D A CH Security Alpen-Adria Universität Klagenfurt l 12. und 13. Juni 2007

Transkript

1 Gemeinsame rbeitskonferenz: GI l OCG l ITKOM l SI l TeleTrusT D CH Security lpen-dria Universität Klagenfurt l 12. und 13. Juni 2007 ktuelle Informationen:

2 Dienstag 12. Juni Uhr Registrierung, Kaffee und Tee Uhr egrüßung und Überblick l P. Horster Phishing und TNs Leitung: P. J. Kunz Uhr Heute schon gegoogelt? Privatsphäre und Internet-Suchmaschinen C. Russ Datenschutz und nonymität im Internet Uni Klagenfurt Die Internet-Suchmaschine Google Funktionsweise und Dienste von Google Userprofiling und nalysemöglichkeiten von Google Schutzmöglichkeiten des gläsernen Online Menschen Uhr Verwendet Ihre ank sichere TNs? M. Fischlin Online anking mittels PIN/(i)TN TU Darmstadt Verteilung von (i)tn-zahlen Messung der Güte von Verteilungen mittels Entropie Experimente mit konkreten (i)tn-listen zweier anken usnutzen statistischer uffälligkeiten für konkrete ngriffe Uhr Schutz vor Hybrid Phishing und XSS Trojanern durch ONR T. Kerbl Phishing gestern, heute und in Zukunft SEC Consult Wie laufen hybride Phishing ttacken ab? GmbH edrohung durch Cross Site Scripting Trojaner Positionierung der ONR nwendung der ONR an praktischen eispielen Uhr Kommunikationspause Sicherheitsmanagement Leitung: S. Teiwes Uhr Extending itlocker in an Enterprise Environment E. lligand What is Full Volume Encryption? Utimaco What is Microsoft itlocker? Safeware G Where itlocker is successful Where itlocker reaches its limits How this limits have been overcome Uhr Patch Management aus Sicht eines Herstellers G.T. Rohrmair edeutung von Patch Management für Unternehmen K. Knorr Produktportfolio mit vielen OEM estandteilen Siemens G est Practice nsatz für einen Patch Management Prozess CT IC CERT Testen und Verteilen von Updates nforderungen an ein Informationssystem für gutes Patch Management Uhr Wie kann Identity und ccess Management Compliance unterstützen? M. Vogel Regularien und Compliance KPMG G Internes Kontrollsystem und Standards für IT-Kontrollframeworks Kontrollen und Kontrollarten Identity und ccess Management und der ezug zu Kontrollen eispiele für Kontrollen und zugehörige Implikationen Web Services Leitung: F. Kollmann Uhr Sichere Web Services: Standards, Interoperabilität und Roadmap M. Raepple Status Quo: Typische Einsatzszenarien von WS-Security 1.x SP G Die Rolle von WS-I und Interoperabilitätstests in der Praxis Lücken in der aktuellen WS-Sicherheitsarchitektur Neue Sicherheitsstandards und Interoperabilitätsprofile eispiele für zukünftige Szenarien

3 Dienstag 12. Juni Uhr Sicherheit in der Prozessintegration mit Web Services und SO K. Flieder Service-orientierte Prozessintegration mit Web Services CMPUS02 Einheitliche, unternehmensübergreifende Prozessgestaltung Erfahrungen aus einer Pilotimplementierung SSL vs. WS-Security im praktischen Einsatz Open Source-Komponenten auf dem Prüfstand Uhr Schutz der Privatsphäre in einem webbasierten Multiuser-System D. Slamanig Webbasierte Verwaltung sensibler Daten C. Stingl ngriffe durch Insider FH Technikum Kärnten Schutz der Privatsphäre G. Lackner Pseudonymisierung und Identitätsmanagement U. Payer Obfuscation gegen statistische uswertungen IIK TU Graz Uhr Gemeinsame Mittagspause RFID und Privacy Leitung: W. Effing Uhr Datensicherheit bei RFID auf rtikelebene M. uerbach RFID auf rtikelebene RWTH achen nforderungen