D l A l CH Security. Hochschule Bonn-Rhein-Sieg l Campus St. Augustin 8. und 9. September 2015

Transkript

1 Gemeinsame rbeitskonferenz: GI BITKOM OCG SI TeeTrusT D CH Security Hochschue Bonn-Rhein-Sieg Campus St. ugustin 8. und 9. September 2015 ktuee Informationen:

2 Dienstag 8. September Uhr Registrierung, Kaffee und Tee Uhr Begrüßung und Überbick Coud & Big Data Leitung: K.-D. Wofenstetter Uhr Sicherheitsanayse der Private Coud Interfaces von openqrm D. Fesch Vortei von Private Couds gegenüber Pubic Couds? F. Schuz Standards und Umsetzung J. Schwenk XSS, CSRF und SQLi Ruhr-Uni Bochum Einfuss von Schwachsteen in den Schnittsteen auf den Workfow Interface-übergreifende Lücken Uhr Benutzerfreundiche Verschüsseung für Coud-Datenbanken L. Wiese Der Wunsch nach Datenverwatung durch Coud-Datenbanken steigt T. Waage Eine nforderung sind mögichst hohe Sicherheitsgarantien Universität Göttingen Eine weitere nforderung ist effiziente Datenverwatung in der Coud Durchsuchbare, ordnungsbewahrende und homomorphe Verschüsseung Proxy-Cient zwischen Benutzer und Couddatenbank Uhr Themis Sicheres Vererben in der Coud. Lindey, M. Bartha Verschwommene Grenzen des Besitztums und Kontroe über Coud-Inhate IT Backups ersteen und teien mit der Themis Security-First rchitektur W. Eibner Umsetzung des Easticsearch Index-Per-User Modes und Impikationen X-Net Services GmbH Deine Daten in deiner Hand: Themis mit PGP Verschüsseung S. Pimminger Themis Generationenbackup und juristisch geregeter Nachass-Workfow FH OÖ Uhr Kommunikationspause Identifikation & Biometrie Leitung: U. Korte Uhr SkIDentity Mobie eid as a Service M. Tuengertha et a. Eektronische usweise vermeiden Identitätsdiebstah und Missbrauch ecsec GmbH beitung von Coud Identitäten aus eektronischen usweisen Coud Identitäten für Smartphones und mobien Einsatz Porta ermögicht effiziente eid-integration mit wenigen Mauskicks Verschüsseung, eektronische Signatur und mehr Uhr Eektronische Identifizierung und vertrauenswürdige Dienste N. Buchmann Mit eids zu Privatsphäre-konformen Bankentransaktionen H. Baier Vertrauenswürdige Transaktionen für den Euro-Zahungsverkehrsraum HS Darmstadt Erweiterung von eids um biometrisch authentisierte Transaktionen Verbesserter Benutzerkomfort und Vertrauen für ebanking Datenschutz und Privatsphäre-konforme biometrische Technoogien Uhr BioMe Kontinuieriche uthentifikation mittes Smartphone M. Temper Biometrische uthentifizierung anhand von Touchgesten bei Smartphones M. Kaiser Mögichkeiten und Herausforderungen bei der Datenaufnahme FH St. Pöten Kassifikation von Touchgesten Ersteung eines Scoring Systems zum Erkennen von BenutzerInnen usbick und weitere Entwickung Uhr Gemeinsame Mittagspause

