Sicherheitsaspekten:

• Bearbeitung von Abuse-Fällen
• UNIX-Systemsicherheit
• Ausbildung auf dem Gebiet "Security":
  • Einführung in die System- und Internet-Sicherheit.
  • Schattenseiten des Internet  —  Praktische Tipps zur Vermeidung von Gefahren.
    Auf Wunsch auch vor Ort
  • System- und Netz-Sicherheit für UNIX-Systemverwalter.

Die Anforderungen an einen Web-Auftritt haben sich in den letzten Jahren erheblich geändert.  Grund dafür sind vor allem die rasanten technologischen Entwicklungen, die eine Vielzahl neuer Möglichkeiten für den Einsatz im Internet bereitstellen.  Zudem fordern die Nutzer einer Website immer weitreichendere Interaktionen zum Austausch von Informationen.  Die funktionale Bereitstellung entsprechender Technologien, zur Erfüllung der Anforderungen der Nutzer, erstreckt sich von Methoden des Web 2.0 über mobile Websites bis hin zu Apps.

Die Folge sind steigende Herausforderungen an einen heutigen Webauftritt.
Hierzu gehören eine ständige Verfügbarkeit, eine hohe Flexibilität, hohe Sicherheits-Standards und eine einfache Bedienbarkeit der Website.

Die Cloud bietet hier zahlreiche und wirtschaftlich attraktive Möglichkeiten, um den Herausforderungen entgegenzutreten.
So z.B. die Verwendung von dynamischen Entwicklungsumgebungen zur Umsetzung eines Webauftrittes und "Software as a Service" zur Bereitstellung der Online-Angebote.

Der Vortrag zeigt richtungweisende Entwicklungen des Internets sowie eine Methode zur Planung von Internet-Projekten.
Anhand eines Praxisbeispiels werden die Vorteile der Cloud dargestellt und skizziert, um zu verdeutlichen, wie ein Web-Relaunch mit Hilfe entsprechender Cloud-Lösungen erfolgreich umgesetzt werden kann.

Das GIDS-Projekt hat die Entwicklung, Projektierung und Inbetriebnahme eines Grid Intrusion Detection Systems (GIDS) sowie die Überführung des GIDS in den D-Grid Produktionsbetrieb zum Ziel.  Hierbei gilt es, soweit wie möglich bestehende Ansätze zu integrieren und ein domänen- und organisationsübergreifendes Gesamtsystem zu entwickeln.  Insbesondere die Fähigkeit mit Virtuellen Organisationen (VO) umzugehen und diese auch als Kunden in Betracht zu ziehen, ist dabei von entscheidender Bedeutung.

Die Grundidee ist es, Angriffe durch die kooperative Nutzung und Auswertung von lokalen Sicherheitssystemen zu erkennen.  Dazu ist der Austausch von Angriffsdaten und somit deren datenschutzkonforme Aufarbeitung, auch zur Wahrung individuell bestehender Sicherheits- und Informationsverbreitungsrichtlinien, notwendig.

In einem kooperativen IDS besteht die Möglichkeit, Angriffe schneller zu erkennen als dies mit unabhängigen und nur die lokale Sicht berücksichtigenden Sicherheitssystemen möglich ist.  Somit kann eine Verkürzung der Reaktionszeit der beteiligten Parteien erzielt werden. Weiter können Vorwarnungen, an zum Zeitpunkt der Erkennung eines Angriffs noch nicht betroffenen Parteien, herausgegeben sowie ggf. präventive Gegenmaßnahmen ergriffen werden.

Der Vortrag skizziert, an welche rechtlichen und organisatorischen Grenzen die Entwicklung und der Betrieb eines kooperativen Intrusion Detection Systems führen kann und gibt einen Überblick über die im Projekt verwendete Architektur.

Wenn man einen privaten PC oder einen Arbeitsplatzrechner in einer Büro- bzw. Institutsumgebung betreibt, muss man sich meist nur um den Internet-Anschluss Gedanken machen.