des ekleidungshandels an die Sicherheit Y. Uygun ngriffsarten Uni Dortmund Sicherheitsmaßnahmen Vorschlag eines Maßnahmenpaketes Uhr Sicherheitsanalyse in RFID-basierten Wertschöpfungsketten K. Werner bstrakte eschreibung RFID-gestützter Wertschöpfungsketten E. Grummt Modellierung innerbetrieblicher und überbetrieblicher RFID-Infrastrukturen R. ckermann Sicherheitsanalyse anhand von System-Ebenen und Schnittstellen SP Research esonderheiten globaler Item-Identification-Networks etrachtung der bhängigkeiten von externen Dienstleistern Uhr Datensammeln technische Möglichkeiten, rechtliche Grenzen P. Schartner Technologiebedingte Datenquellen D. Hattenberger Zusammenführen von Daten P. Horster Die Privatsphäre als verfassungsrechtlich geschütztes Rechtsgut Uni Klagenfurt Datenschutzrechtliche Grenzen der Verarbeitung Tendenzen und kritische Würdigung E-Government Leitung: P. Frießem Uhr E-Government und der Schutz kritischer Informationsstrukturen O. Hellwig Paradigmenwechsel zum digitalen Original IIK TU-Graz Rechtliche asis für den Schutz von E-Government Zersplitterte Kompetenzen bei E-Government Integrierte E-Government Systeme und CIIP Strategische nsätze und est Practice Uhr pplikations-profile der European Citizen Card H. Daum ID-Karten gestern, heute, morgen G. Meister Die European Citizen Card Giesecke & Die ECC-Spezifikation CEN prts Devrient GmbH IS-Dienste der ECC pplikationsprofile der ECC-Spezifikation Uhr Datenschutzgerechte Vorgangsbearbeitung im egovernment J. Peters Vorgangsbearbeitung im egovernment Fraunhofer IGD Datenschutz und Rechtsfragen S. udersch austeine der VESUV-rchitektur ZGDV Rostock Technische Umsetzung datenschutzrechtlicher nforderungen P. Laue Sicherer, Webservices-basierter Dokumentenaustausch Uni Kassel Uhr Kommunikationspause

4 Dienstag 12. Juni 2007 Recht Leitung: D. Hattenberger Uhr meinprof.de meinarzt.de meinanwalt.de ewertungsportale im Internet L. Grosskopf Rechtliche Rahmenbedingungen für ewertungsportale Kanzlei Sammeln von personenbezogenen Daten Grosskopf Meinungs- und Informationsfreiheit enotungen und Kommentare Top- und Flop-Listen Uhr Rechtliche Rahmenbedingungen der Komfortsignatur D. Hühnlein Elektronische Signaturen im Gesundheitswesen secunet G Komfort und Signaturgesetz ein Widerspruch? enutzeridentifikation durch esitz, Wissen oder iometrie Signaturgesetzkonforme Realisierung der Komfortsignatur Komfortsignatur auf asis des ecard-pi-frameworks Uhr nwendungen des M-Commerce Grenzen in Recht und Technik N. Krüger Geschäftsmodelle des Mobile Commerce OFFIS Rechtswirksamer mobiler Vertragsschluss S. oll Verbraucherschutz Uni Oldenburg Lösungsalternativen zur Einbeziehung von G Neue Wege der Informationspflichtenerfüllung Uhr usiness Continuity Management: Rechtliche Grundlagen und Entwicklungen U. Steger usiness Continuity nforderungen: Rechtliche Grundlagen Heymann & eispiele: Datensicherheit, uchführung, Risikoerkennung Partner Sektorspezifisch: anken/finanzdienstleister, TK-nbieter Rechtsanwälte Normadressaten, drohende Sanktionen, Haftungsrisiken Gewährleistung von usiness Continuity, Trends und usblick Netzwerksicherheit Leitung: K.