Sichere mobile Kommunikation. IT Recht und Datenschutz. Sicherheit von Plattformen und Netzen. Inhaltsverzeichnis BSI Tagungsband Vorwort...

Transkript

1 Inhaltsverzeichnis BSI Tagungsband 2015 Vorwort... 9 Programmbeirat Autorenverzeichnis Stichwortregister Sichere mobile Kommunikation Sebastian Hönig, Hewlett-Packard Deutschland GmbH: NFCrypt Wie Near Field Communication unsere mobile Sicherheit vereinfacht Frank Rieger, Dr. Björn Rupp, GSMK Gesellschaft für Sichere Mobile Kommunikation mbh: Erkennung, Lokalisierung und Bekämpfung von Mobilfunkangriffen - Wege hin zu einem nationalen Lagebild Mobilfunk Thomas Maier:, Dr. Jörn-Marc Schmidt:, Lukasz Kubik:, Thomas Mohnhaupt:, Corinna Lingstädt, secunet Security Networks AG YOP-Datenschutzcockpit Das YourOwnPrivacy Enforcement-Regelwerk für mobile Endgeräte Kristoffer Braun, Philipp Rack, Technische Universität Darmstadt /CASED/EC SPRIDE: Shoulder-Surfing resistente Authentisierung an mobilen Endgeräten IT Recht und Datenschutz Prof. Bernhard Esslinger, Universität Siegen, IT-Sicherheit und Kryptologie, Dr. Sibylle Hick, Lars Wittmaack, Deutsche Bank AG: Kryptographische Awareness als Fundament sicherer Lösungen -- Skalierbares Kryptographie-Verständnis mit CrypTool Marco Ghiglieri, Jan Müller, Technische Universität Darmstadt /CASED/EC SPRIDE: Datenschutzfreundliche Erfassung von Nutzungsdaten bei Smart Entertainment Geräten" Philipp Roos, Institut für Informations-, Telekommunikations- und Medienrecht - Zivilrechtliche Abteilung: MonIKA: IT-Sicherheit durch kooperatives Monitoring Die Rolle kooperativer Ansätze in den europäischen und nationalen Plänen zur Regulierung der IT-Sicherheit Joerg Heidrich, Dr. Christoph Wegener, Ruhr-Universität Bochum: Aktuelle rechtliche und technische Anforderungen an die Protokollierung von Nutzerdaten in Unternehmen Sicherheit von Plattformen und Netzen Thomas Veit: Secctl - Ein neues Sicherheitsmodul für den Linux-Kernel Markus Maybaum, NATO Cooperative Cyber Defence Centre of Excellence, Fraunhofer FKIE: Trusted Control Flow Integrity - Integritätskontrolle auf Prozessebene in Trusted Computing Systemen"

2 Jaspreet Kaur, Christian Herdin, Jernej Tonejc, Steffen Wendzel, Michael Meier, Sebastian Szlósarczyk, Cyber Security Department, Fraunhofer FKIE, Bonn / Rheinische Friedrich- Wilhelms-Universität Bonn / Hochschule für angewandte Wissenschaften Augsburg: Novel Approaches for Security in Building Automation Systems Ulrich Kohn, Michael Ritter, ADVA Optical Networking SE: Risk Mitigation by Using Secure Connectivity in SDN-/NFV-Centric Networks Industrial Security Andreas Martin Floß, HiSolutions AG: Sicherheit von industriellen Steuerungssystemen - ICS Security mit BSI IT-Grundschutz Michael Gröne, Andre Wichmann, Sirrix AG security technologies: LARS - Leichtgewichtiges Werkzeug zum Einstieg in IT-Sicherheit für Betreiber von Industriesteuerungs-Anlagen Heiko Rudolph, Aaron Brown, Michael Klassen, Dominik Goergen, admeritia GmbH: Technische Sicherheitstests für ICS Anlagen Andreas Philipp, Utimaco IS GmbH: Industrie 4.0: Sicherheitsmechanismen für die Produktion Sicheres Cloud Computing Dr. Ralf Rieken, Uniscon GmbH, Dr. Hubert Jäger, Arnold Monitzer, Edmund Ernst: Technische Versiegelung effektiver Schutz für Inhalte und Metadaten in der Cloud Dr. Günther Hoffmann, Humboldt Universität zu Berlin und ContentPro AG: Sicherer Austausch und Speicherung von Dateien in cloudbasierten Speichern Bernd Jäger, Colt Technology Services GmbH, Reiner Kraft und Ulrich Waldmann, Fraunhofer- Institut für Sichere Informationstechnologie SIT, Sebastian Luhn, Westfälische Wilhelms- Universität Münster, Thomas Wilmer, avocado rechtsanwälte: Datenschutz in der Cloud - Kennzahlen für mehr Vertrauen David Fuhr, HiSolutions AG: OPC Is Dead Let s Hide It in a SOA: Risiken der Serviceorientierten Automatisierung Cyber-Sicherheit Andreas Fießler, Alexander von Gernler, genua Gesellschaft für Netzwerk- und Unix- Administration mbh, Sven Hager, Björn Scheuermann, Humboldt-Universität zu Berlin: HardFIRE - ein Firewall-Konzept auf FPGA-Basis Marco Ghiglieri, Florian Oswald, Technische Universität Darmstadt /CASED/EC SPRIDE: SSP Ansatz zur garantierten Durchsetzung von Web Sicherheitsmaßnahmen auf dem Client Sergej Proskurin, Fatih Kilic, Prof. Dr. Claudia Eckert, Technische Universität München: Retrospective Protection utilizing Binary Rewriting Ramon Mörl, Andreas Koke, itwatch GmbH: BadUSB, aktuelle USB Exploits und Schutzmechanismen Formatiert: Schriftart: 13 Pt Deutscher IT Sicherheitskongress des BSI