In einer Rechenzentrumsumgebung gibt es darüber hinaus noch weitere Anforderungen an die Infrastruktur:

• Stellplatz
• Stromversorgung
• Art und Umfang der Kühlung
• Aufbereitung der Raumluft:  Filterung des Staubs und eine gleichbleibende geeignete Luftfeuchtigkeit
• Feuerschutzeinrichtungen
• Zugangskontrolle
• ...

Der Betrieb von "Petaflops" und "Petabytes" erfordert modernste Infrastruktur-Technik, einen massiven Einsatz von "Hardware" und die Versorgung (und Kühlung) im Megawatt-Bereich.  Ein einleitender Vortrag und eine anschließende Führung durch Rechner-Räume des LRZ sollen dies begreiflich machen.

Supercomputer findet man nicht beim Computer-Laden um die Ecke in einem Regal.  Supercomputer kann man sich nicht einfach mit einem Online-Konfigurator eines Herstellers zusammenstellen.  Supercomputer werden auch nicht schlüsselfertig angeliefert.

Ab einer bestimmten Leistungsklasse wird jeder Supercomputer individuell zusammengestellt und in dieser Form meist auch nur einmal ausgeliefert.  Bei wirklich großen Systemen sind in der Regel auch noch bauliche Änderungen notwendig, um die erforderliche Infrastruktur bereitzustellen:  Standfläche, Stromversorgung, Kühlung, Aufbereitung der Luft, Brandschutz, physische Sicherung / Zugangs-Schutz, ...

Herr Bader erklärt am Beispiel des neuen "SuperMUC", warum die Beschaffung und Inbetriebnahme eines großen Supercomputers ein Großprojekt ist, ...

• bei dem viele Personen mitarbeiten müssen.
• das einen langen zeitlichen Vorlauf benötigt.
• das sehr viel Arbeit kostet (> 1 Personenjahr).

Dr. Reinhold Bader ist seit 1999 wissenschaftlicher Mitarbeiter am Leibniz-Rechenzentrum;  in der Gruppe Hochleistungsrechnen ist er verantwortlich für die Nutzerunterstützung auf Clustern und Supercomputern sowie für Kurse im Bereich des wissenschaftlichen Rechnens.  Seit einigen Jahren ist er Mitglied der deutschen Delegation zur internationalen Arbeitsgruppe WG5, die für den Standardisierungsprozess der Programmiersprache Fortran verantwortlich ist.

Sie sind in jedem Unternehmen zuhauf vertreten.
Heutige Druck- und Multifunktionssysteme sind weit mehr als nur einfache Ausgabegeräte.  Sie verfügen über Netzwerkschnittstellen, Arbeitsspeicher sowie Prozessoren und werden in der Regel über einen integrierten Webserver administriert.

Bei Sicherheitskonzepten spielen diese Geräte dennoch häufig keine oder nur eine untergeordnete Rolle.  In vielen Netzwerken versehen Netzwerkdrucker mit integriertem Print-Server ihren Dienst völlig ungesichert.  In Zeiten des Daten und Informationsklaus ein Fehler.

Diese Geräte stellen ein Sicherheitsrisiko dar, denn die meisten Angriffe auf Daten passieren innerhalb eines Unternehmens.  Wir zeigen die Lücken und geben Tipps für eine sichere Druckerkonfiguration.

Supercomputer auf Basis von x86 Hardware sind die Zukunft!  So deutet es jedenfalls ein Blick auf die vergangenen Top500 Listen an.

x86 ist eine bekannte und ebenso etablierte Basis für HPC (High Performance Computing) Cluster.  Jedoch birgt der Ansatz mit konventionaler Hardware auch Schwierigkeiten, die insbesondere in großen Umgebungen schnell Grenzen aufzeigen.

Der Vortrag schildert die Entwicklung von Supercomputern im Allgemeinen, der x86 Prozessoren und übriger Hardware über die letzten Jahre und zeigt an einem aktuellen Beispiel, wie moderne x86 Supercomputer aufgebaut sind.

