Sicherheits-Tag 2018

Phishing ist das wichtigste Einfallstor für Schadsoftware und überhaupt Schaden aller Art.  Bei mehr als 90% aller erfolgreichen Cyber-Angriffe war eine Phishing-Email das wichtigste Werkzeug des Angreifers.

Tatsächlich fallen Nutzer selbst auf die einfachsten Phishing-Emails herein.  Viele Techniker und Sicherheitsexperten sind deswegen verwirrt, wissen nicht, wie sie reagieren sollen und kommen zur Meinung, dass Benutzer nicht in der Lage sind die nötigen Sicherheitsaufgaben zu erledigen und die richtigen Entscheidungen zu treffen.  Sie neigen dazu, den Benutzer als "Weakest Link" als dauerhaft inkompetent anzusehen und beschäftigen sich lieber mit technischen Lösungen als mit der Härtung der "Human Firewall".

Das Diktum von Kevin Mitnick aus dem Jahr 2000 gilt auch heute noch:  » Companies spend millions of dollars on firewalls and secure access devices, and it's money wasted because none of these measures address the weakest link in the security chain:  The people who use, administer and operate computer systems. «

Der Vortrag zeigt, dass es auch anders geht.  Er behandelt dabei diese Themen:

• Cyber-Biologie des Phishing:  Arten, Lebensweise, Vorkommen
• Phishen lernen:  Die besten Tipps und Ideen für Anfänger und Fortgeschrittene
• Warum gute Menschen schlechte Entscheidungen treffen
• Angriff ist die beste Verteidigung:  Live Phishing Training

Trotz maßgeblicher Weiterentwicklungen in den Entwicklungsverfahren für Software, bleibt diese für den Web- und Mobilgebrauch immer noch unsicher.  Gleichzeitig steigen durch die erhöhte Intensität der Nutzung von Verbraucher- und Unternehmensinformationen, welche von Softwareanwendungen verarbeitet werden, Datenschutz- und Sicherheitsbedenken.

Um diesen Herausforderungen entgegenzutreten, greifen Unternehmen vermehrt auf externe und unabhängig arbeitende Sicherheitsforscher zurück, die über sog. "Bug-Bounty Programme" ihre Anstrengungen bündeln, Sicherheitsschwachstellen aufzudecken.  Erst vor kurzem sind nun auch kommerzielle Bug-Bounty Plattformen gegründet worden (bspw. HackerOne, BugCrowd, Cobalt, Wooyun), welchen Unternehmen und andere Organisationen erfolgreich bei der Einführung und dem Management von Bug-Bounty-Programmen unterstützen.  Um nur eine Erfolgsgeschichte zu nennen:  Auf der Plattform HackerOne konnten über 40.000 Sicherheitslücken, die Hunderte von Organisationen betrafen, aufgedeckt und behoben werden.

Dieser Vortrag zeigt die Ergebnisse unserer Forschungsarbeit auf, die sich in den letzten drei Jahren systematisch mit diesen Plattformen auseinandergesetzt hat.  Ein besonderes Augenmerk wird dabei auf empirische Ergebnisse gelegt, die die steigende Beliebtheit und praktische Bedeutsamkeit von zwei Plattformen, HackerOne und Wooyun, aufzeigen.  Die Daten zeigen aber auch einige ökonomische und organisatorische Herausforderungen auf, die den Erfolg der Plattformen in der Zukunft einschränken könnten.

Prof. Jens Grossklags, Ph.D., ist Associate Professor an der Technischen Universität München und leitet die Professur für Cyber Trust an der Fakultät für Informatik.  Seine Forschungsprojekte sind interdisziplinär orientiert und verbinden ökonomische, verhaltenswissenschaftliche und technische Aspekte in den Bereichen Sicherheit und Privatsphäre.  Prof. Grossklags forschte für seine Dissertation an der University of California, Berkeley.  Dort erhielt er auch Mastersabschlüsse in Computer Science und Information Management and Systems.  Er arbeite danach als Postdoc an der Princeton University am Center for Information Technology Policy und als Professor an der Pennsylvania State University.

Der Vortrag behandelt u.a. die folgenden Themen:

• Die Medien-Nutzung und die Digitalisierung
• Big Data und die Profil-Erstellung
• Die aktuelle Maschen der Hacker im Bereich Cyber-Crime
• Sicherheit und die Maßnahmen

Schwachstellen und Sicherheitsschwankungen gibt es sowohl in Software als auch in der Hardware wie Sand am Meer.  Es vergeht kaum eine Woche, in der nicht ein schwerwiegendes Sicherheitsproblem entdeckt wird.  Unabhängig von den teilweise verheerenden Auswirkungen lassen sich die Probleme jedoch meistens mit relativ geringem Aufwand beheben oder zumindest eindämmen.  Angriffe wie Heartbleed oder Poodle machen es den Administratoren von Systemen manchmal schwer, allerdings ist meist eine Lösung in Aussicht.

