D A CH Security Technische Universität Berlin l 24. und 25. Juni 2008

Transkript

1 Gemeinsame rbeitskonferenz: GI l OCG l ITKOM l SI l TeleTrusT D CH Security Technische Universität erlin l 24. und 25. Juni 2008 ktuelle Infor mationen: syssec. at/ DCHSecurity2008/

2 D i e n s t a g 2 4. J u n i Uhr Registrierung, Kaffee und Tee Uhr egrüßung und Überblick l H. Krallmann l P. Horster Trends und Herausforderungen Leitung: T. Kob Uhr ktuelle Sicherheitsparadigmen und ökonomische Konflikte T. Glaser Paradigmenwechsel: Dezentralisierung der Informationssicherheit F. Pallas Sicherheitskultur als scheinbare Lösung TU erlin Outsourcing und Kooperation als neue Herausforderungen Das Prinzipal-genten-Problem Ökonomik als Lösungsansatz Uhr Trendbeobachtung in der Informationssicherheit P. erlich Globale (ISC)²-Personalstudie für Informationssicherheit 2008 (ISC) 2 Einzige globale Studie ihrer rt, zeigt rbeitsmarkt- und Gehälterwachstum eleuchtet nachgefragten ildungsgrad, Erfahrung und Fähigkeiten Unterstreicht die gestiegene Verantwortung und den edarf an Fortbildung Untersucht gegenwärtig und künftig eingesetzte Technologien und Tätigkeiten Uhr Datenschutz bei Internetbekanntmachungen ein Modell für egovernment? J. Klink Einführung und aktueller Stand Richterin Gefahren für den Datenschutz Technische Lösungsansätze Rechtliche Lösungsansätze ewertung und Folgenabschätzung Uhr Kommunikationspause Elektronische Geschäftsprozesse Leitung: U. Korte Uhr epod2: Electronic Proof of Delivery at Point of Delivery. Trautmann Sicherung logistischer Prozesse durch die elektronische Signatur LinogistiX GmbH Von der estellung über das Internet bis zur Übergabe an den Endverbraucher Integration in bestehende IT-Landschaften durch Service-Orientierte rchitektur Mehrwertdienste (ezahlung, Identifikation über RFID) Live-Showcase mit Signatur-Erstellungseinheit und mobilem Gerät Uhr Mobile Enterprise-Messaging Lösungen C. Russ Was ist Mobile Enterprise-Messaging R. Heinrich Führende Mobile Messaging-Lösungen Infineon Vergleich der IT-Lösungen Technologies GmbH ewertungsmöglichkeiten der IT-Lösungen Zukünftige Entwicklung von Mobile Messaging-Lösungen Uhr Transaktionsbasierte Nachweisführung in usinessprozessen S. Mark Revisionssichere transaktionale Nachweisführung in Workflows TU Dresden Standards und Konzepte verteilter Transaktions- und Workflow-Systeme nforderungen an ein transaktionales Workflow-Management-System rchitekturentwurf eines transaktionalen Workflow-Management-Systems nwendungsszenario sichere Nachweisführung Standards und Fallstudien Leitung: K.-D. Wolfenstetter Uhr usiness lignment der Information Security T. Kob Was liefert die ISO27004 Metrics & Measurements? F. Hueber ufbau eines KPI-Systems mit ISO2700x, CoIT und Grundschutz HiSolutions G Verknüpfung der KPIs über eine alanced Score Card mit Unternehmenszielen Unternehmensnutzen eines steigenden Reifegrads der ISMS-Prozesse Einbettung in einen übergreifenden Governance, Risk & Compliance-nsatz

