Embed Size (px)
Citation preview
IKT-
SICH
ERHEITS
-KO
NFER
ENZ
2018
IKT-SICHERHEITS-KONFERENZ 2018 CONGRESS CENTER ALPBACH (CCA)
Um Anmeldung für die Veranstaltung bis 01.10.2018 wird gebeten unter https://seminar.bundesheer.at Rückfragen: [email protected]
Anreise: CONGRESS CENTER ALPBACHAlpbach 246, 6236 AlpbachTelefon: +43 (0) 5336 600 100
Anfahrtsplan über Google Maps! Besucherparkplatz gemäß Anmeldeseite
Alpbach
Alpbacher Landesstraße
um den Gratlspitz
Alpb
ache
r Lan
dess
traße
Alpb
ach
Dor
ferb
ach
CongressCentrum Alpbach
NMS Alpbach
Rund
IKT-SICHERHEITS-KONFERENZ
mit Augmented
Reality
08:00–09:30Administration und Empfang
09:30–09:45Agenda und Begrüßung16.10.2018:
Herr Bundesminister für Landes verteidigung Mario KUNASEK
17.10.2018:
Chef des Generalstabes General Mag. Robert BRIEGER
09:45–10:0516.10.2018: Die Schweiz im Cyber-Raum verteidigen
Gerald VERNEZ, Obst i.G., Delegierter für Cyber-Defence des Verteidigungs-departements, CH
17.10.2018:Cyberverteidigung – eine nationale Herausforderung
Chef des GeneralstabesGeneral Mag. Robert BRIEGER
10:05–10:2516.10.2018: Cyberlagebild aus der Sicht des BSI
Dr. Günther WELSCH / BSI, DE
17.10.2018: Natürlich wird Intelligenz auch künstlich
Dr. Wieland ALGE / Barracuda Networks
10:30–11:10Willkommen in der digitalen Anarchie! Wieviel Chaos darf es sein? – Livehacking
Marco DI FILIPPO / Alpha Strike Labs GmbH
11:15–11:5516.10.2018: Fliegerabwehr 2030+ – Herausforderungen und Lösungs-ansätze
Fabian OCHSNER, Oberst der Schweizer Flugabwehr / Rheinmetall Air Defence AG undRobert WINDER, Obst MA / BMLV
17.10.2018: Non-IT Surveillance Attacks!
Volker SCHNAPP / Fink Secure Communication GmbH, DE
11:55–13:15Mittagspause
13:15–13:55Das Digital – Markt, Wettbewerb und Sicherheit im Cyberspace
Prof. Dr. Viktor MAYER- SCHÖN BERGER / OXFORD University, GB
14:00–14:40Prison Break 4.0 – Hollywood Hacking par excellence – Livehacking
Sascha HERZOG / NSIDE Attack Logic GmbH, DE
14:45–15:2516.10.2018: Finding the Balance between Academic Freedom, Operations & SecurityDr. Stefan LÜDERS, Head of Computer Security / CERN, CH
17.10.2018: Informationssicherheitsrisken von vernetzten Fahrzeugen – Risiken der Digitalisierung in der Automo-tive
Stephan GERHAGER / CISO ALLIANZ, DE
15:25–16:00Pause
16:00–16:40Homo digitalis oder digitaler Depp?
Anitra EGGLER / Internet-Veteranin und Bestsellerautorin
16:45–17:2516.10.2018: Errare humanum est!Der Mensch macht Fehler!
Manfred MÜLLER / Deutsche Lufthansa AG, DE
17.10.2018: Es braucht ein Netzwerk zur Bekämpfung eines Netzwerks – die Rolle Europols und des EC3s in der Bekämpfung der Cyber-kriminalität
Philipp AMANN / EUROPOL, NL
17:30–18:0016.10.2018: Cyber Security Challenge – Vorstellung, Cyber Verteidigungs-zentrum – aktuelle Lage
AbwA
17.10.2018: Cyber Security Challenge – Präsentation der Challenges
AbwA
Digitale Magie
Christoph WILKE / der Notepadmagier, DE
18:00–20:00Networking Lounge – Musik
PROGRAMM16. UND 17.10.2018 Download
BlippAR App
Cover scannen
Erhalte aktuelle Informationen zur Veranstaltung
®
Diese Einladung kann mehr mit Augmented Reality!
INDUSTRIE 4.0/MANAGEMENT
10:30–11:10IoT-Security – Zentraler Bestandteil nur in der Industrie X.0?
Marius von SPRETI / Accenture
11:15–11:55Saubere, gewaschene Daten – für viele Geschäftsprozesse unerlässlich
Ramon MÖRL / itwatch, DE
13:15–13:55Supply Chain Risk Management (Darstellung des Status Quo in der nationalen und internationalen Standardisierung der Industrie)
Dipl.-Ing. Johannes GÖLLNER / ZRK und Univ. Prof. DDr. Gerald QUIRCHMAYR / Universität Wien
14:00–14:40Internet of Babies – eine IoT SicherheitsstudieFlorian LUKAVSKY / SEC Technologies GmbH und Mathias FRANK / SEC Consult Unternehmensberatung GmbH
14:45–15:25IoT Security – Sicherheit für kritische Infrastrukturen
Marcel KISCH / IBM
16:00–16:40Quo Vadis Security?
Jan LINDNER / Panda Security, DE
16:45–17:25Digitalisierung und Industrie 4.0: Entwicklung von Netzinfrastruktur und Standorten – von der Analyse bis zu höchster Security /Mehrstufiges Sicherheits-konzept für Industrie + Public 4.0
N. N. / Rohde & Schwarz-Österreich Gesellschaft M.B.H
17:30–18:00Ene mene Miste, es rappelt in der Kiste. Ene mene Meg, deine Daten die sind weg
Hans-Peter ZIEGLER, Reinhard MAYR / COPA-DATA GmbH
TECHNIK
10:30–11:10Geben Sie smarten Cyber-Angriffen keine Chance!
René KÜSTER / baramundi software AG
11:15–11:55Unterschätztes Risiko Smartphone – Was sie über ihre Apps auf ihrem Smartphone wissen sollten
Tibor ELIAS, DI Christoph BARSZCZEWSKI / IKARUS Security Software GmbH
13:15–13:55Fully Compromised? Über den Umgang mit Schwachstellen und Hintertüren in Software, Firmware und Hardware
Dr. Robert KOCH / Zentrum für Cyber-Sicherheit der Bundeswehr, DE
14:00–14:40Ein Blick in die Hexenküche der Exploit Entwickler
Florian BOGNER / Bee IT Security
FACHVORTRÄGE 16.10.2018
FACHVORTRÄGE 16.10.201814:45–15:25Cryptocurrencys – Rechenleistung außer Kontrolle?
Franz LEHNER / Itbit IT GmbH
16:00–16:40Tor 2018 – Aktuelle Entwicklungen im Tor-Netzwerk
Wilfried MAYER, MSC / SBA RESEARCH GMBH
16:45–17:25 MyPrivacy: Sichere Zusammenarbeit in der öffentlichen Cloud – „Dropbox“ für Freunde, „Fort Knox“ für Feinde
Dipl. Ing. Lukas FABRYKOVSKY / MyPrivacy GmbH
17:30–18:00Das nächste Kapitel in der Bekämpfung von Cyberangriffen
Holger SONTAG / CyberTrap Software GmbH
CYBERSECURITY
10:30–11:10
(Militärische) Operationen in einem komplexen und verwundbaren Umfeld
Franz LANTENHAMMER / NATO Cooperative Cyber Defence Centre of Excellence, EE
11:15–11:55
Welcome to Cyber Defense!
