D A CH Security 2006

Transkript

1 D A CH Security 2006 Gemeinsame Arbeitskonferenz GI OCG BITKOM SI TeleTrusT Düsseldorf 28. und 29. März 2006 bisherige Konferenzen dieser Reihe: D A CH Security 2004 D A CH Security 2003 D A CH Security 2005 TAGUNGSBÄNDE der syssec Konferenzen hier bestellen [Home] [Call for Papers] [Komitee] [für Autoren] [Papers] [Programm] [Anreise] [Anmeldung]

2 SESSIONPLAN Dienstag März 2006 Track A Elektronische Geschäftsprozesse Sicherheitsmanagement Elektronische Rechnungen Dokumentenmanagement Track B Konzepte und Modelle WLAN- Sicherheit von WEP bis CCMP Mittwoch März 2006 Sicherheit digitaler Medien Secure Computing Web-Anwendungen und egovernment und Recht Bedrohungen Biometrie Sichere s und Voice over IP Dienstag März Registrierung, Kaffee und Tee Begrüßung und Überblick S.Olbrich T Faber P. Horster Elektronische Rechnungen Leitung: R. Posch Signaturformate für elektronische Rechnungen Elektronische Rechnungen Signaturalgorithmen und Signaturformate Signaturformate in der Praxis Welches Signaturformat ist wofür geeignet? D. Hühnlein secunet Security Networks AG U. Korte BSI Labeled Transition System für einvoicing Rahmenbedingungen von ebilling Aspekte von einvoicing Grundlagen der technische Umsetzung Software-Architektur der Implementierung G. Lindsberger XiCrypt Internetsicherheits lösungen G. Fließ Campus Sichere PDF-Rechnungen Sicherheitsaspekte elektronischer Rechnungen Digitale Signatur mit Acrobat und PDF PDF-Signatur- und Verifikationsserver Autorisierung von PDF-Rechnungen G. Jacobson Secardeo

3 10.50 Pause - Zeit für Gedankenaustausch Dokumentenmanagement Leitung: N. Pohlmann Realisierung eines sicheren zentralen Datenrepositories C. Stingl Gesundheitsdatenrepository Chancen und Risiken D. Slamanig Fachhochschule PKI im Gesundheitswesen Technikum Formate zur sicheren Datenspeicherung Kärnten Rollenunabhängiges Berechtigungssystem Wie Sie alle Exemplare vertraulicher Dokumente wiederfinden Distributionsflusskontrolle Privatsphäre Vertraulichkeitsklassifizierung Digitale Wasserzeichen R. Krüger S. Billen MediaSec Techno- logies U. Pinsdorf Fraunhofer IGD Key Management für partielle Verschlüsselung von XML- Dokumenten Partielle Verschlüsselung von XML-Dokumenten Key Management zur Realisierung von Zugriffsstrukturen Vererbung von Zugriffsrechten innerhalb von Teilbäumen Generelles Konzept zur Ableitung von Schlüsseln F. Kollmann Uni Klagenfurt Gemeinsame Mittagspause Elektronische Geschäftsprozesse Leitung: H. Reimer A SECTET - Ein Framework für sichere Prozesse Model Driven Security Realisierung und Verwaltung sicherer unternehmensübergreifender Prozesse egovernment Web Services Standards und Technologien M. Hafner R. Breu Uni Innsbruck A. Nowak ARC Seibersdorf Geschäftsprozessorientiertes Identity Management ermöglicht Compliance IT Risk Management und Identity Management Verwaltung von Benutzern und Zugriffsrechten auf Geschäftsprozessebene Definition klarer und nachvollziehbarer Administrationsprozesse Durchsetzung und Kontrolle benutzerbezogener Sicherheitsrichtlinien Voraussetzungen eines effektiven Identity Audit ebilling-szenarien in Theorie und Praxis A. Kern M. Kuhlmann C. Walhorn Beta Systems Software AG D. Hühnlein