Moderne Rechner haben immer mehr Prozessoren und verbrauchen mehr Strom.  Am Beispiel des geplanten Supercomputers "SuperMUC" am Leibniz-Rechenzentrum wird aufgezeigt, welche Methoden zur Verbesserung der Energie-Effizienz möglich sind und welchen Nutzen sie haben.

Identity- & Access-Management (I&AM) bezeichnet eine Weiterentwicklung der herkömmlichen verzeichnisdienst-basierten Benutzerverwaltung, die sich stark an den eigentlich zu unterstützenden Geschäftsprozessen orientiert und die Integration einer Vielzahl heterogener Dienste ermöglicht.

Im Vortrag werden die Komponenten von I&AM-Architekturen vorgestellt und anhand der aktuellen Entwicklungen in der Münchner Hochschullandschaft veranschaulicht.  Über das lokale I&AM hinaus werden Technologien zum organisationsübergreifenden Identity Management und ihre Bedeutung für Forschung und Lehre dargestellt.

« Die Kurzfassung steht noch nicht fest. »

Die Präsentation gibt einen Überblick, welche Herausforderungen sich aus Sicht der Informationssicherheit bei der Einführung von IPv6 ergeben:

• Wo greifen bestehende und bekannte Sicherheitsmechanismen?
• Wo müssen bestehende Sicherheitsmechanismen überdacht und angepasst werden?
• Wo sind neue Lösungsansätze erforderlich?
• Wie kann heute eine sichere Einführung im Unternehmen aussehen?

Herr Alexander Pilger ist seit 20 Jahren in unterschiedlichen Aufgabenfeldern in der IT tätig.  Mit IPv6 kam er bereits 1996 in intensiven Kontakt.
Er arbeitete an der IPv6 Standardisierung und an Evaluierungen von IPv6 für den Mobilfunk mit.  Heute berät er als Consultant für Informationssicherheit bei der Controlware GmbH Unternehmen unterschiedlicher Größe aus den verschiedensten Branchen.
Zu seinen Schwerpunkten zählt insbesondere die Konzeption von IT-Sicherheitslösungen für komplexe IT-Infrastrukturen – angefangen bei Unternehmenskopplungen über die Anbindung mobiler Nutzer bis hin zum Sicherheitsdesign für RZ-Infrastrukturen.
In diesem Zusammenhang untersucht er Lösungsansätze, um IPv6 in Unternehmen so einzuführen, dass das bestehende Sicherheitsniveau auf technischer und organisatorischer Ebene erhalten bleibt bzw. sogar gesteigert werden kann.

« Die Kurzfassung steht noch nicht fest. »

Das Thema IT-Sicherheit, Schutz persönlicher Daten und der Privatsphäre ist stetig in der Presse und den Medien zu finden.  Auf das Thema Wirtschaftsspionage trifft man seltener, doch steckt gerade für innovative kleinere und mittelständische Unternehmen – aber auch den "großen" – hier ein hohes Gefahrenpotential, das schnell übersehen wird.

In dem Vortrag erfahren Sie anhand anschaulicher Beispiele Wissenswertes über die Methoden der Angreifer und werden gleichzeitig über Lösungsmöglichkeiten informiert.  Wer betreibt Spionage, welche Betriebsgeheimnisse sind von besonderem Interesse u.v.m. sind weitere wichtige Fragen, die behandelt werden.

Die Entwicklung von Schutzkonzepten ist ein wesentliches Element der Abwehr von Angriffen.  So reichen herkömmliche Sicherheitsstandards, wie Firewall und Antivirenschutz, im Hinblick auf die heutige Vernetzung und Schnittstellenvielfalt nicht mehr.  Das Schlagwort lautet "Informationsbezogene Sicherheit" und wird als Strategie zum Know-how-Schutz diskutiert.

« Die Kurzfassung steht noch nicht fest. »