Erwin FRIEDL, Timo JOBST / Kapsch BusinessCom AG
13:15–13:55
Automatische Applikationssicherheit auch in der Cloud – aber wie?
Jörn DIERKS / F5, DE
14:00–14:40 IT-Security for the Olympic Games:
How to successfully fend off 570 Million security events
Albert MINGUILLON / Atos
14:45–15:25 Cybersecurity – Protection that withstand
tomorrows threats – today
Jonas DELLENVALL / Advenica
16:00–16:40 Finding the needle in the haystack –
machine learning to boost your threat detection
Charles BOVY / NTT Security
16:45–17:25Wie sicherheitsrelevant ist Deep Learning?
FH Prof. DI Dr. Eckehard HERMANN, Dr. Harald LAMPESBERGER, BSc MSc, Alexander AIGNER, BSc / FH HAGENBERG
17:30–18:00Anwendungsmöglichkeiten von AR und VR im Bereich der Cybersecurity
Christian LUNGER / Motasdesign
KRITISCHE INFRASTRUKTUR
10:30–11:10 Rethinking Security for Today’s and
Tomorrow’s Critical Infrastructure
Ronen SHPIRER / Fortinet, FR
11:15–11:55Drohnendetektion – erster Einsatz auf einem zivilen Flughafen in Österreich
Dr. Werner LANGHANS / Austro Control und DI Christian LOEW / Thales Austria GmbH
13:15–13:55Stören und Täuschen von GPS und Co
ObstdhmfD Markus CHRISTIAN MA / Kdo FüU & Cyber defence und Andreas LESCH / TeleConsult Austria GmbH
14:00–14:40Drohnen die Herausforderung an die Aufklärung – Mit einer Multisensoreffektoren Lösung zum Erfolg
N. N. / ROHDE & SCHWARZ-Österreich Gesellschaft m.b.H
14:45–15:25Drohnen-Security
Dipl.-Wirtsch.-Ing. (FH) Philipp SLABY, MSc / Check Point Software Technologies
16:00–16:40Führung und Abwehr von Bedrohungen aus der Luft: Shared Situational Awareness für Drohnenabwehr und hybdride Bedrohungslagen
Karl TSCHETSCHONIG, MSc / FREQUENTIS AG
16:45–17:25Critical Incident Response – Strafverfolgungsbehörden als Klotz am Bein oder Partner in der Krise?
Dirk KUNZE / Cybercrime-Kompetenzzentrum des LKA NRW, DE
17:30–18:00IT-Kritis – Kritische Infrastrukturen
Jan LINDNER / Panda Security, DE
MANAGEMENT
10:30–11:10
Das NIS-Gesetz und dessen praktische Umsetzung aus Sicht des BMI
Dipl.-Ing. Philipp BLAUENSTEINER, Ing. Mag. Sylvia MAYER / Bundesamt für Verfassungsschutz und Terrorismusbekämpfung
11:15–11:55
Die Roboter kommen – technische und gesellschaftliche Aspekte der autonomen Fahrzeug
Philipp SCHAUMANN / www.sicherheitskultur.at
13:15–13:55
Datenfrüchte ernten und deren Schädlinge bekämpfen
Dr. Wolfgang SCHWABL, Cyber Security Officer / A1
14:00–14:40
Two Worlds and one Reality – Approaching Security and Risk in the real and the virtual World
Dipl.-Ing. Philipp REISINGER / SBA Research GmbH
FACHVORTRÄGE 17.10.2018
14:45–15:25
Der Hacker im Nachrichtendienst – Psychologie und Recht
R Mag. Dr. Günter ENGEL, HR Mag. Dr. Andreas TROLL / Abwehramt
16:00–16:40
EU US PRIVACY SHIELD
Daniel KISSLER / T-Systems Austria
16:45–17:25
Auf- und Ausbau eines Security Operation Center für KMUs
N. N. / VACE
17:30–18:00
Safer Banking
Mag. Petra POSTL / Erste Bank undDI (FH) Roland SUPPER / Head of Cyber Defense Center
MENSCH & IT-SICHERHEITIN DER DIGITALISIERUNGIN KOOPERATION MIT
10:30–11:10
Soziale Auswirkungen der Digitalisierungund digitaler Geschäftsmodelle
Mag.a Dr.in Petra SANSONE
11:15–11:55
Personalpolitik und Führung im Zeitalterder Digitalisierung
Oliver ECKEL / Cognosec undRobert WAGENLEITNER / RBI
13:15–13:55
Reporting IT-Security to the C-Suite
DI Andreas TOMEK / KPMG undMichael SCHUCH / SWARCO
14:00–14:40
Trainieren für die Komplexität – Führen mit Weitsicht
Mag. DI Dr. Maria LEITNER / AIT
14:45–15:25
Cybersecurity in der Softwareentwicklung
Peter TEUFL / A-SIT, Universität Graz
16:00–17:25
Paneldiskussion: Vertreter von Behörden und derWirtschaft berichten und diskutieren über Ihren Blickauf die Digitalisierung und über ihre Erwartungen andie Herausforderungen für die IT-Security
Teilnehmer Wirtschaft und Behörden
FACHVORTRÄGE 17.10.2018
AUDITORIUM
NATÜRLICH WIRD INTELLIGENZ AUCH KÜNSTLICH – WIELAND ALGE Die Debatte um den Vormarsch der künstlichen Intelligenz wird von Technologie geprägt. Wir müssen aber vor allem verstehen, was menschliche Intelligenz von künstlicher erwartet, um sie zu nutzen und zu akzeptieren. Wir wissen noch nicht alles, aber manche Aspekte der AI Zukunft sind schon sichtbar. Die Fortschritte bieten der IKT Sicherheit enorme Chance, Angriffe zu erkennen und abzuwehren. Wenn da nicht auch die Angreifer wären, die ihrerseits auf neue ultimative digitale Waffen hoffen. Und das zu Recht.
INFORMATIONSSICHERHEITSRISKEN VON VERNETZTEN FAHRZEUGEN - RISIKEN DER DIGITALISIERUNG IN DER AUTOMOTIVE – STEPHAN GERHAGER - ALLIANZ DEUTSCHLAND AG
Vom Automobil zum Computer auf Rädern: Mit der Entwicklung von rein mechanischen Fahrzeugen hin zu fahrenden vernetzten Computern mit vielen Sensoren und Steuergeräten bieten moderne Autos eine Reihe von Angriffsmöglichkeiten für verschiedenste Angreifergruppen. Immer wieder ist es Forschern gelungen, moderne Fahrzeuge erfolgreich anzugreifen. Durch die digitale Evolution in der Automotive entstehen bislang ungekannte Möglichkeiten für digitale Angriffe. Der Vortrag beleuchtet technische Hintergründe und die Angriffsfläche moderner Fahrzeuge und zeigt Teile der Ergebnisse der Forschungen rund um das Thema Angriffsmöglichkeiten auf moderne Fahrzeuge aus dem Allianz Zentrum für Technik in Zusammenarbeit mit der Hochschule OTH Regensburg . Darüber hinaus werden anhand vieler Beispiele die Schwächen aktueller Fahrzeuge, sowie Motivationen verschiedener Angreifer Gruppen vorgestellt. Den Abschluss bildet ein Ausblick auf entstehende Risiken für Fahrer, aber auch die Industrie sowie Zulieferer und Hersteller aus dem Blickwinkel eines großen Versicherers.