4 Rechtliche Rahmenbedingungen Zulässige Abrechnungsszenarien Praxisorientierte Rahmenbedingungen Buchungsbestätigung bei der dba Luftfahrtgesellschaft mbh Provisionskonto-Abrechnung bei der Bausparkasse Schwäbisch Hall AG Konzepte und Modelle Leitung: P. Frießem B Modellierung von IT-Sicherheit Notwendigkeit einer "Sicherheitssicht" in der Prozessmodellierung Modellierungsmodelle und -methoden (State of the Art) Relevante Sicherheitsanforderungen auf Fachkonzeptebene Bewertung, Auswahl, Erweiterung bestehender Modelle/Methoden Fehlermodelle der Fehlertoleranz für die Einbruchstoleranz Einbruchstoleranz als Kombination von Fehlertoleranz (FT) und Sicherheit Erweiterung der FT-Beeinträchtigungskette FT-Fehlermodi für sichere Systeme Modelle für stochastisch abhängige Einbrüche secunet Security Networks AG U. Korte BSI D. Kalmring G. Dzhendova Fraunhofer SIT T. Warns W. Hasselbring Oldenburg Anbindung von Zertifikatsverzeichnissen Interworking von Public Key Infrastrukturen Anforderungen an Zertifikatsverzeichnisse Sicherer Zugriff auf Verzeichnisdienste mit Certificate Proxy PKI Konnektivität mit Certificate Broker G. Jacobson Secardeo Pause - Zeit für Gedankenaustausch Sicherheitsmanagement Leitung: G. Bitz A IT-Sicherheitsmanagement auf Basis eines Unternehmensmodells Sicherheitsmanagement im Unternehmen Nachverfolgbarkeit von Sicherheitsanforderungen Modellbasierte Risikoanalyse Organisatorische Einbettung des Sicherheitsprozesses Betriebliche Kontinuität, IT Incident Handling und krisenanfällige Unternehmen Krisenanfällige und krisenfeste Unternehmen Neue Risiken und Krisenfestigkeit Auswirkungen auf BCM und Incident Handling F. Innerhofer- Oberperfler R. Breu Innsbruck R. von Rössing KPMG

5 Erfolgsfaktoren und Warnindikatoren Standardisierte Policy Assurance eine Vereinfachung? Bilaterale Vereinbarungen Multilaterale Vereinbarungen Audit und Auditor Veröffentlichung der Reports und Zertifizierungen EIM Darstellung des unternehmensweiten Sicherheitsstatus EIM (Enterprise Integrity Management) Ziele und Methodik Ermittlung und Darstellung des Sicherheitsstatus eines Unternehmens Berechnung der Höhe von sicherheitsrelevanten Risiken Monitoring von Sicherheitsaspekten der Regulatory Compliance Simulation der Auswirkungen von Projekten incl. Return on Investment WLAN, Mobilität und Endgeräte Leitung: P. Schartner B Einsatz mobiler Endgeräte Risiko oder Chance Klassifizierung von mobilen Endgeräten Potentielle Bedrohungen Generelle und spezielle Risiken und Gegenmaßnahmen Einteilung Eigentumsverhältnis vs. Einsatzzweck Checkliste der Sicherheitsmaßnahmen WLAN-Sicherheit von WEP bis CCMP Hintergrund und Problemstellung Sicherheitsmechanismen und Verfahren für WLANs Sicherheitslücken, Angriffe und Angriffstools Vergleich der Verfahren S. Wappler noventum W. Fang The Boing Company G. Wagner SAP AG M. Bock Teleca Systems A. Philipp Utimaco Safeware AG S. Wappler noventum E. Eren FH Dortmund K.-O. Detken DECOIT Untersuchung des Einsatzes von WLAN- Sicherheitsmaßnahmen Maßnahmen zum Betrieb sicherer WLANs Einsatzhäufigkeit von Sicherheitsmaßnahmen Gründe für den Einsatz bzw. Nichteinsatz Unternehmensspezifische Verwendung von Sicherheitsmaßnahmen D. Fischer D. Stelzer TU Ilmenau P. Steiert NetSys.IT / TeleTrusT Automatisierte Auswahl von WLAN- Sicherheitsmaßnahmen Bedrohungsanalyse der Kopplung von WLAN und Firmennetzwerk Maßnahmenkatalog zur Absicherung von WLAN-Infrastrukturen Regelwerk zur Verknüpfung von Bedrohungs- und Maßnahmenkatalog Webbasierte Applikation zur Bestandsaufnahme beim Nutzer R. Döring NetSys.IT D. Fischer D. Stelzer TU Ilmenau