-D. Wolfenstetter Uhr Schutz von FinTS/HCI-Clients gegenüber Malware H. Langweg HCI/FinTS schützt nur teilweise Uni onn/nislab lle marktgängigen Produkte anfällig J. Schwenk Lokale Malware hat freies Spiel Uni ochum Produkte ohne Schutz, obwohl ngriffsmethoden lange bekannt Sicheres FinTS mit Klasse-3-Lesern ist möglich Uhr Verteiltes Packet Sniffing als Sicherheitswerkzeug in MNETs. Wenzel Packet Sniffing: Einsatzgebiete und Verfahrensweise M. Jahnke Herausforderungen für Packet Sniffing in dhoc-netzen J. Tölle Erkennung von lackhole-ngriffen durch Watchdogs FGN e.v. Erkennung von nomalien durch Verkehrsmustererfassung und -auswertung S. Karsch Erkennung von konventionellen ngriffen durch netzbasierte IDS-Sensoren FH Köln Uhr Integritätsprüfung von entfernten Rechnersystemen M. Jungbauer Problemstellung N. Pohlmann Vertrauenswürdige Netzverbindung FH Gelsenkirchen Trusted Network Connect: Umsetzung und nwendungsfelder Kritische Diskussion usblick Uhr Sicherer Webzugriff in Zeiten von Viren und Trojanern F. Rustemeyer Zentrale Surf-Server in der DMZ secunet G Sicherer Zugriff vom rbeitsplatz Lösungs- und Sicherheitsarchitektur auf asis von OSS Sichere Lösungen für Druck und Download Erfahrungen in der Praxis Uhr Ende erster Konferenztag Uhr Gemeinsames bendessen

5 Mittwoch 13. Juni 2007 uthentifizierung Leitung: H. Reimer Uhr Sichere Zugangskontrolle im heterogenen Web-Conferencing C. Russ Web-Conferencing und Desktop-Sharing Tool-Vergleich H.J. Sonnleitner Sicherheitskonzepte von Web-Conferencing Systemen Infineon G Spezielle Herausforderungen des sicheren Zugriffs G. Hübner Lösungsmöglichkeiten für den sicheren Zugriff Microsoft Gegenüberstellung und ewertungsmatrix Deutschland GmbH Uhr uthentication Gateway sicherer Zugriff auf Internetportale W. Hinz CardToken ein neuer Formfaktor für Smartcards T. Palsherm Internet-Protokolle, realisiert auf einer Smartcard Giesecke & utomatische US-Konfiguration Devrient GmbH Prüfung der Identität des Portalservers Unterstützung bei der enutzerauthentikation Uhr Step-up uthentication in WebSphere Portal J.P. uchwald Mehrstufiges uthentifikationsmodell für Portalsoftware D. uehler Gleichzeitige Unterstützung verschiedener uthentifikationsmethoden M. Falkenberg Definition einer Ordnung von uthentifikationsstufen IM Deutschland Zusätzlicher Schutz von Ressourcen durch uthentifikationsmethode GmbH Flexible npassbarkeit und Erweiterbarkeit Uhr Zulassungs-Management für ackend-zugriffe durch Portale P. Huber Externer Zugriff auf interne Unternehmensdaten M. Watzl ackend-uthentifizierung und -utorisierung in Portal-Umgebungen. Feldner Zugriffe: Trennung zwischen Innen- und ußensicht TESIS Verzeichnisdienst, Portal, Rollen, Konten wie passt das zusammen? SYSware GmbH Es geht auch einfach ohne komplizierte Federation Struktur Chipkarten im Gesundheitswesen Leitung: P. Schartner Uhr Sicherheitskonzept für Notfalldaten unter Verwendung der ecard M. Heiligenbrunner Funktionalitäten der österreichischen Gesundheitskarte (ecard) C. Stingl Sichere Übermittlung von Gesundheitsdaten D. Slamanig Rechtliche Rahmenbedingungen FH Technikum Identifikation, uthentifizierung und Verschlüsselung mittels der ecard Kärnten Praktische nwendung im Projekt CNIS Uhr asiskonzepte der Sicherheitsarchitektur bei der Einführung der egk F. Fankhauser nwendungen der egk und der Telematikinfrastruktur T. Grechenig TU Wien Grundsätze der Datensicherheit und deren Realisierung D. Hühnlein Überblick über die Sicherheitsarchitektur der Telematikinfrastruktur secunet G Kryptographische Identitäten für dezentrale Komponenten M. Lohmaier Vergleich mit anderen