3 D i e n s t a g 2 4. J u n i Uhr Quantitatives IT-Risikomanagement nach ISO Knäbchen IT-Risikomanagement als zyklischer nsatz basierend auf ISO M. Reil Quantitative Erfassung des betrieblichen Schadenspotentials J. Wiedemann Schwachstellen als fehlende Kontrollziele gemäß ISO ccenture GmbH Quantitative ewertung von Risikoszenarien bezogen auf die Risikoakzeptanz Nachhaltiges IT-Risikomanagement durch dezidierte Risikomanagementprozesse Uhr Ganzheitliches Sicherheitsmanagement Orientierung an einem risikoorientierten ISMS im Sinne des ISO T. Störtkuhl ufbau eines Kennzahlensystems nach dem Schema der alanced Scorecard Secaron G bleitung von Zielen der Informationssicherheit aus den Geschäftszielen Entwicklung einer Methodik zur Definition von geeigneten Kennzahlen Generierung von Steuerungsgrößen bzgl. Informationssicherheit Uhr Gemeinsame Mittagspause Dokumentensicherheit Leitung: P. Schartner Uhr Die elektronische Krankenakte R. Rieke Organisationsstruktur-basiertes erechtigungskonzept P. Ochsenschläger usführbares Modell einer Sicherheitsstrategie Z. Velikova nalyse und Verifikation von Sicherheitseigenschaften Fraunhofer-SIT Kompakte Visualisierung durch bstraktion Funktionssicherheit trotz Datensparsamkeit Uhr ürgerportale: Sichere mit akkreditierten Diensteanbietern. Wappenschmidt Spezielle dressen für zuverlässig identifizierte Nutzer S. Heyde Verbindliche Kommunikation mittels starker uthentisierung secunet G Nachweis des Inhalts und der Zustellung einer Nachricht H. Stach kkreditierung der Diensteanbieter und rechtliche Regelungen MI usblick: Pilotierung zusammen mit der Wirtschaft Uhr Sicherheit in Systemen zur Digitalen Langzeitarchivierung. Oermann Sicherheit in Langzeitarchivierungssystemen J. Dittmann Integrität und uthentizität von rchivobjekten Uni Magdeburg Feingranulare Überprüfung von Informationsverlusten S. Dobratz Syntax-Semantik-Modell HU erlin Medienbrüche und Medienwechsel uthentifizierung Leitung: H. Storck Uhr nonyme uthentifikation Prinzipien und nwendungen D. Slamanig utorisierung durch nonyme uthentifikation C. Stingl nonymität und Unverkettbarkeit von Transaktionen FH Technikum Reduktion der nonymität durch Häufigkeitsanalysen Kärnten Hybride Verfahren nwendungsbereiche Uhr Statistische nalyse verschiedener Verfahren zur Passwortwahl. Scheerhorn ieten über Eselsbrücken gebildete Passwörter wirklich höhere Sicherheit?. Gehring Verwendung der nfangsbuchstaben der Wörter eines Satzes als Passwort FH Trier Statistische nalyse derartiger Verfahren Verteilung von Eintrittshäufigkeiten entsprechend gebildeter Passwörter Ergebnisvergleich und resultierende Empfehlungen Uhr Trusted Network Connect sicherer Zugang ins Unternehmensnetz K.O. Detken Sichere uthentifizierung des Users und der Hardware DECOIT GmbH Quarantänezone für sich nicht-konform verhaltende Endgeräte Modulare Entwicklung im Forschungsprojekt SIMOIT uswahl unterschiedlicher Sicherheitsprofile Heterogene Netz- und Endgeräteunterstützung Uhr Kommunikationspause

4 D i e n s t a g 2 4. J u n i Forensik und Intrusion Detection Leitung: N. Pohlmann Uhr Offline-Forensik für vernetzte Gruppeninteraktionen. Lang nalyse des Netzwerkdatenverkehrs J. Dittmann Identifizierung und Visualisierung von strukturellen Gruppeninteraktionen Uni Magdeburg Forensische Offlineanalyse Erkennung von nicht erlaubten Kommunikationen Identifizierung von verdeckten Kommunikationskanälen Uhr Zum Einsatz einer Remote Forensic Software C. Wegener Grundlagen zur Online-Durchsuchung Ruhr-Universität Technische Möglichkeiten einer Remote Forensic Software ochum Schutzmöglichkeiten für etroffene Rechtliche spekte und das Urteil des VerfG usblick auf mögliche Entwicklungen Uhr Ganzheitliche etrachtung eines Internet Frühwarnsystems S. astke Sicherheit des Internet Institut für Internet Frühwarnung Internet-Sicherheit Globale Sicht auf das Internet Ziele eines Internet