6 Automatisierte Auswahl von Verbesserungsvorschlägen Ende erster Konferenztag Gemeinsames Abendessen Mittwoch März 2006 Sicherheit digitaler Medien Leitung: I. Münch A The MPEG-21 Multimedia Framework: Conversions and Permissions Permissible Adaptation of Digital Media Content Rights Expression Language Digital Item Adaptation Universal Multimedia Access Praxisnaher koalitionssicherer Fingerabdruckalgorithmus für Bilder Anforderungen an Fingerabdruckalgorithmen Beispiele für Koalitionsattacken auf digitale Wasserzeichen Ansätze für koalitionssichere Fingerabdruckalgorithmen Darstellung eines praxisnahen Fingerabdruckalgorithmus Beispielanwendungen C. Timmerer H. Hellwagner Uni Klagenfurt T. DeMartini ContentGuard Inc., USA M. Steinebach L. Croce Ferri Fraunhofer IPSI Wasserzeichentreue Bildbearbeitung Ansätze zum Integritätsschutz digitaler Bilder Zusammenspiel von Schutzmechanismen und Anwendungsumgebungen Integration eines inhaltsfragilen Wasserzeichens in einen Bildeditor Anforderungen an die Bedienbarkeit V. Hübler M. Steinebach P. Wolf Fraunhofer IPSI DRM für Multimedia Broadcasts, wie sieht das PayTV der Zukunft aus? Globales Pay-TV durch etablierte Standards Digitales Rechtemanagement als Herausforderung Lizenzmodelle unterschiedlicher Regionen Empfangsgeräte Durchsetzung regionaler Lizenzmodelle U. Greveler Ruhr-Uni Bochum Secure Computing Leitung: W. Effing B Praktische Angriffe auf eingebettete Systeme Insbesondere Consumer-Elektronik gefährdet Mangelhafte Sicherheitsprüfungen wegen Kostendruck Gefährdungen sowohl für Hersteller wie Benutzer Benutzer kann sich häufig nicht selbst schützen M. Holzt Ruhr- Bochum

7 09.25 Risiko häufig unterschätzt Seitenkanal-Analysen: Stand der Forschung in der Methodik Analyse der Implementierung von kryptographischen Algorithmen Seitenkanäle als Informationsquellen Angreifermodelle Klassifikation der Methoden K. Lemke C. Paar Ruhr- Bochum Zur Sicherheit von neuen Chipkartenbetriebssystemen Merkmale neuer Chipkartenbetriebssysteme wie Java Card 3.0 Neue Protokolle für die Kommunikation mit Chipkarten Mehrläufige Programmausführung (Multitasking, Multithreading) Sicherheitsbetrachtung der vorgestellten Merkmale W. Hinz S. Spitz Giesecke & Devrient Die vertrauenswürdige Sicherheitsplattform Turaya Hardwaregebundene Sicherheit durch Trusted Computing Architektur der Sicherheitsplattform Konzepte der Plattform Ziele und Problemlösungen EMSCB-basierte Applikationen M. Linnemann Institut für Internet- Sicherheit N. Pohlmann FH Gelsenkirchen Pause - Zeit für Gedankenaustausch egovernment und Recht Leitung: K.D. Wolfenstetter A Urheberrechtskonforme Gestaltung von Websites Allgemeine Grundsätze des Urheberrechts Einräumung von Nutzungsrechten Verwendung von Fremdmaterial Links auf fremde Websites mit Urheberrechtsverstößen? S. Janisch Salzburg PDF Signaturen mit der Bürgerkarte Was genau wird bei PDF Signaturen signiert? Können Signaturwerte angezeigt werden? Kann man anhand des Ausdrucks die Gültigkeit einer digitalen Signatur überprüfen? Erkennt man am PDF Dokument was signiert wurde? T. Neubauer E. Weippl TU-Wien A. Hollosi Bundeskanzleramt, IKT-Strategie des Bundes Overview Online Wahlen Rechtsgrundlagen in Deutschland, Österreich und der Schweiz M. Volkamer DFKI

