Security Trends: Cybersecurity - Pentesting - Schutz von Software - DSGVO 2021 - Conect
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Security Trends:
Cybersecurity – Pentesting – Schutz
von Software – DSGVO 2021
Donnerstag, 6. Mai 2021
8.45–14.00 Uhr
Online
ReferentInnen:
x DSGVO – Lessons learned 2021 Markus Frank (Frank Law), Katharina
x Red Teaming: Der verdeckte Angreifer im internen Netzwerk Hofer-Schmitz (Joanneum Research),
Peter Lieber (LieberLieber), Wolfgang
x Gerichtstaugliches Pentesting nach ASVS Prentner (ZTP.digital), Christoph Ritter
(SySS GmbH), Erwin Schoitsch (AIT –
x Cyberrisiken frühzeitig erkennen – formale Verifikations- Austrian Institute of Technology), Bene-
dikt Stürmer-Weinberger (Cordaware),
methoden für IoT Thomas Ziebermayr (SCCH) und andere
x VPN & RDP als Ressourcen-Killer mit Sicherheitslücken – Moderation: Christoph Schmittner (AIT)
Homeoffice umsetzen mit einem Zero-Trust-Ansatz?
x Sicherheit und Schutz von Software: Neue Methode gegen
Raubkopien und Hackerangriffe
Ehreneinladung bei freiem Eintritt.
x Cybersecurity-Herausforderungen in Smart Manufacturing Anmeldung erforderlich!
Mit freundlicher Unterstützung von:8.45 Einführung in die HOPIN-Plattform und Zum Thema men aufgrund fehlender Hintergrundinformationen
Networking zu potenziellen Angreifern kaum risikoorientiert
9.00 Begrüßung In einer zunehmend vernetzten und technologie- eingesetzt werden oder Security- und Privacy- Ex-
9.05 DSVGO – Lessons learned 2021 getriebenen Geschäftswelt ist das Thema Ver- perten oftmals viel zu wenig in Digitalisierungspro-
Markus Frank (Frank Law) trauen wichtiger denn je. Fast jedem zweiten Un- jekten eingebunden werden.
9.50 Red Teaming: Der verdeckte Angreifer im ternehmen weltweit gelingt es jedoch nicht, sich (Quelle: Digital Trust Insights 2019 von Price Waterhouse)
internen Netzwerk adäquat gegen digitale Bedrohungen zu wappnen
Christoph Ritter (SySS GmbH) und sie riskieren dadurch den Verlust des Vertrau- Sicherheitstest für mobile Applikationen – Warum
ens ihrer Kunden und der Gesellschaft: Nur gut reines Vertrauen auf TLS/SSSL nicht genug ist
10.15 Gerichtstaugliches Pentesting nach ASVS
Wolfgang Prentner (ZTP.digital) die Hälfte der Unternehmen (53 Prozent) integriert Sicherheitstests sind ein fundamentaler Aspekt
Maßnahmen zum Management von Cyber und Da- in vielen weit verbreitete Methoden des Software-
10.40 Pause inkl. Networking und Ausstel-
tenschutzrisiken vollständig von Beginn an in ihre Testings. Allerdings ist es oftmals der Fall, dass die
lungsrundgang
digitalen Transformationsprojekte. Zu diesem Er- eingesetzten Security-Protokolle nicht hinterfragt
10.55 Cyberrisiken frühzeitig erkennen – gebnis kommen die Digital Trust Insights, eine in- oder getestet werden. In diesem Vortrag geben wir
formale Verifikationsmethoden für IoT ternationale Befragung von 3000 Führungskräften einen kurzen Überblick darüber, wie aufgrund die-
Katharina Hofer-Schmitz (Joanneum
in 81 Ländern im Auftrag von PwC. ser Praxis essentielle Sicherheitslücken im Rah-
Research)
So zeigte die Studie etwa, dass Sicherheitsvor- men von Sicherheitstests und der Qualitätskon-
11.25 VPN & RDP als Ressourcen-Killer mit Si- kehrungen vielfach nicht mit den Geschäftszielen trolle übersehen werden. Dabei konzentrieren wir
cherheitslücken – Homeoffice umsetzen in Einklang gebracht werden, Sicherheitsmaßnah- uns auf zwei grundsätzliche Probleme:
mit einem Zero-Trust-Ansatz?