Anfang des Jahres wurden allerdings zwei Sicherheitslücken in allen modernen Prozessoren bekannt, die seit den letzten zehn Jahren im Großteil der verwendeten Computer verbaut sind.  Die Hersteller taten sich nicht nur schwer, die Lücken zuzugeben – die Fehler sind nicht einfach behebbar, auch auf Ebene der Hersteller von Betriebssystemen konnten die Lücken nicht geschlossen werden.  Schnell kochte das Thema in den Medien hoch und viele berichteten von den Sicherheitslücken mit den schönen Logos.

Dieser Vortrag soll die Schwachstellen auf eine verständliche Art und Weise erklären, und versucht sie Inhaltlich einzuordnen.

Thomas Kittel ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Sicherheit in der Informatik an der Technischen Universität München.  Neben der Ausbildung von Informatik Studenten im Bereich IT Sicherheit beschäftigt er sich dort mit der Sicherheit und Integrität von Betriebssystemen und Software.

In seiner Freizeit beschäftigt sich der Referent stark mit den Themen Privatsphäre und Überwachung durch private Unternehmen und staatliche Stellen im Internet.  Das Thema Sicherheit ist ihm auf allen Ebenen wichtig – vom sicheren Entwurf neuer Systeme über das sichere Programmieren bis hin zum Finden und Beheben von Schwachstellen in der Software.

Passwörter teilen?
Eigentlich ein No-Go, denn Passwörter sind vertraulich.

Dieses Gebot geht aber an der täglichen Praxis vorbei.  Erfahren Sie in diesem kurzweiligen Vortrag Antworten auf Fragen wie:

• Weshalb gibt es überhaupt Passwörter?
• Wie sieht ein starkes Passwort aus und wie wird es kreiert?
• Welche Passwörter darf man teilen und wie kann man das auf sichere Art und Weise tun?

Softwarebasierte Netze stellen den aktuellen Stand der Technik in der Vernetzung von IT-Ressourcen dar und werden auf Basis herkömmlicher hardwarebasierter Infrastrukturen definiert.  Bereits heute sind sie zentraler Bestandteil des Alltags eines jeden Internetnutzers und bilden, im Hintergrund verborgen, die technische Basis für das Funktionieren vieler Internetdienste.  Durch die Integration verschiedener Paradigmen und Konzepte wie Software-Defined Networking (SDN), Network Function Virtualization (NFV) und Netz- und Systemvirtualisierung entstehen so hochdynamische Netze, die durch klassische Ansätze im Netzsicherheitsmanagement kaum bzw. gar nicht gehandhabt werden können.  Andererseits bieten sie eine Plattform für neue, deutlich effizientere Umsetzungen.

In diesem Vortrag wird der Einsatz softwarebasierter Netze im Alltag aufgezeigt, Charakteristika im Vergleich zu herkömmlichen hardwarebasierten Netzen herausgearbeitet und Chancen sowie Herausforderungen für die Umsetzung eines Netzsicherheitsmanagements erläutert.

Michael Steinke promoviert an der Universität der Bundeswehr München am Lehrstuhl für IT-Sicherheit von Software und Daten.  Sein aktuelles Forschungsgebiet umfasst die Sicherheit in modernen Netz- und IT-Service-Infrastrukturen sowie Methoden und Techniken zum integrierten Netzsicherheitsmanagement.  Er absolvierte ein Studium der Informatik (Bachelor und Master) an der Ludwig-Maximilians-Universität München.

Frank von Stetten zeigt in Beispielen und spannenden Live-Demos, wie Unternehmen heute angegriffen werden:  Sowohl durch Ausnutzung des "Faktor Mensch" als auch Schwachstellen in Systemen.

Er erklärt, wie sich Security Strategien durch die aktuelle Bedrohungslage ändern und wie sich Unternehmen heute im Thema Security aufstellen.

Zusätzlich wirft er noch einen Blick auf die Hype-Themen "Digitalisierung" und "Internet of Things" und welche Herausforderungen dadurch für IT- und Security-Spezialisten entstehen.

Frank v. Stetten ist Mitgründer und Senior Consultant der HvS-Consulting AG aus München.  Seit über 15 Jahren berät er mittelständische Unternehmen und große Konzerne im Bereich Informationssicherheit und Datenschutz, speziell in der Prävention vor Industriespionage und Sensibilisierung von Mitarbeitern und Führungskräften.

Nebenbei betätigt er sich seit Jahren als professioneller Spion und führt regelmäßig simulierte Industriespionage-Angriffe auf Unternehmen durch.  Dies allerdings ausschließlich mit offiziellem Kundenauftrag auf der "guten Seite der Macht".  Aus diesem Erfahrungsschatz berichtet er mit zahlreichen spannenden Demos.