8 Sicherheitsanforderungen an Online-Wahlsysteme Konkrete technische Umsetzungen Pilotprojekte in Deutschland, Österreich und der Schweiz Offene Fragen und Probleme Web-Anwendungen und Bedrohungen Leitung: R. Ackermann B Klassifikation der Eigenschaften von Trojanischen Pferden Trojanische Pferde als reale Bedrohung von IT-Systemen Klassifikation zur Unterstützung der Bedrohungsanalyse Beispielhafte Analyse unter Verwendung relevanter Eigenschaften Gefährdung durch Trojanische Pferde im Automobilsektor Application Roles in WebSphere Portal Zugriffskontrolle für inhaltlich zusammenhängende Ressourcen Modellierung von Rollen auf semantischer Ebene Dynamische Zuweisung komplexer Berechtigungen Vereinfachte und schnellere Administration der Zugriffskontrolle Bessere Unterstützung externer Autorisierungsanbieter R. Krimmer WU Wien S. Kiltz A. Lang J. Dittmann Otto-von- Guericke Magdeburg J. Buchwald D. Buehler T. Hurek H. Waterstrat IBM Deutschland Entwicklung Perspektiven vertrauenswürdiger Aussagen im Semantic Web Problem: Vertrauenswürdige Aussagen im Semantic Web Autorenbezogene Konzepte Modellierung einer semantischen Sicherheitsarchitektur PKI-Integration in semantische Inferenzmechanismen L. Suhrbier Freie Berlin Gemeinsame Mittagspause Biometrie Leitung: J. Dittmann Digitalisierte eigenhändige Unterschrift im Online- Banking Authentifizierung von Nutzern und Autorisierung von Transaktionen Alternative zu PIN/TAN Digitalisierte eigenhändige Unterschrift als biometrisches Verfahren Proof-of-Concept durch prototypische Umsetzung N. Repp R. Berbner TU-Darmstadt J. M. Lenz Softpro & Co. KG Untersuchung der Möglichkeit eines biometrischen On- Pen Matching Handschriftdynamik als biometrisches Merkmal Authentifikation durch Besitz & Sein Herausforderung Smart Pen Technologie Konzeption für On-Pen Matching T. Scheidat C. Vielhauer Otto-von- Guericke Magdeburg

9 14.15 Multimodalität die bessere Biometrie? Varianten multimodaler Systeme Potenzial zur Verbesserung der Erkennungsleistung Theoretische Hintergründe Konfiguration multimodaler Systeme Multimodalität in der Praxis M. Breitenstein M. Niesing secunet Security Networks AG Pause - Zeit für Gedankenaustausch Sichere s und Voice over IP Leitung: T. Obert Austausch verschlüsselter über externe Mailinglisten Sichere Kommunikation via Mail-Gateway Architektur Vorstellung einer Testspezifkation Senden und Empfangen verschlüsselter und signierter s Einbindung der optionalen Dienste LDAP und OCSP P. Steiert NetSys.IT GbR S. Wappler noventum Sichere elektronische Geschäftsprozesse via Voice over IP Elektronische Geschäftsprozesse via Voice over IP Kommunikationssysteme mit integriertem VoIP Risikoanalyse der VoIP Geschäftstelefonie Anwender- und Technologie-Sicherheit P. Merten D. Wenger S. Teufel iimt, Uni Freiburg VoIP-Sicherheit Status Quo und neue Aspekte Schutzziele und deren Bedeutung in Voice over IP Telefoniesysteme Asterisk und Skype Neue Herausforderungen SPIT Mechanismen für Sicherheit in Voice over IP Anwendbarkeit und Wirksamkeit von sicherheitsrelevanten J. Schmitt R. Ackermann M. Goertz R. Steinmetz TU-Darmstadt (KOM) Konferenzende... als Referenten haben sich zusätzlich zur Verfügung gestellt: Sicherheitsaspekte eines Mobilen Multimedia User Guides Multimedia User Guides Einsatz und Aktivierung Anforderungen Sicherheitsaspekte Lösungsvorschläge Zutrittskontrolle bei internationalen Großveranstaltungen Originalität Plagiatserkennung S. Gebbensleben J. Dittmann C. Vielhauer Otto-von- Guericke R. Krüger C. Reuthe MediaSec Technologies

10 Zutrittskontrolle Mobile Verifikation Perspektiven IT-Grundschutz-Assessments nach BSI-Standard 100 Internationalisierung des IT-Grundschutzansatzes BSI-Standard 100: ISO auf der Basis von IT-Grundschutz Assessment als erster Schritt in Richtung IT-Sicherheitsprozess Methodik und Techniken Praktische Umsetzung und Evaluation von Wet Paper Codes Steganographie in digitalen Bildern Implementierung von Wet Paper Codes Vergleich unterschiedlicher Verfahrensparameter Evaluation von Nicht-Detektierbarkeit, Transparenz, Kapazität und Komplexität A. Altrhein TÜV Informationstechnik T. Vogel M. Touchev J. Dittmann Otto-von- Guericke Magdeburg Zukunft von Enterprise Rights Management Anwendungsszenarien von RM zum Schutz vertraulicher Daten Robustheit und Angriffsmöglichkeiten Integrationsmöglichkeiten von RM mit Content Management System Interoperabilitätsaspekte beim Datenaustausch mit Externen G. Bitz SAP AG DIENSTAG MITTWOCH [Home] [Call for Papers] [Komitee] [für Autoren] [Papers] [Programm] [Anreise] [Anmeldung]