NON-IT SURVEILLANCE ATTACKS! – VOLKER SCHNAPP - FINK SECURE COMMUNICATION GMBH
Abhörtechnik - Laser Doppler Verfahren RF-Reflection Techniques Strom aus der Luft – Wanzen ohne Batterien The Great Seal 2018 Technische Potentiale der Nachrichtendienste
INDUSTRIE 4.0/MANAGEMENT – 16 10 2018
IOT-SECURITY – ZENTRALER BESTANDTEIL NUR IN DER INDUSTRIE X.0?“ - MARIUS VON SPRETI - ACCENTURE
Mit IoT verschmelzen die klassischen Grenzen zw. IT und OT. Hiervon betroffen sind nicht nur Industriebetriebe, sondern nahezu alle Sektoren. Durch IOT-Angriffsvektoren wird die Angriffsfläche exponentiell wachsen und ist derzeit nicht ausreichend abgesichert. Schwachstellen können aktiv ausgenutzt werden und zu negativen Auswirkungen für die betroffenen Unternehmen und Kunden führen. IoT Security muss ein integraler Bestandteil der gesamten Wertschöpfung werden, um das volle Potenzial der Innovationen, neuen Technologien und Geschäftsmodelle ausnutzen zu können.
„SAUBERE, GEWASCHENE DATEN – FÜR VIELE GESCHÄFTSPROZESSE UNERLÄSSLICH“ – ITWATCH – RAMON MÖRL
Unternehmen jeder Sicherheitseinstufung haben Standardprozesse, in welchen Daten von Dritten unbekannten gesichtet werden müssen. Bewerbungen in der Personalabteilung sind ein Standardbeispiel. In allen Datentypen wie ganz normalen jpg Bildern, pdf Dateien, Office Dateien kann sich Schadcode verstecken, der beim Öffnen des Dokuments sofort im Rechteraum des angemeldeten Anwenders ausgeführt wird (eingebetteter Code, Mateinformation, Makro …). Eine Virtualisierung löst das Problem nur zum Teil, weil die Daten im positiven Fall ja auch gedruckt, per E-Mail weitergeleitet an die Fachabteilung etc. also weiterverarbeitet werden sollen. Deshalb stellt itWatch hier neben den klassischen Virtualisierungen auch die neue Thematik der Datenwäsche vor, die alle bekannten Angriffsmuster sicher verhindert.
Als Beispiele werden sowohl die Standardabläufe in einer Personalabteilung als auch die juristisch, rechtssicher hinterlegten digitalen Beweismittel in der Polizeiarbeit dargestellt (digitale Asservatenkammer), um der Thematik in unterschiedlichem Schutzbedarf gerecht zu werden. INTERNET OF BABIES – EINE IOT SICHERHEITSSTUDIE - FLORIAN LUKAVSKY - SEC CONSULT UNTERNEHMENSBERATUNG GMBH IoT Geräte spielen eine immer wichtigere Rolle im täglichen Leben und sind sowohl aus beruflichem als auch aus privatem Alltag nicht mehr wegzudenken. Von der Videoüberwachung über die elektronische Zutrittskontrolle bis zum Babymonitor: alles ist mit dem Internet vernetzt. Diese Vernetzung bringt nicht nur Komfort, sondern birgt auch neue Risiken: Datenschutzverletzungen und unautorisierter Zugriff sind nur 2 Beispiele. Grund genug für SEC Consult am Beispiel von Babyphones, diese Thematik genauer zu beleuchten. In dieser Präsentation stellt SEC Consult ihre Untersuchungsergebnisse zum Babyphone „Mi-Cam“ von der Herstellerfirma miSafes vor. Die „Mi-Cam“ ist anfällig auf eine Reihe von schwerwiegenden Schwachstellen, welche es einem Angreifer erlaubt auf beliebige Babyphones zuzugreifen und über 50.0000 User Accounts zu übernehmen.
QUO VADIS SECURITY? – JAN LINDNER -PANDA SECURITY
Der Vortrag nimmt den Zuhörer mit auf eine kurze virtuelle Reise durch die Geschichte der IT Security und führt ihn schließlich einen kleinen Schritt mit in die Zukunft.
Die Entwicklung der Bedrohungen, qualitativ und quantitativ, bewirkte den Aufbau und die Entwicklung einer gewaltigen IT Security Industrie, die sich vor allem in den letzten 10 Jahren dramatisch verändert hat. Es wird verdeutlicht wie schwer wir uns oft mit neuen Technologien tun, dass wir uns dadurch oft selbst im Weg stehen und dass es manchmal eben nicht die innovativen Entwickler neuer Technologien, sondern die kriminellen Anwender der Selbigen sind, die Innovation und Fortschritt beflügeln. (Historische Beispiele)
Letztlich wird verdeutlicht, dass es zu den neuen Technologien, wie „big data infrastructure“, „deep machine learning plattformen“ und vor allem „eventbasierte Echtzeitanalyse von Prozessen“, keine Alternative gibt. DIGITALISIERUNG UND INDUSTRIE 4.0: ENTWICKLUNG VON NETZINFRASTRUKTUR UND STANDORTEN – VON DER ANALYSE BIS ZU HÖCHSTER SECURITY /MEHRSTUFIGES SICHERHEITSKONZEPT FÜR INDUSTRIE + PUBLIC 4.0 - ROHDE & SCHWARZ-ÖSTERREICH GESELLSCHAFT M.B.H
IT (Information Technology) trifft OT (Operation Technology): industrielle Steuersysteme sind heutzutage nicht nur komplett vernetzt, sie greifen auch in zunehmenden Maße auf das Unternehmensnetzwerk und das Internet zu. Digitale Kommunikation und Vernetzung steigern die Effektivität, aber sie stellen viele Unternehmen auch vor neue Sicherheitsherausforderungen.
Das industrielle Internet of Things (IIoT) bedeutet für die produzierende Industrie einen riesigen Innovationssprung. Soll IIoT ein Erfolg werden, müssen Cyberangriffe und Netzwerkprobleme jedoch rechtzeitig erkannt und konsequent abgeblockt werden, um den kontinuierlichen Betrieb und die Produktivität sicherzustellen.
Das Industrial Network Analytics and Protection System, ein mehrstufiges Sicherheitskonzept, ermöglicht das Erkennen von Protokollen und Anwendungen im Netzwerkverkehr, die Analyse der gewonnenen Daten, das Visualisieren von Anomalien und das proaktive Schützen des industriellen Netzwerks.
Mit der Case Study eines Unternehmens präsentieren wir Schritt für Schritt das konkrete Vorgehen – von der Analyse bis hin zur Implementierung in einer bestehenden Infrastruktur. Die Herausforderung: Ein deutsches Fertigungsunternehmen setzt vernetzte Maschinen ein, um die Produktion kosteneffizienter zu gestalten und einen Vorteil im internationalen Wettbewerb zu erlangen. Oberste Priorität hat daher die Minimierung des Risikos unabsichtlicher Fehlkonfigurationen im Netzwerk sowie die Abwehr von Cyberangriffen, die zu Produktionsausfällen oder Schäden an den Fertigungsmaschinen führen können. Die Lösung/Das Resultat: Durch den Einsatz des Industrial Network Analytics Systems und Firewalls war das Unternehmen in der Lage, die Herausforderungen zu bewältigen: Die
Netzwerkanalyse-Lösung prüft mit ihrem passiven Ansatz das Netzwerk in Echtzeit auf Anomalien; die Firewalls sichern es mit ihrem aktiven Ansatz mittels eines restriktiven Regelwerks.
ENE MENE MISTE, ES RAPPELT IN DER KISTE. ENE MENE MEG, DEINE DATEN DIE SIND WEG - HANS-PETER ZIEGLER - COPA-DATA GMBH
Wirken Sie mit Sicherheitsstrategien dem Datenklau und der Manipulation entgegen. Wie Normen und Standards bei der Definition von gekapselten Netzwerktopologien unterstützen – oder IEC 62443 und alles wird gut?