3 Dienstag 8. September 2015 Datenschutz & Signaturen Leitung: G. Jacobson Uhr Ersetzendes Scannen und Beweiswerterhatung S. Schwam Beweiswerterhatung mit SP BearingPoint GmbH Ersetzendes Scannen U. Korte Eektronische Vertrauensdienste BSI BSI-TR (TR-RESISCN) D. Hühnein BSI-TR (TR-ESOR) ecsec GmbH Uhr Informationee Sebstbestimmung auch auf der Straße S. Kroschwad Die Vernetzung der Mobiität auf der Straße in eine vernetzte Wet Porsche G Informationee Sebstbestimmung bei der Fahrzeugvernetzung Datenschutz as Showstopper in der modernen Verkehrsinfrastruktur? Zukünftige Herausforderungen eines gobaen Datenschutz(-rechts) Datenschutztechnik und Recht eine ianz im Fahrzeug Uhr Nachweisbarkeit in Smart Grids auf Basis von XML-Signaturen C. Ruand Sicherheitsanforderungen für Smart Grids J. Saßmannshausen Übersicht über IEC und Smart Grid Security Standards Uni Siegen Sicherheitsprobeme Sicherheitsösung für MMS Einbindung von XML-Signaturen Studentische bschussarbeiten Leitung: M. Umann B Uhr nayse und Simuation dynamischer RBC-Zugriffssteuerungsmodee M. Schege Roenbasierte Zugriffssteuerung in IT-Systemen (RBC) TU Imenau Modeierung dynamischen Verhatens nayse dynamischer Rechteausbreitungen Werkzeuggestützte nayse und Simuation dynamischer RBC-Modee Evauierung der praktischen Machbarkeit Uhr Binde Turingmaschinen M. Brodbeck Verarbeitung verschüsseter Daten mit Binden Turingmaschinen U Kagenfurt Funktionsweise von Binden Turingmaschinen nwendung des Prinzips auf verschüsseten ssember-code Sicherheitsprobeme und ngriffsmögichkeiten Gegenmaßnahmen zur bsicherung Uhr Industrie 4.0 und deren Umsetzung.-C. Ritter Vier grundegende Veränderungen für Unternehmen TU München & Teekommunikationsbranche as Vorreiter der Industrie 4.0 Hasehorst Strategische Umsetzung mit Hife der Enterprise rchitecture ssociates GmbH Standardisierung as größte Herausforderung von Industrie 4.0 Datensicherheit Die Roe von Open Innovation und Open Source Uhr Kommunikationspause

4 Dienstag 8. September 2015 Risikoanayse, Sicherheitsmodee & Zertifizierung Leitung: B. Mester Uhr IKT-Risikoanayse am Beispie PT S. Schauer et a. Meta-Risiko-Mode für kritische Infrastrukturen IT Graphenbasiertes Risiko-Mode Identifikation von Sicherheitsücken über Organisationsbereiche dvanced Persistent Threats (PT) Risikomanagement Uhr Zertifizierung nach VdS 3473 U. Greveer Richtinie für den Mittestand HS Rhein Waa Bindegied zwischen udit und Erangung eines ISO Zertifikats R. Reinermann Unterteiung in kritische und unkritische Systeme VdS GmbH Wichtige Einzeaspekte im Überbick M. Semmer Vorgehensmode bis zur Zertifizierung Mark Semmer GmbH Uhr Das KIR Security-Mode. Nonnengart Sicherheitsinfrastrukturen W. Stephan Sichere Middeware P. Susaek Sicherheitspoitiken D. Rubinstein Informationsfuss DFKI Security-by-Design Uhr eheath Zertifizierungskonzept für Kartengeneration G2 S. Pinge Neugestatung der Sicherheitszertifizierung von eheath-karten BSI Schanke, effiziente, transparente und fexibe Prozesse Zertifizierung der Karten-Pattform nach Common Criteria Zertifizierung der Karten-Produkte nach Technischer Richtinie ktueer Sachstand der Umsetzung des Zertifizierungskonzepts CS WORKSHOP Leitung: I. Münch B Uhr Vertrauichkeitsschutz durch Verschüsseung M. Stöwer Wirtschaftsspionage as gravierendes IT-Risiko auch für KMU T. Rubinstein Verschüsseung as wichtigste Maßnahme zum Schutz der Informationsbestände Fraunhofer SIT Eemente einer risikoorientierten nwendung von Verschüsseung ufbau einer Verschüsseungsarchitektur für KMU Vorsteung einer aientaugichen Lösung für Nutzer in KMU Uhr Software-Whiteisting mit Microsoft pplocker M. Reuter Grundagen des Software-Whiteisting D. Loevenich nwendungsszenarien M. Umann Microsoft pplocker HS Bonn-Rhein-Sieg Schwachsteenanayse Handungsempfehungen Uhr Den Erfog von Sicherheitsmaßnahmen messen ein Praxisansatz R. Schumann Investitionen in IT-Sicherheit rechtfertigen aber wie? rt-soutions.de GmbH Herausforderung: Entwickung eines Kennzahensystems N. Nage Kompexität reduzieren durch Risikoszenarien Kennzahen entwicken mit kombiniertem Top-Down- und Bottom-up-nsatz Handungsfähigkeit gewinnen durch ebenengerechtes Lagebid Uhr ISMS-Notfa (IT-Notfamanagement) H. Huber Schnee Initiaumsetzung und geringe Kosten, Mittestandsösung J. Schmaz GmbH Notfavorsorge nach BSI-Grundschutzkataog (100-4) Faktor Mensch: Einsicht ist wichtigster Faktor für kzeptanz und Erfog Voe Integration des IT-Notfamanagements in die tägiche rbeit Quaitätsgesicherte Freigabeprozesse mit Eskaationsstufen Uhr Ende erster Konferenztag Gemeinsames bendessen