Frühwarnsystems Komponenten eines Internet Frühwarnsystems Uhr IDS als zukünftige Ergänzung automotiver IT-Sicherheit T. Hoppe edeutung von IT-Sicherheitskonzepten für das utomobil S. Kiltz Erwägung eines zukünftigen automotiven Einsatzes von IDS-nsätzen J. Dittmann Identifikation und Diskussion individueller nforderungen Uni Magdeburg Evaluierung erster nsätze an heutiger automotiver Technik Testergebnisse iometrie und Wasserzeichen Leitung: J. Dittmann Uhr Performanzmaße biometrischer Hashes am eispiel Handschrift T. Scheidat Online-Handschrift als biometrisches Merkmal C. Vielhauer Kryptografische vs. biometrische Hashfunktionen J. Dittmann Variabilität biometrischer Daten Otto-von-Guericke Neue Performanzmaße für biometrische Hashfunktionen Universität Exemplarische Evaluierung eines biometrischen Hashalgorithmus Magdeburg Uhr Multi iometric Engine ein universelles Framework K. Radestock Varianten der Multibiometrie E. Spitzwieser iometrische Grenzkontrolle mit Multibiometrie secunet G Konzept zur Implementierung in einer generischen Multi iometric Engine eispielhafte Umsetzung verschiedener multibiometrischer Verfahren Darstellung des Potentials anhand von Testergebnissen Uhr Optimiertes uslesen digitaler udiowasserzeichen M. Steinebach Robuste und transparente udiowasserzeichen Fraunhofer SIT Nutzung von Psychoakustik Detektion von Informationen daptive Optimierung des uslesens Steigerung von Robustheit ohne uswirkung auf Transparenz und Datenrate Uhr Sicherung der Echtheit von Videodaten mit digitalen Wasserzeichen S. Thiemert Inhalts-fragile Wasserzeichen M. Steinebach Interest-Operatoren Fraunhofer SIT Der erweiterte Moravec-Operator D. Thiemert Mögliche Manipulationen von Videodaten IMSS, University Robustheit und Sensitivität des Wasserzeichenverfahrens of Reading Uhr Ende erster Konferenztag Uhr Gemeinsames bendessen

5 M i t t w o c h 2 5. J u n i nwendungen und nalysen Leitung:. luhm Uhr ngriffserkennung in MNETs basierend auf Entfernungsschätzungen P. Ebinger ngriffserkennung in mobilen d-hoc-netzen (MNETs) Fraunhofer-Institut Verifikation von Positionsdaten durch Funkcharakteristika für graphische Messungen in verschiedenen Umgebungen mit Standard-WLN-Karten Datenverarbeitung Entfernungsschätzung zweier Knoten basierend auf Funksignalstärke S. ppel nwendung zur Entfernungsbestimmung durch Signalstärkemessungen TU Darmstadt Uhr Sicherheit von E-Voting Systemen. Ondrisek Hauptaufgaben und Elemente von E-Voting Systemen TU Wien Wahlgrundsätze und Wahlrecht Sicherheit von E-Voting Systemen ewertung und Optimierung der Sicherheit von E-Voting Systemen nwendung der Methode Uhr Signaturbasierte utorisierungserweiterung für Lock-Keeper F. Losemann ufbau des Lock-Keeper Sicherheitsgateways. Heuer Sicherheitsziele des Lock-Keepers ctisis GmbH Transferautorisierung mittels digitaler Signaturen Nachvollziehbarkeit durch Transferprotokolle und Transferarchivierung Erfahrungen in der Praxis Uhr Praxisbeitrag Moderne Schutzbedarfsfeststellung R. Frankenstein Sicherheit managen nie ohne Schutzbedarfsfeststellung! HiSolutions G Sensibilisierung und Vorbereitung am Projektanfang lohnt. Neue Sichtweise bei Ressourcenabhängigkeiten und -bewertung. Pragmatischer Umgang mit den Ergebnissen Mut zur Lücke! ValIT, IT-Governance und Kostenrechnung können in Zukunft helfen Web Security Leitung: S. Strobel Uhr WLN Steganographie: Neue nsätze und deren ewertung C. Kraetzer Versteckte Kanäle in