Round Tables
Ein wichtiger Aspekt bei einem Fachkongress ist nicht nur die Qualität der Referenten, sondern auch der Erfahrungsaustausch mit anderen Teilnehmern in ähnlichen Positionen und mit ähnlichen Problemen. Die IT-Defense bietet einen expliziten Rahmen zur Diskussion mit anderen teilnehmenden Security-Profis.
In kleinen Gruppen können eigene Probleme und tiefergehende Fragen erörtert werden. Dazu stehen die Referenten der IT-Defense als Moderatoren zur Verfügung, es können aber auch spontan eigene Themengruppen gebildet werden.
Am Freitag, den 8. Februar 2019 stehen 5 parallele Round-Table-Diskussionen zur Verfügung.
„Law for Dummies" - IT-Sicherheitsgesetz, DSGVO, Telekommunikationsgesetz u.v.m. - ein kleiner Ausflug in die Cyberwelt der Juristen – Volker Kozok
Im Round-Table werden folgende Fragestellungen diskutiert:
- Welche Erfahrungen habe ich mit Kontrollen der Aufsichtsbehörde
- Wie gehe ich mit Meldepflichten um?
- Wie kann ich meine SIEM-Lösung für den Datenschutz nutzen?
- Welche Verantwortung trägt der CISO / CIO?
- Wie funktioniert "Privacy by Design"?
- Wie erkläre ich einem Juristen die IT(-Defense)?
- Was muss ich bei der Auswertung sozialer Medien beachten?
- Was gibt es neues zu Ross Ulbricht?
Metriken in der Computersicherheit – Marcus Ranum
Sicherheitsexperten beklagen sich oftmals darüber, dass das Management nicht nachvollziehen kann, was genau sie tun. Meist ist das zumindest teilweise darauf zurückzuführen, dass es Sicherheitsexperten nicht besonders gut gelingt, einen Zusammenhang herzustellen zwischen „was wir tun“ und „was das Unternehmen tut“ bzw. zu beschreiben, welche Auswirkungen Veränderungen auf das Unternehmen haben. In diesem Vortrag erfahren Sie deshalb, wie Metriken erstellt und präsentiert werden.
DNS-Sicherheit – Carsten Strotmann
DNS (Domain Name System) ist eines der Basisprotokolle des Internets. Fast keine Anwendung kommt ohne Namesauflösung aus. Dabei ist das klassische DNS-Protokoll, welches immer noch in der Mehrzahl der Netze zum Einsatz kommt, vollkommen unsicher: keine Authentisierung, keine Integritätsprüfung, Daten im Klartext und sehr einfach zu fälschen. Existierende DNS-Sicherheits-Erweiterungen wie DNSSEC verbreiten sich nur sehr zögerlich.
Nach ein paar Jahren relativer Ruhe wird in den letzten Jahren innerhalb der IETF wieder verstärkt am DNS-Protokoll gearbeitet: Absicherung des Transportweges mittels TLS, HTTPS oder QUIC, Abwehr von Denial-of-Service Angriffen mittels DNSSEC/NSEC(3) und DNS-Cookies, Automatisierung der DNSSEC-Schlüsselverwaltung, Verringerung der DNS-Metadaten durch QNAME-Minimization und einiges mehr.
Doch nicht alle Sicherheitserweiterungen werden freudig begrüßt: Programmierer von DNS-Software warnen vor Sicherheitsproblemen durch aufgeblähte Software und Komplexität. Administratoren verlieren die Kontrolle über DNS als Sicherheitsinstrument durch die Verschlüsselung der DNS-Daten. Datenschützer fürchten DNS-Datenlecks in Richtung DNS-Resolver-Betreiber im Internet.
In diesem Round-Table besprechen wir die neuen Sicherheitserweiterungen des DNS-Protokolls, deren Grenzen und Probleme. In der Diskussion finden wir heraus, welche Erweiterungen heute ohne großes Risiko implementiert werden können und wie Sie schon bekannte Stolperstellen in der DNS-Erneuerung vermeiden.
Aufklären – Stärken – Durchsetzen: Machen Sie Ihre Mitarbeiter zu einem wertvollen Baustein Ihres Unternehmens und lassen Sie sie nicht zu einem Risikofaktor werden! – Jayson E. Street
In diesem Round Table besprechen wir gemeinsam, wie Sie Ihre Mitarbeiter aufklären und wie diese gestärkt werden können, um die IT-Sicherheit in Ihrem Unternehmen zu verbessern. Darüber hinaus diskutieren wir Möglichkeiten, wie Sie Ihre Sicherheitspolitik umsetzen können, um Ihre Belegschaft zu stärken anstatt sie zu schwächen. Wir werden darüber sprechen, wie OSINT (Open Source Intelligence) im Rahmen der DSGVO-Vorgaben möglich ist. Außerdem erörtern wir, wie Sie in Einklang mit den deutschen Datenschutzgesetzen arbeiten und gleichzeitig Ihre Mitarbeiter aufklären sowie Ihre Sicherheitspolitik durchsetzen können.
Tor: Anonymität im Internet im Zeitalter allgegenwärtiger Überwachung - Roger Dingledine
In diesem Round Table steht Ihnen der Direktor und Mitbegründer des Tor-Projekts Roger Dingledine für Fragen und tiefergehende Details rund um Tor zur Verfügung.
Schwachstellen von industriellen Steuerungsanlagen am Beispiel eines Hochregallager – Stefan Strobel & Martin Hartmann
In den letzten Jahren sind immer wieder Sicherheitslücken in Industriesteuerungsanlagen bekannt geworden. Der Vortrag erläutert anhand verbreiteter SIMATIC-S7-Steuerungen die Programmierung und Kommunikation dieser Geräte, einige exemplarische Sicherheitslücken und wie ein Angreifer diese ausnutzen kann. An einem Hochregallager-Modell mit aktuellen S7-Steuerungen aus der 300er und 1200er Serie können mehrere Angriffe anschaulich live demonstriert werden.