5 Mittwoch 9. September 2015 Mobie Security & Chipkarten Leitung: M. Spreizenbarth Uhr Kryptografisches Zugriffskontrosystem für mobie Endgeräte E. Pier nforderungen bei Smartphones und Tabets FH St. Pöten Verfügbare Lösungen, Neuartigkeit der eigenen Lösung. Westfed Effektives Schüssemanagement HTW Dresden Sicheres und benutzerfreundiches Backup kryptographischer Schüsse Prototyp (pp) für vertrauiche Datenspeicherung in einer Coud Uhr Sicherheitsanforderung an Messenger pps T. Bötner Wie mobie Messenger das Kommunikationsverhaten verändern H. Poh Sicherheitsücken in mobien Messengern softscheck GmbH Sicherheitsanforderungen an mobie Messenger M. Umann Evauation ausgewähter Messenger BSI usbick und weitere Entwickungen Uhr Mobie Devices in Unternehmen mit erhöhtem Security-Bedarf S. Schauer et a. Sichere Kommunikation von Daten auf mobien Endgeräten IT Sicherheitsarchitekturen von mobien Pattformen Benutzer- und Schüssemanagement auf mobien Pattformen Mechanismen zur Zugriffskontroe und pp Wrapping Mobie Device Management Uhr Offene Software-rchitektur für moderne Smartcards P. Wendand Strikte Lizenzbedingungen häufiges Hindernis für Smartcard-Einsatz M. Roßberg OpenSC-Unterstützung unter Linux nur durch individuee Kartentreiber G. Schäfer nsatz: Generisches JavaCard-ppet mit generischer OpenSC-Integration TU Imenau ISO-7816-basierte Schnittstee Fexibes Dateisystem durch Objektorientierung SECMGT WORKSHOP Leitung: B. Witt B Uhr IT-Risiko-Check J. Stocker Informationssicherheit in mitteständischen Unternehmen HS bstadt-sigmaringen Ganzheitiches Risikomanagement in der Informationssicherheit J. Jürjens Identifizierung und Wissen um geschäftskritische Prozesse TU Dortmund Verfahren zur Risikobewertung mittes Schwachsteen und Gefährdungen S. Wenze Status der Risikoage hinsichtich Informationssicherheit Fraunhofer ISST Uhr Schatten-IT Schatten-IT beschreibt im Fachbereich autonom entwickete Systeme Reevanz wird oftmas unterschätzt IT-Sicherheit wird nur wenig betrachtet Schatten-IT unteräuft die Kontrosysteme Bessere wareness und Management sind notwendig C. Rentrop S. Zimmermann M. Huber HTWG Konstanz Uhr Kommunikationspause

6 Mittwoch 9. September 2015 Web - & Netzwerksicherheit Leitung: R. Szerwinski Uhr Dynamische Trackererkennung im Web durch Sandbox-Verfahren T. Wambach Überbick von aktiven Trackingverfahren im Web Uni Kobenz-Landau Grenzen aktueer Toos zum Sebstschutz Vorsteung der Sandbox as Messinstrument von Web-Tracking nayse von Trackingverfahren auf Webseiten durch die Sandbox Evauierung Uhr Netzwerksicherheit mit probabiistischen ngriffsgraphen. Schmitz Ziegerichtete ngriffe steen aktue für Firmen große Bedrohungen dar Fraunhofer ISST ngreifer bewegen sich in mehreren Schritten durch Firmen-Netzwerke H. Pettenpoh utomatische nayse der Netzwerke auf Schwachsteen und ngriffspfade TU Dortmund Weitestgehende automatische Vorschäge für bsicherung Probabiistische Berücksichtigung von unbekannten Schwachsteen Uhr ktuee Probeme und Potentiae von Web-pp Scannern M.Schneck Schwachsteenerkennung in Web-ppikationen Fraunhofer SIT Entwickung einer Infrastruktur zur nayse von Web-pp Scannern M. Umann Entwickung einer unsicheren Web-ppikation BSI Evauation frei erhäticher Web-pp Scanner K. Lemke-Rust nayse mögicher Verbesserungspotentiae HS Bonn-Rhein-Sieg Security Incident & Event Management Leitung: R. Weter B Uhr Inteigentes Monitoring der IT-Sicherheit durch SIEM-Einsatz K.O. Detken Einführung in SIEM Decoit GmbH SIEM-rchitektur des imonitor-projektes C. Efers Zeitreihenbasierte nomaie-erkennung neusta GmbH Erkennung von Vorfavariationen durch KI-Nutzung M. Humann Ein nwendungsfabeispie Uni Bremen Uhr Incident Response im SIEM-Kontext Ein Erfahrungsbericht D. Mahrenhoz Erfogreiche ngreifer erreichen meist innerhab von 24 Stunden ihr Zie rt-soutions.de GmbH Ein SIEM-System eraubt, ngriffe in nahezu Echtzeit zu erkennen Eine zeitnahe Behandung ermögicht eine effektive Schadensreduktion Geeignete Prozessgestatung reduziert den Personabedarf signifikant utomatisierung kann die Incident Response effektiv unterstützen Uhr ndroid in SIEM-Umgebungen M. Schöze Monitoring von Smartphones und Tabets in SIEM-Umgebungen? E. Eren Einbindung in Icinga- und TNC IF-MP-basierte Lösungen FH Dortmund Zustandsbewertung durch Metadaten und Events K.O. Detken Umsetzung und Impementierung (DECOmap for ndroid) Decoit GmbH Einsatz in SIEM-Projekten und usbick Uhr Gemeinsame Mittagspause