Benedikt Stürmer-Weinberger (Cordaware)
11.50 »Security by Design«: Mit Methode und External Megatrends
Regelwerk Bedrohungen analysieren Beyond Your Control
und Risiken bewerten
Peter Lieber (LieberLieber) Skills Gap
12.15 Pause inkl. Networking und Ausstel-
lungsrundgang
12.30 Sicherheit und Schutz von Software: Regulation
Neue Methode gegen Raubkopien und and Privacy
Attackers Your
Hackerangriffe
Thomas Ziebermayr (SCCH) Organization
Quelle: Gartner Group
13.10 Cybersecurity-Herausforderungen in
Smart Manufacturing Application Scale
Erwin Schoitsch (AIT) Endpoint
Diversity and Complexity
13.40 Networking
14.00 Ende des EventsDie Definition eines korrekten und umfassen- ring-Techniken verwendet. Dabei werden Schwach- deutlich. Prävention durch eine
den Angreifermodells, sowie das Setzen von Ver- stellen in den folgenden Bereichen erarbeitet: frühzeitige Erkennung von po-
trauen in den Client bei der Nutzung kryptographi- x Systemsicherheit tentiellen Schwachstellen ist
scher Algorithmen. x Unternehmensprozesse daher essentiell. Eine rein funk-
Peter Kieseberg, FH St.Pölten x Mitarbeiter-Awareness tionale Sicherheitsevaluierung
Ebenso kann diese Herangehensweise genutzt ist dabei nicht ausreichend. Bei-
werden, um Notfallübungen im Bereich IT-Sicher- spielsweise können Protokolle
DSGVO – Lessons learned 2021 heit durchzuführen oder die Fähigkeiten des inter- auch unter Verwendung von Katharina
Hofer-Schmitz
nen IT-Security Teams zu testen. starken kryptographischen Pri- (Joanneum Research)
Was Sie in meinem Kurz-Vortrag mitiven durch die Art der Kom-
erwartet: position der Kommunikation Sicherheitslücken
x DS-Management-Systeme Gerichtstaugliches Pentesting nach ASVS aufweisen. Eine Methode, um strukturiert poten-
und Datenschutz-Audits tielle Sicherheitsprobleme aufzudecken, sind for-
gemäß DSGVO? Pentesting und ganze Red Team male Verifikationsmethoden. Diese Technik bein-
x Dokumentations-Pflichten Operations die wir durchführen, haltet logische und mathematische Methoden, mit
zur DSGVO-Compliance! sind zumeist eine sehr indivi- der design-bedingte Schwachstellen frühzeitig er-
x Entscheidungen und (Behör Markus Frank (Frank duelle und kreative Arbeit der kannt werden können. Zwei Anwendungsfelder
Law)
den-)Meinungen zu diversen einzelnen Pentester. Um das werden detaillierter betrachtet: Einerseits formale
DSGVO-Pflichten und zu Schadenersatz- und Pentesting in einen nachvoll- Verifikation von Sicherheitseigenschaften von IoT-
Bußgeld-Risiken ziehbaren und systematischen Protokollen und anderseits formale Methoden für
Rahmen zu pressen, bedie- Wolfgang Prentner eine Risikoanalyse einer IoT-Architektur am Bei-
(ZTP.digital)
nen wir uns von ZTP.digital dem spiel der smarten Steuerung einer Wasserversor-
Red Teaming: Der verdeckte Angreifer im OWASP Application Security Verification Standard gungsinfrastruktur.
internen Netzwerk (ASVS) um auch gerichtstaugliche Cyber-Security
Prüfberichte in Form von IT-Ziviltechnikergutach-
Red Teaming ist eine Prüf- ten, staatlich befugt und beeidet, liefern zu kön- VPN & RDP als Ressourcen-Killer mit Si-
methode, welche immer ver- nen. Wir erklären dabei Vorgehensweise und In- cherheitslücken – Homeoffice umsetzen mit
breiteter wird, unter anderem halt des ASVS-Standards und unserer Gutachten. einem Zero-Trust-Ansatz?
