- Dieses Event hat bereits stattgefunden.
Online-Event: Security, Risk- und Compliance Management
Online-EVENT
Themenschwerpunkte der Veranstaltung:
- DSGVO – Lessons learned 2021
- Red Teaming: Der verdeckte Angreifer im internen Netzwerk
- Gerichtstaugliches Pentesting nach ASVS
- Cyberrisiken frühzeitig erkennen – formale Verifikationsmethoden für IoT
- Ausnahmeregelungen zerschmettern Ihre Firewall und die Nerven Ihres Admins
- Sicherheit und Schutz von Software: Neue Methode gegen Raubkopien und Hackerangriffe
- Cybersecurity Herausforderungen in Smart Manufacturing
Moderator: Christoph Schmittner (AIT)
Zum Thema
In einer zunehmend vernetzten und technologiegetriebenen Geschäftswelt ist das Thema Vertrauen wichtiger denn je. Fast jedem zweiten Unternehmen weltweit gelingt es jedoch nicht, sich adäquat gegen digitale Bedrohungen zu wappnen und sie riskieren dadurch den Verlust des Vertrauens ihrer Kunden und der Gesellschaft: Nur gut die Hälfte der Unternehmen (53 Prozent) integriert Maßnahmen zum Management von Cyber und Datenschutzrisiken vollständig von Beginn an in ihre digitalen Transformationsprojekte. Zu diesem Ergebnis kommen die Digital Trust Insights, eine internationale Befragung von 3000 Führungskräften in 81 Ländern im Auftrag von PwC.
So zeigte die Studie etwa, dass Sicherheitsvorkehrungen vielfach nicht mit den Geschäftszielen in Einklang gebracht werden, Sicherheitsmaßnahmen aufgrund fehlender Hintergrundinformationen zu potenziellen Angreifern kaum risikoorientiert eingesetzt werden oder Security- und Privacy- Experten oftmals viel zu wenig in Digitalisierungsprojekten eingebunden werden.
(Quelle: Digital Trust Insights 2019 von Price Waterhouse)
Sicherheitstest für mobile Applikationen – Warum reines Vertrauen auf TLS/SSSL nicht genug ist Sicherheitstests sind ein fundamentaler Aspekt in vielen weit verbreitete Methoden des Software-Testings. Allerdings ist es oftmals der Fall, dass die eingesetzten Security-Protokolle nicht hinterfragt oder getestet werden. In diesem Vortrag geben wir einen kurzen Überblick darüber, wie aufgrund dieser Praxis essentielle Sicherheitslücken im Rahmen von Sicherheitstests und der Qualitätskontrolle übersehen werden. Dabei konzentrieren wir uns auf zwei grundsätzliche Probleme: Die Definition eines korrekten und umfassenden Angreifermodells, sowie das Setzen von Vertrauen in den Client bei der Nutzung kryptographischer Algorithmen.
(Peter Kieseberg, FH St.Pölten)
Agenda
Markus Frank
Was Sie in meinem Kurz-Vortrag erwartet:
- DS-Management-Systeme und Datenschutz-Audits gemäß DSGVO?
- Dokumentations-Pflichten zur DSGVO-Compliance!
- Entscheidungen und (Behörden-)Meinungen zu diversen DSGVO-Pflichten und zu Schadenersatz- und Bußgeld-Risiken
Michael Strametz
Red Teaming ist eine Prüfmethode, welche immer verbreiteter wird, unter anderem auch auf Grund von gesetzlichen Vorgaben in bestimmten Branchen. Für viele Unternehmen ist diese Herangehensweise noch neu. Red Teaming ist eine Prüfmethode, bei welcher ein Dienstleister das Unternehmen über einen längeren Zeitraum angreift und auch Social Engineering-Techniken verwendet. Dabei werden Schwachstellen in den folgenden Bereichen erarbeitet:
- Systemsicherheit
- Unternehmensprozesse
- Mitarbeiter-Awareness
Ebenso kann diese Herangehensweise genutzt werden, um Notfallübungen im Bereich IT-Sicherheit durchzuführen oder die Fähigkeiten des internen IT-Security Teams zu testen.
Wolfgang Prentner
Pentesting und ganze Red Team Operations die wir durchführen, sind zumeist eine sehr individuelle und kreative Arbeit
der einzelnen Pentester. Um das Pentesting in einen nachvollziehbaren und systematischen Rahmen zu pressen, bedienen wir
uns von ZTP.digital dem OWASP Application Security Verification Standard (ASVS) um auch gerichtstaugliche Cyber-
Security Prüfberichte in Form von IT-Ziviltechnikergutachten, staatlich befugt und beeidet, liefern zu können. Wir erklären dabei
Vorgehensweise und Inhalt des ASVS Standards und unserer Gutachten.