Gesundheitstelematik-Sicherheitsarchitekturen gematik mbh Uhr Modellbasiertes Testen der deutschen Gesundheitskarten C. pel Testaspekte in ezug auf die Chipkartensicherheit J. Steingruber Testfolgengenerierung mit ausführbaren Modellen Giesecke & Modellierung der Chipkarten und des Testgenerators Devrient GmbH bbildung der Sicherheitsaspekte im Modell J. Repp, R. Rieke Testergebnisse Fraunhofer SIT Uhr Mobile nwendungsszenarien der elektronischen Gesundheitskarte D. Hühnlein Mobile sicherheitsrelevante nwendungen secunet G nwendungsbereich Gesundheitswesen U. Korte SI llgegenwärtige Gesundheitstelematik T. Eymann Herausforderungen für eine mobile Nutzung der egk Uni ayreuth Lösungsansätze (Mobile Health Card, Serverunterstützung etc.) T. Wieland FH Coburg Uhr Kommunikationspause

6 Mittwoch 13. Juni 2007 Digitale Rechte und Rollen Leitung: G. itz Uhr bonnements für elektronische Zeitungen mit statischer aumstruktur F. Kollmann bonnements auf hierarchisch gegliederten Content Uni Klagenfurt Zeitlich limitierter Zugriff auf elektronische Zeitungsausgaben Realisierung elektronischer Rechte Key-Management mit bleitungskonzept Problem der Weitergabe von Schlüsseln Uhr Kryptographisch geschützte Wasserzeichencontainer M. Steinebach Digitale Wasserzeichen zur Kundenverfolgung Fraunhofer SIT lternativen zu DRM M. Kaliszan Container zur sicheren und schnellen Erzeugung von Wasserzeichen Fraunhofer MCI Kryptographie und Wasserzeichen-Container Individuelle Markierung auf Kundenseite Uhr Erklärte Sicherheitsprofile (ESPE) P. Trommler Zugriffskontrolle auf Programmebene FH Nürnberg Zielgruppenspezifische Erklärungen in natürlicher Sprache Digitale Signaturen zur sicheren Verteilung Policyverwaltung Einsatzszenarien im Unternehmen Grundschutz Leitung: P. Kraaibeek Uhr Vom IT-Grundschutz zum integrierten Informationsschutz M. Frisch Objektorientiertes Prozess- und Datenmodell eines generischen ISMS T. Kob Erweiterung des Grundschutzansatzes auf Prozesse und Informationen HiSolutions G Security-Kennzahlen als Teil unternehmensweiter Qualitätsmessungen. luhm Reduktion von uditkosten durch Mapping von Standards und Gesetzen C. öhm ufbau von ranchenprofilen TU erlin Uhr Vom IT-Notfallplan zum CM durch die Kombination von Standards R. Kallwies Vergleich von S25999, ISO27001 und IT-Grundschutz T. Kob Integration des CM in den Grundschutzansatz HiSolutions G Von der Schutzbedarfsfeststellung zur prozessorientierten I Einbindung des Service Continuity Managements von ITIL/ISO20000 Ergänzung der I um eine wertschöpfungsketten-orientierte Sicht Uhr Hierarchisch aggregierte ewertung der Sicherheit von Organisationen K. Meyer-Wegener Sicherheitsbewertung von Unternehmen S. Weiß nforderung an die ewertung Uni Erlangen- Häufigkeiten des uftretens von Vorfällen und deren Schäden Nürnberg Modellierung von edrohungen ggregation von detaillierten Informationen zu Gesamtindikatoren Uhr Gemeinsame Mittagspause Elektronische Signaturen und iometrie Leitung: L. Neugebauer Uhr Sichere Plugins durch die nwendung elektronischer Signaturen J. Key Elektronische Signaturen beim Software-Deployment NetSys.IT GbR Sicherheitsrisiken in Plugin-rchitekturen D. Fischer Sicherheitsziele: Code-Integrität und uthentizität von Plugins TU Ilmenau utomatisierte Validierung von Plugins Technische spekte bei der Umsetzung des Prototypen Uhr Digitale Handschrift: Extraktion gerätespezifischer Merkmale. Oermann estimmung der ufnahmegeräte digitaler Handschriften C. Vielhauer Sensometrie, iometrie und Forensik J. Dittmann Computerkriminalität, rchivierung, sichere Geschäftsprozesse Uni Magdeburg Sicherung der uthentizität Evaluierung mittels Entscheidungsbaum-Modell und usgabeklassen