7 Mittwoch 9. September 2015 ngriff & bwehr Leitung: K. Knorr Uhr Forensische Sicherung von DSL-Routern H. Hoefken Entwickung von Methoden zur Systemanayse von DSL-Routern S. Braun Ermittung von forensisch reevanten Hard- und Softwarekomponenten M. Schuba Kommunikation mit dem DSL-Router JTG und URT FH achen Weches Gerät iegt vor Bootoader- und Betriebssystemanayse M. Breuer Einfache Mögichkeiten zur nfertigung von forensischen Sicherungen LK NRW Uhr Bedrohungsage von SP Systemen durch BP Eigenentwickungen. Wiegenstein Übersicht über die kritischsten BP Risiken Virtua Forge GmbH Statistische Datenbasis von über 200 Unternehmen wetweit Vorsteung der BIZEC PP/11 und der BSI Top 20 BP Risiken Live-Demonstration ausgewähter BP Risiken Praxisbezogene Empfehungen für die sichere Entwickung mit BP Uhr Schutz eingebetteter Systeme gegen physische ngriffe J. Bauer IoT-Protokoe wie LWM2M nutzen DTLS-PSK as Security-Layer Bosch Software Schüsse sind im Fash aber nicht vor physischen ngriffen geschützt Innovations GmbH Hardware-Security-Modue bieten Schutz F. Freiing Schnittsteen und Mechanismen verfügbarer HSM sind aber proprietär Uni Erangen Integration socher HS-Modue in DTLS ohne Protokoänderungen Nürnberg Uhr Kommunikationspause Internet of Things & utomatisierung Leitung: H. Storck Uhr utorisierungsmanagement für das Internet of Things S. Gerdes Sichersteen von Integrität und Vertrauichkeit im Internet der Dinge O. Bergmann Besondere nforderungen durch die Einsatzszenarien von Smart Objects Uni Bremen utonome Umsetzung von utorisierungsentscheidungen durch die Geräte R. Hummen Dynamischer Wechse der Entscheider von utorisierungsregen RWTH achen Maßnahmen zum Schutz der utorisierungsübergänge im Geräteebenszykus Uhr OPC U vs. MTConnect Sicherheit von Standards für Industrie 4.0 D. Fuhr Webservice- vs. Webtechnoogien für M2M-Kommunikation HiSoutions G Weche Sicherheit für die utomatisierung? Schwachsteen und Risiken in den Standards im Vergeich Was macht einen guten Standard aus? Lessons earned für sichere Industrie Uhr BCtag Data Leakage Protection für Gebäude E. M. nhaus Data Leakage in der Gebäudeautomation as Gefahr FU Hagen BCnet as Referenzprotoko für die Untersuchung von DLP S. Wendze Vorsteung eines nsatzes für ein Pus an Sicherheit Fraunhofer FKIE Fiterung des Traffic im Gebäudenetzwerk Praktischer nsatz für DLP in der Gebäudeautomation Uhr Konferenzende as Referenten haben sich zusätzich zur Verfügung gestet: Big Data und Datenschutz M. Steinebach Fraunhofer SIT Event-Korreation in SIEM-Systemen auf Basis von IF-MP K.O. Detken, T. Rix Decoit GmbH F. Heine, L. Renners Hochschue Hannover Die Beiträge dieser Referenten finden Sie auch im Tagungsband zur Konferenz