auch auf Grund von gesetzlichen
Vorgaben in bestimmten Bran- Aufgrund der aktuelle Situation
chen. Für viele Unternehmen Cyberrisiken frühzeitig erkennen – bleibt das Thema Homeoffice
ist diese Herangehensweise formale Verifikationsmethoden für IoT höchst aktuell. Viele Unterneh-
noch neu. Red Teaming ist eine Christoph Ritter men entscheiden sich bei der
(SySS GmbH)
Prüfmethode, bei welcher ein IoT-Geräte verfügen oftmals nur über geringe Re- Umsetzung, trotz großer Sicher-
Benedikt Stürmer-
Dienstleister das Unternehmen über einen län- chen- und Speicher-Ressourcen. Dies erschwert heitslücken, hoher Investitio- Weinberger (Corda-
geren Zeitraum angreift und auch Social Enginee- die Erkennung von Cyberangriffen direkt am Gerät nen in Hard- und Software und ware)kostspieligen IT-Know-how, für VPN- und RDP-Lö- Sicherheit und Schutz von Software: Cybersecurity-Herausforderungen im
sungen. Neue Methode gegen Raubkopien und Smart Manufacturing
Hierbei stellt sich die Frage: Ist das überhaupt Hackerangriffe
noch zeitgemäß und geht das nicht viel effizienter? Im Rahmen der CON•ECT Infor
Produkte werden immer intel- munity wurden viele Themen
ligenter. Angefangen von der und Anwendungsdomänen be-
»Security by Design«: Mit Methode und smarten Zahnbürste hat mittler- züglich (Cyber-) Security-Heraus-
Regelwerk Bedrohungen analysieren und weile beinahe jedes technische forderungen bereits behandelt,
Risiken bewerten Produkt eine Software-Kom- kaum aber das Gebiet der in-
ponente. Insgesamt nimmt der telligenten industriellen Auto-
Sicherheitsanalysen etablie- Anteil der Software in Produk- mation. Aber gerade im Umfeld Erwin Schoitsch (AIT)
ren sich nur langsam in den IT- ten zu. Das beeinflusst sowohl Thomas Ziebermayr von »Industrie 4.0« spielt die Vernetzung der (inho-
(SCCH)
Entwicklungsprozessen. Dabei Kosten als auch Funktionalität. mogenen) Teilsysteme, untereinander im Produk-
sind jetzt Software intensive Auch die Intelligenz der Produktionsmaschinen tionsprozess und mit Logistik- und Supply-Chain-
Branchen mit sicherheitskriti- wird zunehmend durch Software getrieben. Das Partnern in der Außenwelt, mit einer Vielzahl von
scher Infrastruktur durch den bedeutet: immer mehr wertvolles Wissen steckt in betroffenen Stakeholdern, eine große Rolle, wo-
Regulator dazu verpflichtet, wie der Software, die immer öfter zum Ziel für Hacker durch sie besonders angreifbar werden können
zum Beispiel UNECE WP29 / ISO/ Peter Lieber wird. Daher sind der Schutz der Software und der für Bedrohungen im Sinne der IT-Sicherheit (Se-
(LieberLieber)
SAE-21434. Cyber Security Mo- Urheberrechte essenziell. Es gibt bereits zahlrei- curity). Völlig neue Maschinenkonzepte und auto-
delling mit ThreatGet setzt »Security by Design« che Lösungen, aber auch einigen Verbesserungs- nome Entscheidungsprozesse in kritischen Abläu-
konsequent um. Damit werden mögliche Bedro- bedarf, sowohl was den praktischen Einsatz als fen bieten nicht nur ungeahntes Effizienzpotential
hungspotenziale identifiziert, dokumentiert und si- auch die Sicherheit betrifft. Im Vortrag stellen wir in der selbstorganisierenden, flexiblen Produktion,
cherheitskritische Probleme mit Lösungsvorschlä- einen neuen Ansatz vor an dem wir gerade for- aber im Bedrohungsfall können sowohl Personen
gen adressiert. schen, um dieses komplexe Problem zu lösen. Das als auch große Sachwerte gefährdet werden.