WLNs J. Dittmann Steganographie und Steganalysis R. Merkel Konstruktion versteckter Speicherkanäle Uni Magdeburg Konstruktion versteckter Zeitkanäle Testverfahren für WLN-Steganographie Uhr Integration von Sicherheitsmodellen in Web Services. Fischer Unternehmensübergreifende Geschäftsprozesse mit Web Services W. Kühnhauser IT-Sicherheit und anwendungsspezifische Sicherheitspolitiken TU Ilmenau Sicherheitsmodell und HRU-Safety-nalyse Implementierungskonzept mittels xis2 Trusted Computing ase und Referenzmonitorprinzipien Uhr Konzept Jericho : Wie kann man Firewalls wirklich abschaffen? H. Goebel Perimeter-Firewalls schützen nur gegen einen kleinen Teil aktueller ngriffe Goebel Consult Verschlüsselung, uthentifizierung und Monitoring ersetzen sie weitgehend Jericho vs. Firewall: Sicherheitsbetrachtung an Hand von eispielen Herausforderungen bei der Umsetzung Wer sind die early adopters? Uhr Web Exploit Toolkits Moderne Infektionsroutinen D. irk Malware gestern und heute C. Wegener Moderne Infektionsroutinen Ruhr-Universität Funktionsweisen moderner Web Exploit Toolkits (WETs) ochum Verschiedene Web Exploit Toolkits im Vergleich WETs in der Zukunft Uhr Kommunikationspause

6 M i t t w o c h 2 5. J u n i RFID und Smartcards Leitung: P. Frießem Uhr Verteilte utorisation in RFID-Ereignissystemen E. Grummt utorisation in firmenübergreifenden RFID-Kooperationen SP Research Zugriffskontrollarchitektur für uto-id-repositories M. Schöffel Serviceorientierte Einbeziehung entfernter Zugriffsentscheidungen TU Dresden Erweiterung von XCML zur regelbasierten ehandlung großer Ereignismengen Effiziente Durchsetzung durch Nutzung von Datenbank-Mechanismen Uhr Sichere Infrastruktur zur Verwaltung eines NFC-Ökosystems G. Madlmayr Near Field Communication-Ökosystem J. Ecker Verwaltung von SmartCard-pplikationen J. Langer Konzept für ein sicheres Infrastruktursystem FH Hagenberg Evaluierung durch Prototyp J. Scharinger Einsatzszenarien Universität Linz Uhr RFID-uthentisierung in der Lieferkette der utomobilindustrie S. Schäfer RFID-Einsatz in der Lieferkette der utomobilindustrie K. Sohr Lückenlose Dokumentation der Fahrzeughistorie auf RFID-Transpondern Uni remen Datenmodell für den kontrollierten Datenaustausch in der Lieferkette Sicherung der Daten durch feingranulare Zugriffsberechtigungen Zugriffsschutz-Verfahren mit abgeleiteten Schlüsseln Risiken und Präventionsmaßnahmen Leitung: I. Münch Uhr Möglichkeiten und Risiken von LDP-Verzeichnissen K. Flieder Veröffentlichung und Datenschutz ein Zielkonflikt? FH CMPUS02 Evaluierung deutscher und österreichischer LDP-etreiber Sicherheitslücken von LDP-Verzeichnissen LDP-Zugriffe über Web Services Directory Service Markup Language (DSML) Uhr Data Leakage Prevention: lles nur eine Frage des Inhalts M. Schmidt Gefährdung der Vertraulichkeit durch Innentäter Utimaco Safeware G Gesetzliche Grundlagen und kzeptanz im rbeitnehmerumfeld Einbindung in bestehende Netzwerkarchitekturen Konzepte zur Inhaltsanalyse Fallstudie zur Integration in bestehendes Produktportfolio Uhr Empirische Untersuchung von IP-lacklists C. Dietrich IP-lacklists als ntispam-mechanismus C. Rossow Überschneidungen von IP-lack-, White- und ogonlists N. Pohlmann nalyse des bfrageverhaltens von IP-lacklists Institut für Regionale usrichtung der Nutzung von IP-lacklists und des -Verkehrs Internet-Sicherheit ktivitätszeiträume von Spamquellen Uhr Gemeinsame Mittagspause ccess Control Leitung: