Online Event: Security, Risk- und Compliance Management



6. 05. 2021, 9.00–18.00 Uhr
Live Online 



  Themenschwerpunkte der Veranstaltung:
  • DSGVO – Lessons learned 2021
  • Red Teaming: Der verdeckte Angreifer im internen Netzwerk
  • Gerichtstaugliches Pentesting nach ASVS
  • Cyberrisiken frühzeitig erkennen – formale Verifikationsmethoden für IoT
  • Ausnahmeregelungen zerschmettern Ihre Firewall und die Nerven Ihres Admins
  • Sicherheit und Schutz von Software: Neue Methode gegen Raubkopien und Hackerangriffe
  • Cybersecurity-Herausforderungen in Smart Manufacturing
Zielgruppe: Sicherheitsverantwortliche, CISOS, CISAS, Technologieverantwortliche für Security IT-Vorstand, IT-EntscheiderInnen, IT-Verantwortliche sowie Unternehmensleitung, VertreterInnen von Medien und Wissenschaft.

Agenda



09:05 DSGVO – Lessons learned 2021

Dr. Markus Frank ,LLM (FrankLAW)

Was Sie in meinem Kurz-Vortrag erwartet:
  • DS-Management-Systeme und Datenschutz-Audits gemäß DSGVO?
  • Dokumentations-Pflichten zur DSGVO-Compliance!
  • Entscheidungen und (Behörden-)Meinungen zu diversen DSGVO-Pflichten und zu Schadenersatz- und Bußgeld-Risiken


09:50 Red Teaming: Der verdeckte Angreifer im internen Netzwerk

Michael Strametz (sySS)

Red Teaming ist eine Prüfmethode, welche immer verbreiteter wird, unter anderem auch auf Grund von gesetzlichen Vorgaben in bestimmten Branchen. Für viele Unternehmen ist diese Herangehensweise noch neu. Red Teaming ist eine Prüfmethode, bei welcher ein Dienstleister das Unternehmen über einen längeren Zeitraum angreift und auch Social Engineering-Techniken verwendet. Dabei werden Schwachstellen in den folgenden Bereichen erarbeitet:
  • Systemsicherheit
  • Unternehmensprozesse
  • Mitarbeiter-Awareness
Ebenso kann diese Herangehensweise genutzt werden, um Notfallübungen im Bereich IT-Sicherheit durchzuführen oder die Fähigkeiten des internen IT-Security Teams zu testen.


10:15 Gerichtstaugliches Pentesting nach ASVS

Dr. Wolfgang Prentner (ZTP.digital ZT-GmbH)

Pentesting und ganze Red Team Operations die wir durchführen, sind zumeist eine sehr individuelle und kreative Arbeit der einzelnen Pentester. Um das Pentesting in einen nachvollziehbaren und systematischen Rahmen zu pressen, bedienen wir uns von ZTP.digital dem OWASP Application Security Verification Standard (ASVS) um auch gerichtstaugliche Cyber-Security Prüfberichte in Form von IT-Ziviltechnikergutachten, staatlich befugt und beeidet, liefern zu können. Wir erklären dabei Vorgehensweise und Inhalt des ASVS-Standards und unserer Gutachten.



10:55 Cyberrisiken frühzeitig erkennen – formale Verifikationsmethoden für IoT

Katharina Hofer-Schmitz (Joanneum Research)

IoT-Geräte verfügen oftmals nur über geringe Rechen- und Speicher-Ressourcen. Dies erschwert die Erkennung von Cyberangriffen direkt am Gerät deutlich. Prävention durch eine frühzeitige Erkennung von potentiellen Schwachstellen ist daher essentiell. Eine rein funktionale Sicherheitsevaluierung ist dabei nicht ausreichend. Beispielsweise können Protokolle auch unter Verwendung von starken kryptographischen Primitiven durch die Art der Komposition der Kommunikation Sicherheitslücken aufweisen. Eine Methode, um strukturiert potentielle Sicherheitsprobleme aufzudecken, sind formale Verifikationsmethoden. Diese Technik beinhaltet logische und mathematische Methoden, mit der design-bedingte Schwachstellen frühzeitig erkannt werden können. Zwei Anwendungsfelder werden detaillierter betrachtet: Einerseits formale Verifikation von Sicherheitseigenschaften von IoTProtokollen und anderseits formale Methoden für eine Risikoanalyse einer IoT-Architektur am Beispiel der smarten Steuerung einer Wasserversorgungsinfrastruktur.


11:25 VPN & RDP als Ressourcen-Killer mit Sicherheitslücken – Homeoffice umsetzen mit einem Zero-Trust Ansatz?

Benedikt Stürmer-Weinberger (Cordaware)

„Aufgrund der aktuelle Situation bleibt das Thema Homeoffice höchst aktuell. Viele Unternehmen entscheiden sich bei der Umsetzung, trotz großer Sicherheitslücken, hoher Investitionen in Hard- und Software und kostspieligen IT-Know-how, für VPN und RDP Lösungen. Hierbei stellt sich die Frage: Ist das überhaupt noch zeitgemäß und geht das nicht viel effizienter??“


11:50 “Security by Design”: Mit Methode und Regelwerk Bedrohungen analysieren und Risiken bewerten

Peter Lieber (LieberLieber Software)

Sicherheitsanalysen etablieren sich nur langsam in den IT-Entwicklungsprozessen. Dabei sind jetzt Software intensive Branchen mit sicherheitskritischer Infrastruktur durch den Regulator dazu verpflichtet, wie zum Beispiel UNECE WP29 / ISO/SAE-21434. Cyber Security Modelling mit ThreatGet setzt „Security by Design” konsequent um. Damit werden mögliche Bedrohungspotenziale identifiziert, dokumentiert und sicherheitskritische Probleme mit Lösungsvorschlägen adressiert. Als Grundlage dient ein einzigartiger Bedrohungskatalog, der vom Austrian Institut of Technology („AIT“) entwickelt wurde und über 1‘400 Bedrohungsparameter berücksichtigt. Mit ThreatGet steht auch unabhängigen Security-Experten ein neuartiges, methodisches Vorgehensmodell für ihre Kunden zur Verfügung. ThreatGet wurde vom Report Magazin mit dem »eAward 2020« in der Kategorie »Industrie 4.0« als Kategoriesieger ausgezeichnet.