Als Grundlage dient ein einzigartiger Bedro- Ziel ist, die Software gegen Attacken von außen ab- »Smart« kann am besten mit »intelligent« über-
hungskatalog, der vom Austrian Institut of Techno- zusichern, Raubkopien zu verhindern und somit setzt werden, im Sinne der Definition durch das
logy (»AIT«) entwickelt wurde und über 1‘400 Be- das geistige Eigentum der Unternehmen zu schüt- ISO Technical Management Board, Strategic Advi-
drohungsparameter berücksichtigt. Mit ThreatGet zen. Gemeinsam mit der Münchner Universität der sory Board bedeutet »smart« »capable of some in-
steht auch unabhängigen Security-Experten ein Bundeswehr (Institut für Systemsicherheit), der dependent action«, d. h. kann teilweise autonom
neuartiges, methodisches Vorgehensmodell für École Polytechnique Fédérale de Lausanne, der unabhängige Entscheidungen treffen. Damit sind
ihre Kunden zur Verfügung. belgischen KU Leuven (Institut für Informatik) und viele Angriffsflächen und deren Cybersecurity-Ri-
ThreatGet wurde vom Report Magazin mit dem dem Embedded Systems Lab am FH Campus Ha- siken offen – werden doch viele neue IT-Techno-
»eAward 2020« in der Kategorie »Industrie 4.0« genberg entwickeln die Hagenberger ForscherIn- logien miteinander verbunden, wie IIoT (Industrial
als Kategoriesieger ausgezeichnet. nen gänzlich neue Methoden dafür. Internet of Things), Künstliche Intelligenz und Ma-
chine Learning, Edge- und Cloud-Technologien, kol-
laborative und autonome Roboter, Fahrzeuge undMaschinen, Digital Twin und vorausschauende und Peter Lieber ist »Parallel Entrepreneur« in der Soft- in einem Systemhaus für unterschiedliche mittel-
-planende Simulation und Wartung, drahtlose Kom- ware Industrie. Seine aktuellen Unternehmen Sparx ständische Unternehmen tätig. Seit 2016 bietet Rit-
munikation, neue Produktionstechnologien. Auch Systems CE, Sparx Services CE / Switzerland und ter außerdem die Vorlesung »Penetration Testing
mögliche Industriespionage spielt eine Rolle. LieberLieber Software bieten innovationsgetrie- und Computerforensik« an der Hochschule Aalen
Die Digitalisierung der industrielle Produk- bene Informationstechnologie: Modellbasierte an. Red Teaming zählt neben der Analyse interner
tion und des gesamten wirtschaftlichen Umfel- Software, Consulting, Schulung und Training. Die und externer IT-Infrastrukturen, Webanwendungen
des führte zu neuen Schwerpunkten in der Standar- strategische Ausrichtung dieser Unternehmen hat und Windows-basierter Verzeichnisdienste zu Rit-
disierung: Industrie 4.0, Smart Manufacturing, die zum Ziel, Kunden einen substanziellen Beitrag an ters Arbeitsschwerpunkten bei der SySS. Neben
Zusammenführung verschiedenster »Assets« aus die digitale und soziale Wertschöpfungskette zu Social Engineering liegen weitere Kompetenzen
betroffenen technischen Bereichen, wobei sich in liefern. Mit seiner jüngsten Unternehmensinitia- im Bereich Incident Response (v. a. Memory Foren-
jedem Teilbereich eine Task Force/Task Group zur tive »THREATGET« bietet er Partnern ein ganzheit- sik). Seit Ende 2018 leitet Ritter die Red Teaming-
»Cybersecurity« gebildet hat. Der Vortrag wird ei- liches Framework für das aktuell wichtigste Thema Abteilung der SySS.
nige Smart Manufacturing Use Cases herausgrei- in der ICT: »Cyber Security by Design«.
fen und damit verbundene Cybersecurity-Heraus- Peter Lieber ist Präsident des Verbandes öster- Christoph Schmittner ist wis-
forderungen diskutieren, vom Produktionssystem reichischer Softwareindustrie und Präsident des senschaftlicher Mitarbeiter beim
bis zur KI-Security. österreichischen Gewerbevereins. Austrian Institute of Technology
im Bereich Safety and Security.
ZT Dr. Wolfgang Prentner, seit 1998 IT-Ziviltechniker Seine Schwerpunkte sind Safety
im Fachbereich Informationstechnologie. Ge- Engineering, Road Safety, Em-
schäftsführer der ZT-PRENTNER-IT GmbH, Gerichts- bedded Systems, Autonomous
ReferentInnen sachverständiger und promovierter Informatiker Robotics, Automotive Systems Engineering, Com-
an der TU Wien. Als unabhängige Prüf- und Über- puter Security and Reliability etc.