L. Neugebauer Uhr Integrative rchitektur für das Identity- und ccess-management K. Flieder Serviceorientierter nsatz im Identity- und ccess-management FH CMPUS02 Intermediärstrategie und das Primat der Einheitlichkeit SO, Web Services und SOP Prozessorientierte Servicekomposition Die Standards DSML, SPML, SML und XCML Uhr Zugriffskontrollsprache für Model-driven Softwaredevelopment P. Trommler Modellierung von Zugriffskontrolle in UML M.W. Weissmann Trennung von nwendungscode und Zugriffskontrolle FH Nürnberg Integration von spect Oriented Programming Spezifikationssprache: ccess Control Sets Code-Generierung

7 M i t t w o c h 2 5. J u n i Uhr erechtigungsmodellierung im Geschäftsprozessmanagement von KMU S. artsch enutzbarkeitsaspekte bei erechtigungen in Web-basierten Prozessen C. ormann Umgang mit d-hoc-prozessen, usnahmesituationen und Fehleinschätzungen Universität remen Flexibilität und Effizienz durch Selbstbedienungsparadigma für enutzer bsicherung durch Vermeidung von destruktiven Vorgängen nwendung von Monitoring, Versionierung und uthorization Constraints Sichere Webapplikationen Leitung: G. itz Uhr Identitäten in einer Service orientierten Welt Identity as a Service. Reckeweg Software as a Service braucht man das? Sun Microsystems...und wie ist es mit der Sicherheit bestellt? GmbH Die Identität als asis im Internet Konsequenzen für unternehmerisches Handeln...und wie kann es umgesetzt werden? Uhr -Krypto-Gateways K. Schmeh -Verschlüsselung auf dem Gateway entspricht nicht der reinen Lehre cv cryptovision Trotzdem ist dieser pragmatische nsatz beliebt GmbH Standardisierung ist noch nicht ausreichend Entwicklungsmöglichkeiten bestehen Client- und Gateway-Verschlüsselung schließen sich nicht aus Uhr Open-Source Webapplikationen Eine edrohung für das Internet? G. Lackner Massenhafte Verbreitung von Open-Source Content Management Systemen R. Weinberger Denial of Service-ttacken und Spam-Relays studio78.at Die edrohung durch ot-netzwerke Eine aktuelle Fallstudie est-practice und lternativen Uhr Kommunikationspause Service orientierte nwendungen Leitung: H. Reimer Uhr SO Security: Symmetric Key Management Systems based on SKML. Philipp Enterprise Key Management die nforderungen Utimaco SKML Vorstellung des Protokolls Safeware G Stand der Standardisierung SKML Einsatzgebiete, vorgestellt anhand einer OpenSource Implementierung Grenzen von SKML Uhr Integration von Security in ein SO-Vorgehensmodell. luhm SO-Security C. Schröpfer Vorgehensmodellanalyse TU erlin Management spekte von SO-Security Security Integration in SO-Vorgehensmodell Ergänzung von und Zusammenspiel mit technischen spekten Uhr Security als Service in SO-Infrastrukturen. Quint Security in Service-Orientierten rchitekturen CORISECIO GmbH nforderungen an Modellierung, dministration, Workflows Einsatz von Security-Standards und Integration vorhandener Lösungen Lokale und Domänenweite rchitekturansätze für Security Services SO Security utomation von Modellierung über Roll-Out bis zum udit Uhr Konferenzende... als Referenten haben sich zusätzlich zur Verfügung gestellt: Mobile Forensics bewegte Spuren S. Krause HiSolutions G Java-basierte Simulation von Smartcards R. Wigoutschnigg, P. Schartner Universität Klagenfurt Über die lokale und verteilte Erzeugung systemweit eindeutiger Zufallszahlen M. Schaffer, P. Schartner Universität Klagenfurt Die eiträge dieser Referenten finden Sie auch im Tagungsband zur Konferenz.