TECHNIK – 16 10 2018
GEBEN SIE SMARTEN CYBER-ANGRIFFEN KEINE CHANCE! - RENÉ KÜSTER, SENIOR CONSULTANT - BARAMUNDI SOFTWARE AG
Jedes komplexe System – dazu gehört sowohl Hard- als auch auf die darauf laufende Software – hat Schwachstellen. Sind entsprechende Sicherheitsupdates nicht aufgespielt, die Systeme vom Administrator nicht korrekt konfiguriert, oder liegt ein Anwenderfehler vor, können diese Schwächen relativ leicht für Angriffe auf Unternehmensnetzwerke ausgenutzt werden. Die NotPetya Angriffe im Juni 2017 vereinigten die „Vorteile“ von Petya und WannaCry (schnelle Verschlüsselung und Wurmverhalten) und stellten Administratoren und CISOs einmal mehr vor gewaltige Herausforderungen. Wie derartige Attacken verhindert und die Infrastruktur mit der baramundi Management Suite wirksam geschützt werden kann wird in diesem Vortrag im Detail beleuchtet.
UNTERSCHÄTZTES RISIKO SMARTPHONE - WAS SIE ÜBER IHRE APPS AUF IHREM SMARTPHONE WISSEN SOLLTEN -TIBOR ELIAS/CHRISTOPH BARSZCZEWSKI - IKARUS SECURITY SOFTWARE GMBH
Trotz mehrerer ausgeklügelten Sicherheitsmechanismen im Android gibt es Malware und erfolgreiche Angriffe. Eine sichere App schreiben und trotzdem ausgetrickst werden? Die Spezialisten von IKARUS erklären mit welchen Methoden die Hacker vorgehen und zeigen weitere Angriffsvektoren inklusive Live Demos.
FULLY COMPROMISED? ÜBER DEN UMGANG MIT SCHWACHSTELLEN UND HINTERTÜREN IN SOFTWARE, FIRMWARE UND HARDWARE – DR. ROBERT KOCH - ZENTRUM FÜR CYBER-SICHERHEIT DER BUNDESWEHR
Alle Gebiete des Alltags sind heutzutage hoch vernetzt und ohne IKT nicht mehr denkbar. Dies gilt gleichermaßen für den militärischen Bereich. Auch dort werden aufgrund von Kosten- und Leistungsgründen zunehmend Commercial off-the Shelf (COTS) Produkte des Massenmarktes eingesetzt. Was auf der einen Seite erforderlich ist, um leistungsfähige Waffensysteme bereitzustellen, eröffnet auf der anderen Seite jedoch zahlreiche Angriffsvektoren auf allen Ebenen und Bereichen, von der Software bis zur Hardware. Für
Streitkräfte stellen sich somit nicht nur Herausforderungen bzgl. der Sicherheit klassischer IT ist und industrieller Steuerungssysteme, sondern auch durch die zunehmende Nutzung und Verbreitung von bspw. elektronischen Gadgets, IoT- und medizinischen Geräten. Fehlende oder fehlerhafte Sicherheit sowie bewusst eingebrachte Manipulationen zur Vorbereitung künftiger Angriffe gefährden zunehmend die Cybersicherheit.
Demgegenüber stehen neue und disruptive Technologien, vom DNA-Speicher bis zum Quantencomputing, welche die Sicherheit sowohl deutlich erhöhen, andererseits jedoch auch zusätzlich herausfordern können - hier gilt es, rechtzeitig die notwendigen Schritte zu ergreifen.
Der Vortrag gibt eine Übersicht über State-of-the-Art Angriffsmöglichkeiten und stellt Ansätze zur Schaffung von Systemen mit höherer Cyber-Resilienz vor. Da gerade Hochwertsysteme oft sehr lange Laufzeiten haben, werden abschließend neue Möglichkeiten zur Prüfung der Cybersicherheit mittels Penetration Testing der nächsten Generation diskutiert.
EIN BLICK IN DIE HEXENKÜCHE DER EXPLOIT ENTWICKLER – FLORIAN BOGNER – BEE IT SECURITY Immer wieder werden Exploits im Internet veröffentlicht, die Schwachstellen in Anwendungen ausnutzen, um Systeme zu kapern. Um diese meist recht kurzen Codeelemente zu schreiben, ist jedoch ein ganz spezielles Know-How erforderlich. Daher ist oft auch unklar wie diese Exploits überhaupt entstehen. Genau diese Frage möchten wir mit diesem Vortrag beantworten. Um überhaupt eine Schwachstelle in einer Anwendung ausnutzen zu können, muss diese natürlich erst einmal gefunden werden. Dazu kann unter anderem Fuzzing eingesetzt werden. Dabei werden Eingabedaten für die zu überprüfende Anwendung verändert und das Ergebnis ausgewertet. Stürzt die Applikation beispielsweise ab, könnte es sich um ein sicherheitsrelevantes Problem handeln. Genau dies muss jedoch durch Analyse der Absturzinformationen (Crash Dumps) zuerst überprüft werden. Basierend auf den dabei gewonnenen Informationen kann abschließend das eigentliche Exploit entwickelt werden. All dies wird Live im Zuge der Präsentation demonstriert, um für alle Mal klar zu machen: Exploit Entwicklung ist zwar komplex, jedoch kein Hexenwerk!
CRYPTOCURRENCYS – RECHENLEISTUNG AUßER KONTROLLE ? - FRANZ LEHNER - ITBIT IT GMBH Viele Leute betrachten Bitcoins und Co als Zahlungsmittel. Auch der exorbitant steigende Stromverbrauch wird kritisiert. Der Strom für das Minen „Schürfen“ wird benötigt um kryptographische Puzzles zu lösen. Beim Aktuellen Wert der Cryptocurrencys und bei der Annahme, dass sobald wirtschaftlich etwas sinnvoll ist es auch gemacht wird, fließen pro Monat in etwa 4 Milliarden USD in das Minen. Schon heute haben es große Anbieter von GPU Simulatoren sehr schwer Grafikkarten zu kaufen da der Markt total leergekauft ist. Geschätzt fließt pro Monat etwa 2 Milliarden in den Einkauf von Grafikkarten.
Miner sind dezentral, global agierend, dereguliert und nicht auffindbar. Die Rechenleistungen die derzeit vorhanden sind würden es erlauben, einen full Bruteforceangriff auf die Enigma durchzuführen indem man alle Schlüssel einfach durchprobiert. Und das schon in weniger als 10 Minuten. Abgesehen von der Steigerung der Rechenleistung, dem Stromverbrauch an sich, kann diese
Rechenleistung aber auch missbraucht werden. Wie lange werden noch Verschlüsselungen
wie DES oder AES mit schlüsseln um die 64 bit sicher sein?
TOR 2018 - AKTUELLE ENTWICKLUNGEN IM TOR-NETZWERK - WILFRIED MAYER, MSC - SBA RESEARCH GMBH
Das Tor-Netzwerk ist das am weitesten verbreitete Anonymitätssystem im Internet. Manchmal nur bekannt durch Darknet-Berichterstattungen, ermöglicht das Netzwerk BürgerInnen ihre Privatsphäre im Internet zu schützen. Es werden immer wieder Angriffe auf das Tor-Netzwerk identifiziert, an den Grundlagen geforscht und zugrundeliegende Infrastruktur verändert sich. Das führt zu stetigen Veränderungen im Tor-Netzwerk.
Der Vortrag gibt einen Überblick über aktuelle technologische Themen und den Status des Tor-Netzwerks 2018.