3 Management von Informationssicherheit Steve Durbin, Information Security Forum (ISF): Threat Horizon 2015, 2016 & 2017 on the edge of trust Thomas Günther, INFODAS GmbH, Ralf Dittmar, Rohde & Schwarz SIT GmbH: Der inverse Türsteher im Einsatz Geheimschutzfähige Domänenübergänge heute Matthias Hofherr, atsec information security GmbH: Energie pur - Aufbau von Informationssicherheit-Managementsystemen in der Energiebranche Jörn Störling, Dr. Sven Wenzel, Fraunhofer-Institut für Software- und Systemtechnik ISST: Systematische Risikobewertung von mobilen Endgeräten im Unternehmenseinsatz Sichere Identitäten Holger Funke, HJP Consulting GmbH, Tobias Senger, Bundesamt für Sicherheit in der Informationstechnik (BSI): PersoSim - ein Simulator für den elektronischen Personalausweis Klaus Schmeh, Marco Smeja, cv cryptovision GmbH: Der elektronische Personalausweis Nigerias Eine Case Study Moritz Platt, Springer Science+Business Media Deutschland GmbH, Dr. Ivonne Scherfenberg, Martin Schröder, Bundesdruckerei GmbH: Identitätsmanagement mit sicherer Authentifizierung und Attributweitergabe Jörg Apitzsch, Marco von der Pütten, Governikus KG: Sicherheit in allen Netzen mit OSCI2 und AusweisApp Ulrich Dietz, egovernment on Smartphones What gain or lose citizens or public authorities? Sicherheit und Vertrauen Erwin Kruschitz, anapur AG: Security für Safety Systeme. Ein Einblick in die riskobehafteten Zonen der Industrial Control Systeme Matthias Wübbeling, Arnold Sykosch, Prof. Dr. Michael Meier, Fraunhofer FKIE, Abteilung Cyber Security: MonIKA: Cooperative IT Security Monitoring for Competing Participants Dr. Rolf Lindemann, Nok Nok Labs, Inc.: FIDO - Modern Authentication Dr. Helge Kreutzmann, Bundesamt für Sicherheit in der Informationstechnik: Sektorspezifische Zertifikate im internationalen Kontext: Past, Present and Future Cyber-Sicherheit Dr. Ulf Höper, Industrieanlagen-Betriebsgesellschaft mbh, DDr. Manfred Stallinger, calpana business consulting gmbh: Dynamisches Risikomanagement Deutscher IT Sicherheitskongress des BSI 7

4 Dr. Safuat Hamdy, Technische Universität München, Lehrstuhl für Sicherheit in der Informationstechnik: Analyse der Forderungen der Datenschutzbeauftragten zu IPv Mag. Dr. Edith Huber, Donau-Universität Krems, Univ.-Prof. Dipl.-Ing. DDr. Gerald Quirchmayr, Dr.Otto Hellwig, Universität Wien: Wissensmanagement bei CERTs eine europäische Herausforderung Standards und Prüfverfahren Dr. Sönke Maseberg, datenschutz cert GmbH, Bernhard Berger, Technologie-Zentrum Informatik und Informationstechnik der Universität Bremen (TZI), Paul Gerber, TU Darmstadt, CASED, EC SPRIDE: Zertifizierte Apps Dr. Thomas Hesselmann, Dr. Manfred Lochter, Prof. Dr. Werner Schindler, Bundesamt für Sicherheit in der Informationstechnik: Bewertung und Evaluierung kryptographischer Mechanismen in CC-Zertifizierungsverfahren im deutschen Schema Gerald Krummeck, atsec information security GmbH: Trau, Schau, Wem Boban Kršić, DENIC eg, Alexander Koderman, SerNet GmbH: IS-Management als Prävention von Cyber-Bedrohungen bei der DENIC eg Gewährleistung von Hochsicherheit Matthias Adams, Rohde & Schwarz SIT GmbH: Moderne E2E-Verschlüsselung mit SCIP-DE Dr.-Ing. Michael Pehl, Dipl.-Ing. Florian Wilde, Technische Universität München, Prof. Dr.- Ing. Georg Sigl, Fraunhofer Institut für Angewandte und Integrierte Sicherheit, AISEC, Dr. rer. nat. Berndt Gammel, Infineon Technologies AG: Qualitätsevaluierung von Physical Unclonable Functions als Schlüsselspeicher Jan Klemkow, genua mbh: Datendioden - Sicherheit und Praktikabilität von Einweg-Datenverbindungen Formatiert: Schriftart: 13 Pt Deutscher IT Sicherheitskongress des BSI