Dr. Markus Frank ist als Rechtsanwalt in Wien spe- wachungsstelle für Informatik, CyberSecurity, Da-
zialisiert auf Datenschutz- und Wirtschaftsrecht. tenschutz und dem INTERNET-SICHERHEITSGURT Dipl.-Ing. Erwin Schoitsch studierte an der TU Wien
Er beschäftigt sich seit Jahren intensiv mit Daten- unterstützt er außerdem in ehrenamtlicher Funk- Technische Physik und zusätzlich Rechentechnik. Er
schutz-Management-Systemen. Er ist als Rechts- tion die Länderkammer, die Bundeskammer und arbeitet seit über 40 Jahren im AIT Austrian Insti-
experte im Beirat der Zertifizierungsgesellschaft das Bundeskomitee Die Freien Berufe Österreichs tute of Technology, Safety & Security Department,
CIS vertreten und fungiert als Vortragender im Rah- sowie das Bundeskanzleramt seit 2004. im Bereich der sicherheitsrelevanten und zuver-
men von Zertifizierungslehrgängen. lässigen Computersysteme, Prozesssteuerungen,
Christoph Ritter hat eine duale Ausbildung zum Echtzeitsysteme und der kritischen eingebetteten
Dipl.-Ing. Dr. Katharina Hofer-Schmitz ist Senior Fachinformatiker für Systemintegration absolviert Systeme. Er ist auch seit langem in der interna-
Researcher in der Forschungsgruppe Cyber Secu- sowie Angewandte Informatik an der DHBW Mos- tionalen Standardisierung (IEC, ISO) der funktio-
rity and Defence am Institut DIGITAL bei JOANNEUM bach studiert. Seit 2014 ist Ritter Penetrationstester nalen Sicherheit als delegierter österreichischer
RESEARCH. Sie beschäftigt sich mit ML/AI zur Er- und IT-Sicherheitsberater für die SySS GmbH. Zuvor Experte aktiv.
kennung von Cyberangriffen sowie formalen Me- war er als Serveradministrator, Netzwerkadminis- Er war und ist in vielen nationalen und Europäi-
thoden für Security by Design. trator, Sicherheitsberater und Helpdesk-Mitarbeiter schen Forschungsprojekten auf diesem Fachgebiettätig, derzeit vor allem in ARTEMIS Projekten (»Ad-
vanced Research and Technology for Embedded
Intelligence and Systems«), einer spezielle indus-
trienahe Förderschiene des Rahmenprogramms
mit eher großen bis sehr großen Forschungspro- Certified Information Sys Certified Secure Software
jekten. tems Security Professional Lifecycle Professional
Benedikt Stürmer-Weinberger ist seit 2010 für die (CISSP) (CSSLLP)
Firma Cordaware GmbH für Kommunikationspro- In Zusammenarbeit mit SBA Research gGmbH In Zusammenarbeit mit SBA Research gGmbH
jekte tätig und auf die Organisation, Planung, Bera-
tung und Durchführung von internen und externen Referenten: Referent:
Projekten im Bereich der Informationslogistik und DI Philipp Reisinger, BSc, Dr. Ulrich Bayer (SBA Research)
Kommunikation und Zusammenarbeit spezialisiert. Dr. Ulrich Bayer (SBA Research) Termin: 26.–30. April 2021, Wien
Termin: 13.–17. Sept. 2021, Wien
Dr. Thomas Ziebermayr, Area Manager Software Die Prüfung zum CSSLP umfasst 8
Science leitet den Bereich Software Science. Die Inhalte des Seminars Bereiche, welche alle Bereiche der
Forschungsschwerpunkte in diesem Schwerpunkt Der Kurs vermittelt den Teilneh- Softwareentwicklung abdecken. Die KandidatInnen
sind Software Qualität, Software Test, Code Ana- merInnen alle Elemente und Be- bekommen durch diese Zertifizierung ein breites
lyse und Wissensextraktion aus Software, Software reiche des Common Body of Know- Verständnis für die technischen, organisatorischen
Architekturen, Redokumentation und Engineering ledge (CBK). Die TeilnehmerInnen und menschlichen Faktoren, welche für eine ganz-
von sicherer Software. Ein sehr wichtiges Thema lernen dabei die Entwicklung von heitliche Absicherung des Softwareentwicklungs-
ist auch das Engineering von KI-Systemen und die Sicherheitsrichtlinien, Sicherheit prozesses zusammenspielen müssen.