MYPRIVACY: SICHERE ZUSAMMENARBEIT IN DER ÖFFENTLICHEN CLOUD – “DROPBOX" FÜR FREUNDE, “FORT KNOX” FÜR FEINDE - DIPL. ING. LUKAS FABRYKOVSKY – TRIANGULAR
Wir stellen eine ganzheitliche Lösung vor, welche es durch eine ingeniöse Kombination von wohletablierten Sicherheitskonzepten, sowie der innovativen CDP-Technologie (Chaotic Data Processing) ermöglicht, sensible Daten ab deren Erzeugung auf jedem Schritt abzusichern, ohne die Möglichkeit der Zusammenarbeit – sofern erwünscht – einzuschränken. Die dazu eigens entwickelte CDP-Technologie ( Patent eingereicht ) erlaubt es diese sensiblen Daten derart abzulegen, dass die Datenspeicherung sogar auf einem ungesicherten Gerät / Server / Dienst geschehen kann und somit potentiell weitaus günstiger erfolgen kann.
DAS NÄCHSTE KAPITEL IN DER BEKÄMPFUNG VON CYBERANGRIFFEN - CYBERTRAP SOFTWARE GMBH
Zunehmend versierte Hacker können die Hürden der konventionellen Securitymaßnahmen scheinbar mühelos überwinden. Ein Systemversagen liegt hier nur selten vor, häufiger sehen wir wie Hacker sich über alternative Wege in Netzwerke einklinken mit denen konventionelle Prävention und Erkennung sehr zu kämpfen haben. Es versteht sich von selbst, dass es längst nicht mehr ausreicht den Angriff an sich zu suchen. Die nächste Stufe der IT Sicherheit ist die Identifizierung der Gefahrenquelle. Es geht darum die Motive, Methoden und am Ende auch den Angreifer selbst zu identifizieren. Doch wie kommt man an die notwendigen Informationen? Die Antwort lautet: Deception Technology.
In diesem Vortrag erläutern wir die das Konzept hinter Deception Technology und wie es bestehende Maßnahmen mit den fehlenden aber notwendigen Puzzleteilen ausstatten kann
um die IT-Security der Firma zu optimieren. Zu Abschluss werden wir real-welt Usecases präsentieren.
CYBERSECURITY – 16 10 2018
(MILITÄRISCHE) OPERATIONEN IN EINEM KOMPLEXEN UND VERWUNDBAREN UMFELD – FRANZ LANTENHAMMER - NATO COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE
Mit der Anerkennung des Cyberraumes als selbständige militärische Operationsdomäne, gleichbedeutend mit Land, Luft und See, durch die Staats- und Regierungschefs der NATO-Mitgliedstaaten in der Abschlusserklärung des NATO-Gipfels im Juli 2016 in Warschau, wurde auch die Bedeutung für die militärische Operationsplanung und die strategische Rolle der Verteidigung und Nutzung des Cyberraumes auf eine neue Ebene gehoben. Verteidigung und Operationen von und mit Cybermitteln müssen in der militärischen Operationsplanung von Beginn an mit betrachtet werden.
Eine wesentliche Voraussetzung dafür ist ein einheitliches Verständnis und eindeutige Definitionen, Kenntnis der Charakteristik des Cyberraumes und seiner Eigenheiten. Dabei ist die Komplexität durch vielschichtige und inhomogene Strukturen, die Abhängigkeit von Systemen, Funktionen und die Zusammenhänge zwischen militärischen und zivilen kritischen Infrastrukturen eine Herausforderung für die Betreiber und Entscheidungsträger auf allen Ebenen.
Um den sicheren Einsatz der Cybermittel im Zusammenhang mit Operationen zu gewährleisten, ist die genaue Kenntnis der Gefahren und Bedrohungen unverzichtbar. Dabei sind der Informationsaustausch und die Zusammenarbeit zwischen militärischen und zivilen Stellen von wesentlicher Bedeutung. Militärische Operationen sind zunehmend von zivilen Unterstützungsleistungen abhängig. Diese sind wiederum auf eine offene Informationsstruktur angewiesen.
Das NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) erfasst mit seinen Forschungsfeldern, die mit technischen, strategischen, operativen und juristischen Ansätzen einen interdisziplinären Blick den Themenkomplex “Cyber Defence” und vermittelt dieses Wissen in Trainings und Kursen sowie überprüft die Anwendbarkeit in komplexen Übungen, wie der jährlich stattfindenden “Locked Shields” oder “Cross Swords”.
WELCOME TO CYBER DEFENSE! – ERWIN FRIEDL, TIMO JOBST - KAPSCH BUSINESSCOM AG
Die aktive Verteidigung von Netzwerken entwickelt sich in unseren Breiten in den letzten Jahren immer stärker. Vor mehr als 30 Jahren fand die erste bekannte Analyse eines IT-Sicherheitsvorfalls statt. Seither hat sich viel getan.
Es gibt viele unterschiedliche Modelle und Vorgehensweisen um das Zusammenspiel zwischen Defender und Angreifer zu verstehen.
Diese Modelle helfen auch bei der Planung um richtig auf Incidents zu reagieren.
AUTOMATISCHE APPLIKATIONSSICHERHEIT AUCH IN DER CLOUD – ABER WIE? – JÖRN DIERKS - F5
Digitale Transformation, die wachsende Nutzung von Cloud-Services sowie hybride Architekturen erfordern innovative Security-Konzepte und Lösungen. Seien Sie bereit, umzudenken! Mit diesem Vortrag laden wir Sie ein, den Status Quo gemeinsam zu hinterfragen und eine Applikations-zentrische Sicht auf Ihre Security-Strategie zu projizieren. Erfahren Sie unter anderem, wie Sie dynamische Workloads, egal ob On-Premise oder in der Cloud, mit automatisierter Security schützen, Nutzerdaten transparent durch Verschlüsselung absichern und mit neuartigen Abwehrmechanismen auf Bedrohungen wie z.B. Credential Stuffing und DoS und DdoS Angriffe bis Layer 7 reagieren können.
IT-SECURITY FOR THE OLYMPIC GAMES: HOW TO SUCCESSFULLY FEND OFF 570 MILLION SECURITY EVENTS - ALBERT MINGUILLON - ATOS
One of the highest stakes of the Games is therefore also to guarantee safety and security for all involved. The high visibility of the Games makes it a popular target for certain individuals. E.g. during the Games in Rio in 2016, we had to fend off 570 Million security events – without any impact on the Games. That is a total of almost 330 events per second – or about 3 times the number of songs downloaded every second. How does Atos handle this?
Imagine the sheer impact of a security breach: what if one of the critical Games applications were down for only a split-second during a competition? The competition would have to be done over. Imagine the stress on the athletes; as well as the fact that the results would very likely be different than the first – real – go.
Just like with the Games, many organizations can’t afford any kind of impact on their critical systems. Not only can valuable data get stolen or compromised, there is also the sheer cost of repairing or limiting the damage, valuable time lost and most importantly: your reputation will suffer. In the words of Warren Buffet: “It takes 20 years to build a reputation and five minutes to ruin it.”
Just looking at the infrastructure and applications for the Winter Games in PYC, we’re looking at over 50 critical IT applications connecting 12 competition venues (as well as 1 non-competition venue). There are over 200.000 accreditations to be handled, including the visa procedures (which are different for every nation) and with embedded access and control procedures to guarantee safety and security with over 100.000 hours of testing before the Games.
The International Olympic Committee (IOC) has very high expectations of us in terms of innovation and we have been able to deliver consistently with incremental and ground-breaking innovations as well.
Some of the key trends that we are working on for the next Games in Tokyo are IoT, Big Data, 5G, predictive security, AI and cloud. We work alongside of the IOC to make sure that
we implement innovations that are relevant and interesting for them in terms of making the Games unique every single time.