7 Mittwoch 13. Juni Uhr Kombination von Sensoren zur biometrischen Handschriftenerkennung T. Scheidat Dynamische Handschrift als biometrisches Merkmal C. Vielhauer uthentifikation durch Wissen, esitz und Sein. Oermann Szenario: 3-Faktoren-uthentifizierung Uni Magdeburg Konzept: Kombination von Signaturtablett und IO-Pen Evaluierung: experimentelle Fehlerraten rchitekturen und nwendungen Leitung: W. Kühnhauser Uhr Trusted-Computing-nwendungen mit Open Source Software W. Dolle rchitektur und Designziele von Trusted Computing HiSolutions G Funktionen des Trusted Platform Modules C. Wegener Der TCG Software Stack als Open Source wecon.it-consulting ktuelle nwendungsbeispiele mit Open Source Software Offene nsätze in der Forschung Uhr Eine 8-bit Highspeed Softwareimplementierung von Whirlpool R. Könighofer Hash-Funktionen auf eingebetteten Systemen S. erger Whirlpool und SH1 ein Vergleich C. Herbst Performance optimierte Softwareimplementierung IIK TU Graz Effiziente Speicherarchitektur Performance Ergebnisse Uhr Sicherheitsrelevante nwendungen der Satellitennavigation S. aumann Satellitennavigationssysteme heute: GPS, GLONSS, EGNOS, Galileo T. Sichert Satellitennavigationssysteme zukünftig: Galileo IG mbh Sicherheitsrelevante nwendungen im zivilen ereich Sicherheitsrelevante nwendungen im militärischen und OS ereich Test und Zertifizierung Uhr Kommunikationspause PKI in der Praxis Leitung: U. Korte Uhr Chipkarten in österreichischen PKIs: nalyse des Status Quo C. Stingl Offene Public-Key-Infrastrukturen in Österreich D. Slamanig Duplikate in den LDP-Verzeichnissen M. Reiner Resultierende Identifikationsprobleme J. Thierry Manipulation des Signaturprozesses FH Technikum Lösungsansätze und Ergebnisse Kärnten Uhr Certification Practice Statement und Certificate Policy nach RFC 3647 K. Schmeh RFC 3647: Der Standard für CPS und CP cv cryptovision Die wichtigsten Mängel von RFC 3647 GmbH Probleme mit RFC 3647 für nichtenglischsprachige utoren Wie ein guter CPS/CP-Standard aussehen müsste Wie man trotz allem mit RFC 3647 zurecht kommt Uhr Erfolgskriterien von Public-Key-Infrastrukturen M. Hesse Erfolgsfaktor: Standards und Flexibilität FH Gelsenkirchen Erfolgsfaktor: usiness-enabler, Wirtschaftlichkeit, angemessene Sicherheit H. Reimer Erfolgsfaktor: kzeptanz durch robuste, einfache und transparente Verfahren TeleTrusT e.v. Dilemma: Regulierung und Markt Fazit: Wirtschaftlich stabile Infrastrukturen werden Realität Uhr Konferenzende... als Referenten haben sich zusätzlich zur Verfügung gestellt: Quantitative Wirtschaftlichkeitsbetrachtungen für Notfall (Disaster Recovery)-Maßnahmen R. Gabriel Ruhr-Uni-ochum J. Wiedemann,. Knäbchen ccenture GmbH Verteilte Suche nach digitalen Wasserzeichen in emule M. Steinebach Fraunhofer SIT M. Wagner Uni Kassel Eine rchitektur für Identity Management. Kern, M. Kuhlmann, C. Walhorn eta Systems Software G VoIP-Security Standards, Evaluierung und Konzeptbeispiele anhand von sterisk K.O. Detken Decoit GmbH E. Eren FH Dortmund Die eiträge dieser Referenten finden Sie auch im Tagungsband zur Konferenz.