8 n m e l d u n g & Te i l n a h m e b e d i n g u n g e n D CH Security und 25. Juni 2008 Technische Universität erlin nmeldung zur Konferenz Online-nmeldung unter: Unter dieser dresse kann auch ein ausdruckbares nmeldeformular herunter geladen werden. Teilnahmebedingungen ei nmeldung bis zum 23. Mai 2008 beträgt die Frühanmeldegebühr 320 zzgl. MWSt. ( 380,80) bei nmeldung ab 24. Mai 2008 beträgt die Teilnahmegebühr 390. zzgl. MwSt. ( 464,10). Die Teilnahmegebühr beinhaltet ein Exemplar des Tagungsbandes (Hardcover mit ISN), Pausengetränke, Mittagessen an beiden Konferenztagen und ein gemeinsames bendessen am ersten Konferenztag. ei Stornierung der nmeldung bis 11. Juni 2008 (Datum des Poststempels) wird eine earbeitungsgebühr von 75. (inkl. MwSt.) erhoben. Nach dem 11. Mai 2008 ist die volle Tagungsgebühr zu entrichten. Es ist jederzeit die enennung einer Ersatzperson ohne zusätzliche Kosten möglich. Zusätzliche Tagungsbände Zusätzliche Tagungsbände können bestellt werden unter: Organisationskomitee Organisationskomitee D CH Security 2008 Peter Kraaibeek ogenstr. 5a D Nordhorn Telefon: ++49 (0) Peter@Kraaibeek.com Programmkomitee: P. Horster Uni Klagenfurt (Vorsitz) R. ckermann TU Darmstadt H. aier FH ingen G. itz SP J. izer ULD Schleswig-Holstein. luhm TU erlin C. usch Fraunhofer IGD J. Dittmann Uni Magdeburg W. Effing Giesecke & Devrient D. Fox Secorvo P. Frießem Fraunhofer SIT E. Haselsteiner NXP Semiconductors D. Hattenberger Uni Klagenfurt S. Janisch Uni Salzburg D. Jäpel IM CH T. Kob HiSolutions U. Korte SI P. Kraaibeek secunet H. Krallmann TU erlin W. Kühnhauser Uni Ilmenau P.J. Kunz Daimler S. Lechner JRC H. Leitold -SIT I. Münch SI L. Neugebauer ITKOM C. Paar Uni ochum G. Pernul Uni Regensburg N. Pohlmann FH Gelsenkirchen R. Posch TU Graz H. Reimer TeleTrusT. Roßnagel Uni GH Kassel M. Schaffer NXP Semiconductors P. Schartner Uni Klagenfurt D. Sommer IM Research H. Storck Nokia Siemens S. Strobel cirosec J. Taeger Uni Oldenburg S. Teiwes PWC CH S. Teufel Uni Fribourg G. Weck Infodas C. Wegener Uni ochum G. Welsch TeleTrusT K.-D. Wolfenstetter DTG Organisation: D. Cechak Uni Klagenfurt P. Kraaibeek secunet. luhm TU erlin Titelbild: brandxpictures/digital Vision