CYBERSECURITY – PROTECTION THAT WITHSTAND TOMORROWS THREATS – TODAY - JONAS DELLENVALL, CTO - ADVENICA
As society expands its digitalization, it is also growing much more attractive as a cyber target. The situation now is that many more industries than before are vulnerable to military cyberattacks.
No matter If you deliver transport, electricity, water or health services – there is no “cyber Geneva convention” that you can trust to keep you safe. You must assume cyber-attacks will happen and arrange your own resilience.
Learn from cyber security specialists that are trusted by nations to protect the most valuable information assets.
FINDING THE NEEDLE IN THE HAYSTACK – MACHINE LEARNING TO BOOST YOUR THREAT DETECTION - CHARLES BOVY - NTT SECURITY
Today’s Cyber Attackers are aggressive, automated, evasive and persistent causing loss of
customer trust and intellectual property. The presentation shows how Managed Security
Services help in detection threats. Being able to detect sophisticated threats in an early
stage, gives the ability to react fast which results in a lower risk and lower potential cost of
breach. NTT Security gives an overview about their Threat Detection Architecture, Threat
Intelligence, R & D, Analysis Engine and Analysts to demonstrate successful 24/7 threat
detection with the help of machine learning.
WIE SICHERHEITSRELEVANT IST DEEP LEARNING? – PROF. DR. ECKEHARD HERMANN, DR. HARALD LAMPESBERGER, BSC MSC ALEXANDER AIGNER, BSC – FH HAGENBERG
Der Deep-Learning-Boom in der Informationstechnologie hat zu einer Vielfalt an frei verfügbaren Werkzeugen geführt, die mit überschaubarem Einarbeitungsaufwand beeindruckende Ergebnisse produzieren können. In diesem Workshop wollen wir eine kurze Einführung in Deep Learning geben und anhand von Showcases, wie z. B. der Echtzeitmanipulation von Überwachungsvideos, die Sicherheitsrelevanz dieser Technologie demonstrieren.
KRITISCHE INFRASTRUKTUR – 17 10 2018
RETHINKING SECURITY FOR TODAY’S AND TOMORROW’S CRITICAL INFRASTRUCTURE - RONEN SHPIRER - FORTINET
Europe, nation-states, cities and communities’ ability to evolve, change, adapt and prosper are becoming increasingly “digital-dependent”. What is defined today as “islands” of critical infrastructure will expand to an intelligent, interconnected network of utilities. The potential benefits of such an evolution must be safeguarded by security that is intelligent, distributed
and “aware” – embedded in every aspect of the network of critical infrastructure of tomorrow.
DROHNENDETEKTION – ERSTER EINSATZ AUF EINEM ZIVILEN FLUGHAFEN IN ÖSTERREICH- DR. WERNER LANGHANS - AUSTRO CONTROL, DI CHRISTIAN LOEW – THALES AUSTRIA GMBH
(Drone detection: First successful steps towards the mitigation of threats in civil/military airports)
Drones are becoming more and more important to the world’s economy. The rapid increase of drone traffic in controlled and uncontrolled air spaces has reached a level of importance, however, not all Unmanned Aircraft System (UAS) operations comply with regulations. UAS intrusion to restricted areas is a threat that may have serious consequences to infrastructure and human lives alike. This presentation will discuss the impact of drone detection technologies and the impact of rogue or accidental intrusion of UAS into controlled air space. A successful case study on the deployment of a portable tactical radar in the take-off and landing areas of an airport will also be presented accompanied by a selection of videos that demonstrate the performance of this novel technology under various conditions.
„STÖREN UND TÄUSCHEN VON GPS UND CO.“ – OBSTDHMFD MARKUS CHRISTIAN, MA ANDREAS LESCH - KDO FÜU&CYBERDEFENCE/TELECONSULT
Finanztransaktionen ohne Zeitstempel?!? Instabile Energienetzwerke?!? Transportfahrzeuge verschollen!!! Schiffe an Land?!!
Sichere PNT-Services sind ein wesentlicher Faktor in unserer modernen Gesellschaft. PNT steht für Position-Navigation-Timing und ist aktuell in vielen Bereichen abhängig von den frei zugänglichen Services des US NAVSTAR GPS oder anderen global verfügbaren PNT-Services wie GALILEO (EU), GLONASS (RUS) und BEIDOU/COMPASS (CHN). Aber wie sicher sind all diese Systeme und deren Services? Vor allem in Hinblick auf die Gefährdung durch Stören (Jamming) und Täuschen (Spoofing)? Die Navigation in der Luft und am Land, Logistiktransporte, Energiedienstleister, IT-Netzwerke und –Services, Finanzwesen und viele andere Disziplinen unserer Gesellschaft stützen sich auf PNT-Services ab und sind von deren Genauigkeit und Richtigkeit abhängig.
Entdecken Sie die Gefahren und Abhängigkeit von Systemen und Services. Informieren Sie sich über potentielle Angriffsvektoren und mögliche Gegenmaßnahmen, um gegen Bedrohungen gewappnet zu sein.
DROHNEN DIE HERAUSFORDERUNG AN DIE AUFKLÄRUNG - MIT EINER MULTISENSOR –EFFEKTOREN LÖSUNG ZUM ERFOLG - ROHDE & SCHWARZ-ÖSTERREICH GESELLSCHAFT M.B.H
Drohnen stellen ein ernstzunehmendes Sicherheitsrisiko dar, sowohl für öffentliche Großveranstaltungen, als auch für sicherheitsempfindliche Infrastrukturen und Einrichtungen wie Kernkraftwerke, industrielle Test- und Großanlagen, Liegenschaften der Regierung und des Militärs oder Justizvollzugsanstalten. Ein besonderes Risiko liegt in der
unbefugten Nutzung solcher Drohnen für Zwecke der Spionage oder Provokation, aber auch in der Verwendung zu kriminellen und terroristischen Zwecken.
Durch eine modulare einsatzerprobte Gesamtsystem-Lösung, welche die geeignetsten Sensoren und Effektoren am Markt umfasst, und beliebig erweiterbar ist, sowie ein umfassendes Führungs- und Lagedarstellungs-System wird gezeigt wie man sich schützen kann
FÜHRUNG UND ABWEHR VON BEDROHUNGEN AUS DER LUFT: SHARED SITUATIONAL AWARENESS FÜR DROHNENABWEHR UND HYBDRIDE BEDROHUNGSLAGEN – KARL TSCHETSCHONIG - FREQUENTIS AG
Führungsunterstützung und Shared Situational Awareness in komplexen und hybriden Bedrohungslagen
- Teilstreitkräfteübergreifende Vernetzung und Kommunikation aller mobilen Einheiten, First Responders, Lagezentren und Entscheidungsträgern
- Darstellung und Integration der gesamten Luft- und Bodenlage (national bis lokal)
- Benutzer- und prozessoptimiertes Incident Management System zur Sicherstellung höchstmöglicher Effizienz
- Integration in bestehende Infrastruktur und Einbindung beliebiger Sensoren/Effektoren
CRITICAL INCIDENT RESPONSE – STRAFVERFOLGUNGSBEHÖRDEN ALS KLOTZ AM BEIN ODER PARTNER IN DER KRISE? – DIRK KUNZE - CYBERCRIME-KOMPETENZZENTRUMS DES LKA NRW
Ausgehend vom Angriff auf das Lukas-Krankenhaus in Neuss stellt der Vortragende die Erfahrungen des Landeskriminalamtes NRW bei der Bewältigung von Cyberangriffen insbesondere auf kritische Infrastrukturen (KRITIS) sowie das Umsetzen der Erfahrungen aus den bisherigen Einsätzen dar. Er skizziert die aktuellen Entwicklungen und Herausforderungen und erklärt die Maßnahmen, die das LKA NRW zur Vorbereitung auf weitere Szenarien umgesetzt hat.