Integration von KI in kritische Software Systeme in der Softwareentwicklung, Netzwerkbedrohun- 1. Secure Software Concepts
sowie die Zukunft des Softwareengineerings auch gen, Angriffsarten und die korrespondierenden 2. Secure Software Requirements
mit KI. Das umfasst im Forschungsthema Human Gegenmaßnahmen, kryptographische Konzepte 3. Secure Software Design
Centered Software Engineering auch das Thema und deren Anwendung, Notfallplanung und -ma- 4. Secure Software Implementation/Coding
Human Centered AI. Neben der Bereichsleitung lei- nagement, Risikoanalyse, wesentliche gesetzliche 5. Secure Software Testing
tet er das Projekt DEPS Pilot – hier geht es um die Rahmenbedingungen, forensische Grundlagen, Er- 6. Software Acceptance
Erforschung von Methoden zur Absicherung von mittlungsverfahren, physische Sicherheit und vie- 7. Software Deployment, Operations, Maintenance
Software speziell im industriellen Umfeld. les mehr. Dies alles trägt zu einem stimmigen Si-
and Disposal
cherheitskonzept und -verständnis bei.
8. Supply Chain & Software Acquisition
Teilnahmegebühr: € 3.000,–; Prüfung: € 650,– Teilnahmegebühr: € 3.000,–; Prüfung: € 555,–
(Alle Preise + 20 % MwSt.) (Alle Preise + 20 % MwSt.)
Information und Anmeldung: www.conect.at Information und Anmeldung: www.conect.atAn
CON•ECT Eventmanagement
1070 Wien, Kaiserstraße 14/2
Tel.: +43 / 1 / 522 36 36 – 36
Fax: +43 / 1 / 522 36 36 – 10 Anmeldung
E-Mail: registration@conect.at
http://www.conect.at
z Ich melde mich zu »Security Trends« am 6. 5. 21 kostenfrei an.
z Ich möchte Zugriff auf die Veranstaltungspapers zu € 99,– (+ 20 % MwSt.)
z Ich möchte in Zukunft weiter Veranstaltungsprogramme per E-Mail oder
Post übermittelt bekommen.
Firma:
Titel: Vorname:
Nachname:
Funktion:
Straße:
Zielgruppe: Unternehmensleitung, Sicherheitsverantwortliche, IT-Vor- PLZ: Ort:
stand, IT-Entscheider, IT-Verantwortliche sowie Vertreter von Medien
und Wissenschaft.
Telefon: Fax:
E-Mail:
ANMELDUNG: Nach Erhalt Ihrer Anmeldung sen- gebühr in Höhe von € 50,– in Rechnung. Selbst-
den wir Ihnen eine Anmeldebestätigung. Diese verständlich ist die Nennung eines Ersatzteilneh- Datum: Unterschrift/Firmenstempel:
Anmeldebestätigung ist für eine Teilnahme am mers möglich.
Event erforderlich.
Layout: Gerhard Krill
ADRESSÄNDERUNGEN: Wenn Sie das Unterneh- z Ich erkläre mich mit der elektroni-
STORNIERUNG: Sollten Sie sich für die Veranstal- men wechseln oder wenn wir Personen anschrei- schen Verwaltung meiner ausgefüllten
Daten und der Nennung meines Namens
tung anmelden und nicht teilnehmen können, bit- ben, die nicht mehr in Ihrem Unternehmen tätig im Teilnehmerverzeichnis einverstanden.
ten wir um schriftliche Stornierung bis 2 Werk- sind, teilen Sie uns diese Änderungen bitte mit.
tage vor Veranstaltungsbeginn. Danach bzw. bei Nur so können wir Sie gezielt über unser Ver- z Ich bin mit der Zusendung von Ver-
21015
anstaltungsinformationen per E-Mail ein-
Nichterscheinen stellen wir eine Bearbeitungs- anstaltungsprogramm informieren. verstanden.Sie können auch lesen