Katharina Hofer-Schmitz
IoT-Geräte verfügen oftmals nur über geringe Rechen- und Speicher-Ressourcen. Dies erschwert die Erkennung von Cyberangriffen direkt am Gerät deutlich. Prävention durch eine frühzeitige Erkennung von potentiellen Schwachstellen ist daher essentiell. Eine rein funktionale Sicherheitsevaluierung ist dabei nicht ausreichend. Beispielsweise können Protokolle auch unter Verwendung von starken kryptographischen Primitiven durch die Art der Komposition der Kommunikation Sicherheitslücken aufweisen. Eine Methode, um strukturiert potentielle Sicherheitsprobleme aufzudecken, sind formale Verifikationsmethoden. Diese Technik beinhaltet logische und mathematische Methoden, mit der design-bedingte Schwachstellen frühzeitig erkannt werden können. Zwei Anwendungsfelder werden detaillierter betrachtet: Einerseits formale Verifikation von Sicherheitseigenschaften von IoTProtokollen und anderseits formale Methoden für eine Risikoanalyse einer IoT-Architektur am Beispiel der smarten Steuerung einer Wasserversorgungsinfrastruktur.
Benedikt Stürmer-Weinberger
Aufgrund der aktuellen Situation bleibt das Thema Home-office höchst aktuell. Viele Unternehmen entscheiden sich bei der Umsetzung, trotz großer Sicherheitslücken, hoher Investitionen in Hard- und Software und kostspieligen IT-Know-how, für VPN und RDP Lösungen. Hierbei stellt sich die Frage: Ist das überhaupt noch zeitgemäß und geht das nicht viel effizienter?
Thomas Ziebermayr
Produkte werden immer intelligenter. Angefangen von der smarten Zahnbürste hat mittlerweile beinahe jedes technische Produkt eine Software-Komponente. Insgesamt nimmt der Anteil der Software in Produkten zu. Das beeinflusst sowohl Kosten als auch Funktionalität. Auch die Intelligenz der Produktionsmaschinen wird zunehmend durch Software getrieben. Das bedeutet: immer mehr wertvolles Wissen steckt in der Software, die immer öfter zum Ziel für Hacker wird. Daher sind der Schutz der Software und der Urheberrechte essenziell. Es gibt bereits zahlreiche Lösungen, aber auch einigen Verbesserungsbedarf, sowohl was den praktischen Einsatz als auch die Sicherheit betrifft. Im Vortrag stellen wir einen neuen Ansatz vor an dem wir gerade forschen, um dieses komplexe Problem zu lösen. Das Ziel ist, die Software gegen Attacken von außen abzusichern, Raubkopien zu verhindern und somit das geistige Eigentum der Unternehmen zu schützen. Gemeinsam mit der Münchner Universität der Bundeswehr (Institut für Systemsicherheit), der École Polytechnique Fédérale de Lausanne, der belgischen KU Leuven (Institut für Informatik) und dem Embedded Systems Lab am FH Campus Hagenberg entwickeln die Hagenberger ForscherInnen gänzlich neue Methoden dafür.
Erwin Schoitsch
Im Rahmen der CON.ECT Informunity wurden viele Themen und Anwendungsdomänen bezüglich (Cyber-) Security Herausforderungen bereits behandelt, kaum aber das Gebiet der intelligenten industriellen Automation. Aber gerade im Umfeld von „Industrie 4.0“ spielt die Vernetzung der (inhomogenen) Teilsysteme, untereinander im Produktionsprozess und mit Logistik- und Supply-Chain Partnern in der Außenwelt, mit einer Vielzahl von betroffenen Stakeholdern, eine große Rolle, wodurch sie besonders angreifbar werden können für Bedrohungen im Sinne der IT-Sicherheit (Security). Völlig neue Maschinenkonzepte und autonome Entscheidungsprozesse in kritischen Abläufen bieten nicht nur ungeahntes Effizienzpotential in der selbstorganisierenden, flexiblen Produktion, aber im Bedrohungsfall können sowohl Personen als auch große Sachwerte gefährdet werden.
„Smart“ kann am besten mit „intelligent“ übersetzt werden, im Sinne der Definition durch das ISO Technical Management Board, Strategic Advisory Board bedeutet „samrt“ „capable of some independent action“, d.h. kann teilweise autonom unabhängige Entscheidungen treffen. Damit sind viele Angriffsflächen und deren Cybersecurity Risiken offen – werden doch viele neue IT-Technologien miteinander verbunden, wie IIoT (Industrial Internet of Things), Künstliche Intelligenz und Machine Learning, Edge- und Cloud Technologien, kollaborative und autonome Roboter, Fahrzeuge und Maschinen, Digital Twin und vorausschauende und -planende Simulation und Wartung, drahtlose Kommunikation, neue Produktionstechnologien. Auch mögliche Industriespionage spielt eine Rolle.
Die Digitalisierung der industrielle Produktion und des gesamten wirtschaftlichen Umfeldes führte zu neuen Schwerpunkten in der Standardisierung: Industrie 4.0, Smart Manufacturing, die Zusammenführung verschiedenster „Assets“ aus betroffenen technischen Bereichen, wobei sich in jedem Teilbereich eine Task Force/Task Group zur „Cybersecurity“ gebildet hat. Der Vortrag wird einige Smart Manufacturing Use Cases herausgreifen und damit verbundene Cybersecurity Herausforderungen diskutieren, vom Produktionssystem bis zur KI Security.