IT-KRITIS – KRITISCHE INFRASTRUKTUREN – JAN LINDNER -PANDA SECURITY
Der Vortrag verdeutlicht, anhand von echten Zahlen, die veränderten Angriffsvektoren und die Probleme der IT Sicherheitsindustrie diese abzusichern. Es werden sowohl die gewünschten Anforderungen an die sichere Nutzung von IT Umgebungen aufgezeigt, als auch die Probleme dahinter. Konkrete Angriffe auf „Kritische Infrastrukturen“ werden besprochen und ein „echtes“ Beispiel aus einer europäischen Atomanlage mit detaillierten Zahlen beleuchtet. Daraus wird die Bedeutung der Anwendung modernster Technologien abgeleitet und an einem Beispiel gezeigt wie man die Sicherheit deutlich erhöhen kann.
MANAGEMENT – 17 10 2018
DAS NIS-GESETZ UND DESSEN PRAKTISCHE UMSETZUNG AUS SICHT DES BMI - BUNDESAMT FÜR VERFASSUNGSSCHUTZ UND TERRORISMUSBEKÄMPFUNG - DIPL.-ING. PHILIPP BLAUENSTEINER, ING. MAG. SYLVIA MAYER Mit dem Bundesgesetz zur Sicherheit von Netz- und Informationssystemen wurde die so genannte NIS-RL der Europäischen Union 2018 in Österreich umgesetzt. Welche Unternehmen sind nun konkret von diesem Gesetz betroffen? Welche Vorfälle sind ab sofort meldepflichtig, wie umfangreich stellen sich die verpflichtenden Sicherheitsvorkehrungen dar, und wie werden diese Sicherheitsvorkehrungen künftig vom Cyber Security Center des BMI überprüft? Im Vortrag sollen einerseits von der in den Entstehungsprozess des NIS-Gesetzes eingebundenen Juristin Sylvia Mayer die rechtlichen Hintergründe sowie vom Leiter des Cyber Security Centers, Philipp Blauensteiner, die damit einhergehend die praktische Umsetzung des BMI vorgestellt werden.
DIE ROBOTER KOMMEN - TECHNISCHE UND GESELLSCHAFTLICHE ASPEKTE DER AUTONOMEN FAHRZEUGE - PHILIPP SCHAUMANN – WWW.SICHERHEITSKULTUR.AT
Der Vortrag behandelt die Herausforderungen die sich (vermutlich) aus der Einführung von autonomen Fahrzeugen ergeben werden. Autonome Fahrzeuge werden oft verknüpft mit einem angeblichen Siegeszug des elektrischen Antriebs, dem Übergang von Fahrzeugbesitz zu Fahrzeug-Nutzung, einer Mobilität für alle (auch Kinder und ältere Personen können endlich allein fahren) und oft behaupteten positiven Aspekten für die Umwelt und die Städte. Wenn wir jedoch die Implikationen etwas tiefer untersuchen, so entdecken wir viele Effekte zweiter Ordnung die nicht auf den ersten Blick sichtbar sind. So wird eine Verfügbarkeit von billigeren autonomen Taxis zuallererst zu einem Rückgang des öffentlichen Personennaheverkehrs führen. Die riesigen finanziellen Herausforderungen z.B. für vernetzte intelligente Infrastrukturen oder elektrifizierte Autobahnen könnten zu ganz neuen Optionen für public-private-partnerships und vielleicht ganz neuen Besitzverhältnissen bei den bis jetzt noch öffentlichen Straßen führen.
DATENFRÜCHTE ERNTEN UND DEREN SCHÄDLINGE BEKÄMPFEN - DR. WOLFGANG SCHWABL, CYBER SECURITY OFFICER - A1
Wie schafft es A1 Bewegungsdaten des Mobilfunks im Spannungsfeld der Gesetze unter
Achtung der Privatsphäre aller Teilnehmer auszuwerten? Sowohl die Methode als auch
Beispiele von DataAnalytics werden vorgestellt. Und wie schützt A1 die Infrastruktur und die
Daten vor Cybercrime? Welche Schutzmaßnahmen haben sich besonders gut bewährt? Im
Zusammenspiel von Schulung/Training, Prozessen und Technik liegt die Lösung. Praxistipps
stehen dabei im Vordergrund.
TWO WORLDS AND ONE REALITY – APPROACHING SECURITY AND RISK IN THE REAL AND THE VIRTUAL WORLD - DIPL.-ING. PHILIPP REISINGER - SBA RESEARCH GMBH
Wir alle leben heute in einer Realität die reale „physische Welt“ und die virtuelle „Cyber Welt“ immer weiter miteinander verschmelzen und durch diese steigende Vernetzung und wachsende gesamtgesellschaftliche Abhängigkeit das Thema der Cyber Security immer wichtiger wird.
Um diese Realität in der wir heute leben in voller Tragweite zu verstehen wollen wir in
diesem Vortrag einen Schritt zurück machen und uns die Rahmenbedingungen, Grundsätze
und Gesetzmäßigkeiten, die unseren Umgang mit Risiken und Sicherheit in der physischen
und der virtuellen Welt bestimmen, untersuchen. Hierbei werden wir ganz besonders auf die
inhärenten Unterschiede zwischen diesen beiden Welten eingehen, um die teils neuartigen,
teils bekannten Herausforderungen im Bereich der Cyber Security aus einem anderen
Blickwinkel zu betrachten.
EU US PRIVACY SHIELD - DANIEL KISSLER - T-SYSTEMS AUSTRIA
Der Schutz der Privatsphäre bei der Verarbeitung von personenbezogenen Daten ist ein Grundrecht, welches in der Charta der Grundrechte der Europäischen Union verankert ist. Um diesem Grundrecht auch in Zeiten des digitalen Fortschritts gerecht zu werden, wurde bereits 1995 eine entsprechende Richtlinie erlassen, welche die Privatsphäre und personenbezogene Daten im Zuge der digitalen Verarbeitung schützen sollen. Im Gegensatz dazu verfügen die Vereinigten Staaten von Amerika historisch bedingt nur über ein schwaches Datenschutzniveau. Allerdings wird eine überwiegende Anzahl der digitalen Dienste von US-Unternehmen zur Verfügung gestellt, wodurch eine gesonderte Regelung in Bezug auf den Datenschutz notwendig war. Aus dieser Anforderung heraus wurde 2000 das Safe-Harbor Abkommen beschlossen, welches jedoch im Herbst 2015 aufgrund des Bekanntwerdens der Massenüberwachung der USA durch den EuGH als ungültig eingestuft wurde. Wenige Monaten später beschloss die Europäische Union gemeinsam mit den Vereinigten Staaten von Amerika ein neues Abkommen: das EU-US Privacy Shield.
Das neue Datenschutzabkommen soll gewährleisten, dass das hohe Datenschutzniveau der EU auch bei der Verarbeitung von personenbezogener Daten durch US-Unternehmen gewahrt wird.
Jedoch gibt es berechtigte Zweifel daran, ob das Abkommen das geforderte Schutzniveau etabliert, da US-Behörden über ausreichende, rechtliche Möglichkeiten verfügen, um auf personenbezogene Daten zugreifen zu können.
Es wird auf die US-Rechtslage, sowohl in Bezug auf Datenschutz, als auch auf die Möglichkeiten der US-Behörden eingegangen werden, aber auch auf die Rechtslage in der Europäischen Union. Des Weiteren werden die Datenschutzabkommen zwischen der EU und der USA untersucht und wie weit die jeweilige Rechtslage die Beeinträchtigung derer ermöglicht.