8 nmedung & Teinahmebedingungen D CH Security und 9. September 2015 Hochschue Bonn-Rhein-Sieg Campus St.ugustin nmedung zur Konferenz Teefon: +43 (0) Onine-nmedung unter: Teinahmebedingungen Bei nmedung bis zum 3. ugust 2015 beträgt die Teinahmegebühr 395, (Frühanmedegebühr), danach 480,- jeweis zuzügich der gesetzichen Mwst. Referenten zahen nur die Referentengebühr von 345, zzg. Mwst. Die Teinahmegebühr beinhatet ein Exempar des Tagungsbandes (Hardcover mit ISBN), Pausengetränke, Mittagessen an beiden Konferenztagen und ein gemeinsames bendessen am ersten Konferenztag. Bei Stornierung der nmedung bis 3. ugust 2015 (Datum des Poststempes) wird eine Bearbeitungsgebühr von 75, erhoben. Nach dem 3. ugust 2015 ist die voe Tagungsgebühr zu entrichten. Es ist jederzeit die Benennung einer Ersatzperson ohne zusätziche Kosten mögich. Tagungsbände Zusätziche Tagungsbände können bestet werden unter: Kontakt pen-dria-universität Kagenfurt Forschungsgruppe Systemsicherheit (syssec) Universitätsstr Kagenfurt URL: E-Mai: konferenzen@syssec.at Programmkommitee Vorsitz: P. Schartner Uni Kagenfurt K. Lemke-Rust HS Bonn-Rhein-Sieg M. Umann BSI P. Beenken Porsche G J. Dittmann Uni Magdeburg D. Enge FH Sazburg W. Fischer Infineon J. Fuß FH Hagenberg M. Hartmann SP D. Henze TÜV TRUST IT GmbH P. Horster Uni Kagenfurt D. Hühnein ecsec GmbH G. Jacobson Secardeo GmbH S. Janisch Uni Sazburg B. Kein KPMG K. Knorr HS Trier T. Kob HiSoutions G U. Korte BSI P. Kraaibeek secunet W. Kühnhauser Uni Imenau P.J. Kunz Daimer S. Lechner JRC H. Leitod -SIT M. Meier Uni Bonn B. Mester Uni Odenburg H. Mühbauer TeeTrusT I. Münch BSI J. Neuschwander HTWG Konstanz. Phiipp Utimaco N. Pohmann FH Gesenkirchen R. Posch TU Graz W. Rank Giesecke & Devrient S. Rass Uni Kagenfurt H. Reimer DuD. Roßnage Uni GH Kasse W. Schäfer M. Spreitzenbarth Siemens CERT H. Storck T-Systems GmbH R. Szerwinski Bosch S. Teufe Uni Fribourg P. Trommer GSO HS Nürnberg T. Tschersich Deutsche Teekom G. Weck Infodas C. Wegener Uni Bochum E. Weipp SB Research S. Werth BM des Innern. Wespi IBM CH B. C. Witt it.sec GmbH K.-D. Wofenstetter DTG GI-FG SECMGT Workshop Leitung: I. Münch BSI B.C Witt it.sec GmbH & Co. KG K. Kirst PTLV D. Koschützki HS Furtwangen S. Leuchter HS Rhein-Waa P. Reymann ITQS J. Voßbein UIMC C. Stark Citigroup G R. Weter IBG mbh Workshop der ianz für Cyber-Sicherheit (CS) Organisatoren: I. Münch BSI K. berts BSI P.J. Kunz Daimer G M. Meier Uni Bonn S. Werth BM des Innern R. Szerwinski Robert Bosch GmbH N. Pohmann FH Gesenkirchen H. Mühbauer TeeTrusT B. C. Witt it.sec GmbH & Co. KG I. Münch BSI Organisation D. Cechak Uni Kagenfurt. K. Lemke-Rust HS Bonn-Rhein-Sieg M. Möhmann P. Schartner Uni Kagenfurt M. Umann BSI Leitungsgremium der Konferenzreihe P. Horster Uni Kagenfurt P. Schartner Uni Kagenfurt Bider: shutterstock.com agsandrew, maksim kabakou