12:30 Sicherheit und Schutz von Software: Neue Methode gegen Raubkopien und Hackerangriffe

Dr. Thomas Ziebermayr (SCCH – Software Competence Center Hagenberg)

Produkte werden immer intelligenter. Angefangen von der smarten Zahnbürste hat mittlerweile beinahe jedes technische Produkt eine Software-Komponente. Insgesamt nimmt der Anteil der Software in Produkten zu. Das beeinflusst sowohl Kosten als auch Funktionalität. Auch die Intelligenz der Produktionsmaschinen wird zunehmend durch Software getrieben. Das bedeutet: immer mehr wertvolles Wissen steckt in der Software, die immer öfter zum Ziel für Hacker wird. Daher sind der Schutz der Software und der Urheberrechte essenziell. Es gibt bereits zahlreiche Lösungen, aber auch einigen Verbesserungsbedarf, sowohl was den praktischen Einsatz als auch die Sicherheit betrifft. Im Vortrag stellen wir einen neuen Ansatz vor an dem wir gerade forschen, um dieses komplexe Problem zu lösen. Das Ziel ist, die Software gegen Attacken von außen abzusichern, Raubkopien zu verhindern und somit das geistige Eigentum der Unternehmen zu schützen. Gemeinsam mit der Münchner Universität der Bundeswehr (Institut für Systemsicherheit), der École Polytechnique Fédérale de Lausanne, der belgischen KU Leuven (Institut für Informatik) und dem Embedded Systems Lab am FH Campus Hagenberg entwickeln die Hagenberger ForscherInnen gänzlich neue Methoden dafür.


13:10 Cybersecurity Herausforderungen in Smart Manufacturing

DI Erwin Schoitsch (AIT Austrian Institute of Technology GmbH)

Im Rahmen der CON•ECT Informunity wurden viele Themen und Anwendungsdomänen bezüglich (Cyber-)Security-Herausforderungen bereits behandelt, kaum aber das Gebiet der intelligenten industriellen Automation. Aber gerade im Umfeld von »Industrie 4.0« spielt die Vernetzung der (inhomogenen) Teilsysteme, untereinander im Produktionsprozess und mit Logistik- und Supply-ChainPartnern in der Außenwelt, mit einer Vielzahl von betroffenen Stakeholdern, eine große Rolle, wodurch sie besonders angreifbar werden können für Bedrohungen im Sinne der IT-Sicherheit (Security). Völlig neue Maschinenkonzepte und autonome Entscheidungsprozesse in kritischen Abläufen bieten nicht nur ungeahntes Effizienzpotential in der selbstorganisierenden, flexiblen Produktion, aber im Bedrohungsfall können sowohl Personen als auch große Sachwerte gefährdet werden. »Smart« kann am besten mit »intelligent« übersetzt werden, im Sinne der Definition durch das ISO Technical Management Board, Strategic Advisory Board bedeutet »smart« »capable of some independent action«, d.h. kann teilweise autonom unabhängige Entscheidungen treffen. Damit sind viele Angriffsflächen und deren Cybersecurity-Risiken offen – werden doch viele neue IT-Technologien miteinander verbunden, wie IIoT (Industrial Internet of Things), Künstliche Intelligenz und Machine Learning, Edge- und Cloud-Technologien, kollaborative und autonome Roboter, Fahrzeuge und Maschinen, Digital Twin und vorausschauende und -planende Simulation und Wartung, drahtlose Kommunikation, neue Produktionstechnologien. Auch mögliche Industriespionage spielt eine Rolle. Die Digitalisierung der industrielle Produktion und des gesamten wirtschaftlichen Umfeldes führte zu neuen Schwerpunkten in der Standardisierung: Industrie 4.0, Smart Manufacturing, die Zusammenführung verschiedenster »Assets« aus betroffenen technischen Bereichen, wobei sich in jedem Teilbereich eine Task Force/Task Group zur »Cybersecurity« gebildet hat. Der Vortrag wird einige Smart Manufacturing Use Cases herausgreifen und damit verbundene Cybersecurity-Herausforderungen diskutieren, vom Produktionssystem bis zur KI-Security.





Do., 6. 05. 2021
9.00–18.00 Uhr

Live Online 

Teilnahmegebühr:

Für IT-Anwender & Für IT-Anbieter: kostenfrei!

Moderation

Christoph Schmittner ,MSc (Austrian Institute of Technology GmbH)

Referenten

Dr. Markus Frank ,LLM (FrankLAW), Michael Strametz (sySS), Dr. Wolfgang Prentner (ZTP.digital ZT-GmbH), Katharina Hofer-Schmitz (Joanneum Research), Benedikt Stürmer-Weinberger (Cordaware), Peter Lieber (LieberLieber Software), Dr. Thomas Ziebermayr (SCCH – Software Competence Center Hagenberg), DI Erwin Schoitsch (AIT Austrian Institute of Technology GmbH),