5 Vorwort Die Digitalisierung bietet ökonomische sowie gesellschaftliche Potenziale, auf die ein hochentwickeltes und industrialisiertes Land wie Deutschland nicht verzichten kann. Im Zuge der Industrie 4.0 beispielsweise können Produktions- und Geschäftsprozesse optimiert werden, indem Maschinen, Produktionsanlagen, Sensoren und Aktoren miteinander vernetzt sind und unmittelbar Daten austauschen können. Dieser technische Fortschritt ermöglicht es, eine ortsund zeitunabhängige Geschäftsabwicklung zu realisieren, für die z. B. fast jedes mobile IT- Produkt genutzt werden kann. Mit der Digitalisierung gehen umfangreiche neue Herausforderungen für die Cyber-Sicherheit einher: die zunehmende Durchdringung aller Arbeits- und Lebensbereiche mit Informationstechnologie eröffnet insbesondere eine Vielzahl neuer Angriffsmöglichkeiten. Hiervon sind alle Nutzergruppen Staat, Wirtschaft, Wissenschaft und Bürger - betroffen. Von den aktuellen konkreten Gefährdungen sind vor allem Identitätsdiebstahl, APT-Angriffe und nachrichtendienstliche Angriffe hervorzuheben. Die millionenfachen Identitätsdiebstähle 2014 oder Schadprogramme wie Regin oder Dragonfly belegen, dass die IT-Gefährdungslage kritisch ist und Angreifer sich weiter professionalisieren. Im Rahmen der Digitalisierung stoßen so altbekannte konventionelle IT-Sicherheitsmechanismen schnell an ihre Grenzen und vermögen es nicht, Zuverlässigkeit und Beherrschbarkeit in gewohntem Maße zu gewährleisten. Der traditionelle Perimeterschutz in der IT-Sicherheit wird überholt oder gar unwirksam. Hierauf müssen wir uns in Zukunftsbereichen wie etwa Industrie 4.0, Smart Home oder Smartphone-Nutzung einstellen. Für erfolgreiche Lösungsansätze bedarf es einer engen Zusammenarbeit zwischen Staat, Wirtschaft und Wissenschaft. Zielsetzung gemeinsamer Anstrengungen muss sein: Kompetenz, Lösungsorientierung, Kooperation und Transparenz im Handeln zu erreichen bzw. zu schaffen. Dies gilt insbesondere in den Bereichen Kryptosicherheit, Cyber-Sicherheit und IT- Sicherheitsmanagement. Mit dem diesjährigen IT-Sicherheitskongress mit dem Motto "Risiken kennen, Herausforderungen annehmen, Lösungen gestalten", wollen wir insbesondere das Leitthema vernetzte IT- Sicherheit aufgreifen sowohl in der thematischen Dimension wie auch aus kooperativer Perspektive. Michael Hange Präsident des Bundesamtes für Sicherheit in der Informationstechnik 14. Deutscher IT Sicherheitskongress des BSI 9

6 Zu den vom BSI berufenen Mitgliedern des Programmbeirates gehören: Dr. Rainer Baumgart; secunet Security Networks AG Prof. Dr. Christoph Busch; Competence Center for Applied Security Technology CAST e.v. Dr. Walter Fumy; Bundesdruckerei GmbH Prof. Dieter Kempf; BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. Prof. Dr. Klaus-Peter Kossakowski; HAW Hamburg / DFN-CERT Services GmbH Dr. Stefan Mair; Bundesverband der Deutschen Industrie e.v. Prof. Dr. Peter Martini; Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE Prof. Dr. Alexander May; Lehrstuhl für Kryptologie und IT-Sicherheit, Ruhr- Universität Bochum Dr. Gisela Meister; Giesecke & Devrient GmbH Dr. Klaus Mittelbach; ZVEI Zentralverband Elektrotechnik- und Elektronikindustrie e.v. Dr. Holger Mühlbauer; TeleTrusT Bundesverband IT-Sicherheit e.v. Prof. Dr. Reinhard Posch; Technische Universität Graz Chief Information Officer (CIO) der österreichischen Bundesregierung Prof. Michael Rotert; eco - Verband der deutschen Internetwirtschaft e.v. Jürgen Schmidt; heise Security François Thill; Direction du commerce électronique et de la sécurité informatique Andrea Voßhoff; Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Gerhard Weck; INFODAS - Gesellschaft für Systementwicklung und Informationsverarbeitung mbh Winfried Wirth; Rohde & Schwarz SIT GmbH Klaus-Dieter Wolfenstetter; Deutsche Telekom AG Steffen Zimmermann; Verband Deutscher Maschinen- und Anlagenbau e.v. Formatiert: Schriftart: 13 Pt Deutscher IT Sicherheitskongress des BSI