Abschließend wird ein Blick über den rechtlichen Tellerrand geworfen, da nicht nur
momentan gültige Gesetze das hohe Datenschutzniveau der Europäischen Union gefährden,
sondern auch andere multinationale Abkommen, wie zum Beispiel das Transatlantisches
Freihandelsabkommen - TTIP, auf selbiges Einfluss nehmen könnten.
AUF- UND AUSBAU EINES SECURITY OPERATION CENTER FÜR KMUS - VACE
Im Rahmen des Vortrags gehen Experten der VACE Systemtechnik auf die notwendigen Voraussetzungen für den Aufbau und Betrieb eines Security Operation Center ein. Das SOC-Team nutzt dabei als zentrale SIEM-Plattform quelloffene Komponenten und kann dadurch sowohl kosteneffizient als auch ohne erhebliche Lizenzkosten starten. Vorhandene Logquellen und Dienste werden eingebunden und durch gesicherte Zugänge werden die Daten korreliert und Sicherheitsvorfälle behandelt. Der Unterschied zu einem herkömmlichen SOC ist die bewusste Reduktion auf KMUs ab 50 Arbeitsplätze. Es wird auf die Prozesse, Architektur und die notwendigen Aufbauarbeiten Rücksicht genommen, und vorgestellt wird wie die freiwillige, digitale Cyberwehr aussehen kann.
SAFER BANKING - MAG. PETRA POSTL/DI(FH) ROLAND SUPPER - ERSTE BANK
Erste Bank und Sparkassen führen im Q3 2018 eine Studie zum Thema "Sicherheit im digitalen Banking" durch. Die wesentlichen Erkenntnisse dieser Studie können im Rahmen der IKT-Sicherheitskonferenz präsentiert werden. Wir befragen unsere KundInnen zu folgenden Themen:
Wie sicher fühlen sich unsere KundInnen mit dem digitalen Banking?
Wurden und werden sie ausreichend über Bedrohungsszenarien (Phishing, Trojaner, Malware, Social Engineering...) informiert
Persönliche Erfahrungen mit div. Bedrohungsszenarien
Erwartungshaltungen an Erste Bank und Sparkassen zum Thema Sicherheit im digitalen Banking
Abschließend: Überblick zu den eingesetzten Maßnahmen von Erste Bank und Sparkassen um die Sicherheit im digitalen Banking nachhaltig und vorausschauend sicherzustellen
MENSCH & IT-SICHERHEIT IN DER DIGITALISIERUNG
17 10 2018 in Kooperation mit
SOZIALE AUSWIRKUNGEN DER DIGITALISIERUNG UND DIGITALER GESCHÄFTSMODELLE - MAG.A DR.IN PETRA SANSONE - ÖZPGS Die Digitalisierung aller Lebensbereiche verändert nicht nur unsere Arbeitswelt, die Art wie
wir kommunizieren und wie wir Informationen beziehen, sondern auch unser soziales
Verhalten. Cybersucht, soziale Isolation und die Möglichkeit mehr oder weniger anonym und
auf große Entfernung agieren zu können führen in vielen Fällen zu aggressivem Verhalten,
Cybermobbing, Trolling, Bullying. Der Vortrag beschreibt, wie sich diese Form der
Aggressivität mit zunehmender Digitalisierung weiter entwickeln wird und wie IT-Security
dabei helfen kann, Gegenmaßnahmen zu entwickeln.
PERSONALPOLITIK UND FÜHRUNG IM ZEITALTER DER DIGITALISIERUNG - OLIVER ECKEL -
COGNOSEC U. ROBERT WAGENLEITNER - RBI
Nicht erst seit dem Auftreten von Millennials auf dem Arbeitsmarkt galt die Personalführung
in der IT als anspruchsvoller als in anderen Branchen. Mit der verstärkten Nutzung von
Clouddiensten, global verteilten Teams, agilen Projektstrukturen, etc. ist die Führung über
eine klassische Hierarchie immer stärker sowohl unpassend als auch nicht praktisch
umsetzbar geworden. Der Vortrag beschreibt, wie Personalführung in einer digitalisierten
Arbeitswelt funktionieren kann, was sich die nächste Generation an IT-Security Talenten
erwartet und wie man sie für das eigene Unternehmen gewinnen kann.
REPORTING IT-SECURITY TO THE C-SUITE DI ANDREAS TOMEK - KPMG UND MICHAEL
SCHUCH - SWARCO
Die wirtschaftliche Führung eines Unternehmens hat immer noch selten ein Verständnis für
die Themen und Aufgaben der IT-Security und der CISO hat meistens keinen direkten Draht
zu Aufsichtsrat, Vorstand oder Geschäftsführung. Eine Teilverantwortung dafür liegt in der
unterschiedlichen Sprache zwischen Wirtschaft und Technik und im fehlenden Wissen der
Techniker über die Aufgaben der Führungsebene und umgekehrt. In dieser Paneldiskussion
wird analysiert, was die IT-Security über die Aufgaben und die Entscheidungsgrundlagen der
Führungsebene wissen muss, um relevante Informationen liefern zu können und wie der
CISO berichten muss, um verstanden zu werden.
TRAINIEREN FÜR DIE KOMPLEXITÄT – FÜHREN MIT WEITSICHT - MAG. DI DR. MARIA
LEITNER - AIT
Planspiele dienen nicht nur der Vorbereitung der operativen Ebene auf reale IT-Security
Aufgaben sondern ermöglichen auch das Testen von komplexen Szenarien um
Wettbewerbsvorteile für eine Organisation zu generieren und mit Weitsicht zu Führen. In
der IT-Security ist dieser Zugang noch nicht breit etabliert, er wird aber durch die
fortschreitende Digitalisierung rasch relevanter da Entscheidungen für oder gegen Varianten
der sicheren Digitalisierung sich unmittelbar auf den Organisationserfolg auswirken. In
diesem Vortrag wird beschrieben, wie die bisherigen Konzepte für die Durchführung von
Planspielen angepasst werden können, damit sie als Führungs- und Foresightinstrument
nutzbar sind.
CYBERSECURITY IN DER SOFTWAREENTWICKLUNG - PETER TEUFL - A-SIT/UNIVERSITÄT
GRAZ
Softwarefehler sind eine zentrale Ursache für Cyberangriffe und mit der fortschreitenden
Digitalisierung wird der Ruf nach sicheren Systemen und damit sicherer Software immer
lauter. Doch warum ist Software eigentlich immer noch nicht sicher obwohl es eine Vielzahl
an Prozessen, Werkzeugen und Kontrollen gibt, um dieses Ziel erreichbar zu machen? Und
wie funktioniert Softwareentwicklung in einer globalen Welt mit Entwicklerteams in allen
Ländern der Welt, Open Source, virtuellen Systemen, mobilen Plattformen und
Clouddiensten? Dieser Vortrag beleuchtet die aktuelle Welt der Softwareentwicklung und
die Möglichkeiten und Hindernisse bei der Erstellung sicherer Software.
PANELDISKUSSION
Wo stehen Unternehmen und Behörden bei der Anpassung ihrer Unternehmenskultur, ihrer
Prozesse und ihrer Arbeitsweise im Hinblick auf die kommenden Auswirkungen der
exponentiellen Entwicklungen der Digitalisierung? Welche Maßnahmen werden im
kommenden Jahr gesetzt werden und welche Entwicklungen sehen die Organisationen auf
sich und andere zukommen? In dieser Paneldiskussion werden Vertreten von Behörden und
der Wirtschaft über Ihren Blick auf die Digitalisierung und über ihre Erwartungen an die
Herausforderungen für die IT-Security berichten und diskutieren.