8 nmeldung & Teilnahmebedingungen D CH Security und 13. Juni 2007 lpen-dria Universität Klagenfurt nmeldung zur Konferenz Online-nmeldung unter: Unter dieser dresse kann auch ein ausdruckbares nmeldeformular herunter geladen werden. Teilnahmebedingungen ei nmeldung bis zum 19. Mai 2007 beträgt die Frühanmeldegebühr 285. zzgl. MwSt. (339,15 ), anschließend beträgt die Teilnahmegebühr 330. zzgl. MwSt. (392,70 ). Die Teilnahmegebühr beinhaltet ein Exemplar des Tagungsbandes (Hardcover mit ISN), Pausengetränke, Mittagessen an beiden Konferenztagen und ein gemeinsames bendessen am ersten Konferenztag. ei Stornierung der nmeldung bis 31. Mai 2007 (Datum des Poststempels) wird eine earbeitungsgebühr von 75. (inkl. MwSt.) erhoben. Nach dem 31. Mai 2007 ist die volle Tagungsgebühr zu entrichten. Es ist jederzeit die enennung einer Ersatzperson ohne zusätzliche Kosten möglich. Zusätzliche Tagungsbände Zusätzliche Tagungsbände können bestellt werden unter: Organisationskomitee Organisationskomitee D CH Security 2007 Peter Kraaibeek ogenstr. 5a D Nordhorn Telefon: ++49 (0) Peter@Kraaibeek.com Programmkomitee: P. Horster Uni Klagenfurt (Vorsitz) R. ckermann SP H. aier FH ingen G. itz SP J. izer ULD Schleswig-Holstein C. usch Fraunhofer IGD J. Dittmann Uni Magdeburg W. Effing Giesecke & Devrient D. Fox Secorvo P. Frießem Fraunhofer SIT E. Haselsteiner NXP D. Hattenberger Uni Klagenfurt H. Hellwagner Uni Klagenfurt M. Hollick TU Darmstadt S. Janisch Uni Salzburg D. Jäpel IM CH F. Kollmann Uni Klagenfurt U. Korte SI P. Kraaibeek secunet W. Kühnhauser Uni Ilmenau P.J. Kunz DaimlerChrysler S. Lechner Siemens H. Leitold -SIT I. Münch SI L. Neugebauer ITKOM C. Paar Uni ochum G. Pernul Uni Regensburg N. Pohlmann FH Gelsenkirchen R. Posch TU Graz H. Reimer TeleTrusT. Roßnagel Uni GH Kassel P. Schartner Uni Klagenfurt D. Sommer IM Research S. Strobel cirosec J. Taeger Uni Oldenburg S. Teiwes PWC CH S. Teufel Uni Fribourg G. Weck Infodas K.-D. Wolfenstetter Deutsche Telekom Organisation: D. Cechak Uni Klagenfurt F. Kollmann Uni Klagenfurt P. Kraaibeek secunet