Vorträge – IT-DEFENSE 2022
Schutz Kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz - Grundlagen, Umsetzung und Entwicklungen - Dr. Christoph Wegener
Nach dem IT-Sicherheitsgesetz (ITSiG) aus dem Jahre 2015 und der zugehörigen BSI-Kritisverordnung (BSI-KritisV) aus dem Jahre 2016 bzw. 2017 sind Betreiber Kritischer Infrastrukturen verpflichtet, angemessene technische und organisatorische Maßnahmen nach Stand der Technik zu ergreifen, um die Sicherheit ihrer IT-Infrastruktur sicher zu stellen. Zudem müssen sie die getroffenen Maßnahmen alle zwei Jahre auditieren lassen und haben die Pflicht, Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Der Vortrag zeigt auf, welche Anforderungen bestehen, wie sich diese generell in der Praxis umsetzen lassen und welche Erweiterungen nunmehr mit dem IT-Sicherheitsgesetz 2.0 geplant sind. Dabei wird auch die Frage der Angemessenheit und der Umsetzung von Maßnahmen nach Stand der Technik diskutiert. Ein Einblick in die Schwellenwerte der BSI-KritisV und ein Ausblick auf mögliche zukünftige Entwicklungen runden den Vortrag ab.
Patch Management, die andere Seite - Felix von Leitner aka Fefe
Patch Management wird im Allgemeinen aus Sicht der Leute betrachtet, die die Patches einspielen, und ist häufig ein eher phänomenologischer Ansatz. Patches tauchen auf, was tun wir jetzt mit ihnen?
In diesem Talk geht es um die andere Seite. Was passiert eigentlich beim Hersteller, damit ein Patch entsteht? Welche Konsequenzen können wir aus diesen Prozessen für unseren Umgang mit den Patches ziehen?
Sherlock Unlimited: Deep-Dive into Forensics Operations to Track Down Hackers – Paula Januszkiewicz
Die globale Pandemie hat eine massenhafte Verlagerung des Arbeitsplatzes ins Homeoffice ausgelöst und dazu geführt, dass wir verstärkt vom Internet abhängig sind. Die Folge: Die Internetkriminalität boomt, denn Hacker wollen dies ausnutzen. Von Februar auf März 2020 wurde eine Zunahme der Angriffe, einschließlich Malware und Phishing, von 569 Prozent registriert, während bei Ransomware ein Anstieg um 72 Prozent im ersten Halbjahr 2020 verzeichnet wurde. Angesichts gespoofter Domains und clever gefälschter E-Mails steigt auch die Nachfrage nach Kenntnissen in der digitalen Forensik – noch nie waren sie so gefragt wie jetzt. Unternehmen wird zunehmend klar, dass sie weitere Angriffe verhindern können, wenn sie herausfinden, wie ein Angreifer in ihr System gelangt ist.
In diesem Vortrag vermittelt Paula, wie ein Hacker zu denken, und versetzt Sie in die Lage, ausnutzbare Schwachstellen in Ihrer Infrastruktur aufzudecken und die von einem Angreifer hinterlassenen Spuren zu finden. Seien Sie dabei und machen Sie sich mit den neuesten Techniken der Forensik vertraut. So werden Sie in Zukunft wissen, worauf Sie achten müssen und wie Sie die Wege eines Hackers nachvollziehen können.
Im Rahmen des Vortrags präsentiert Paula verschiedene Beispiele von forensischen Untersuchungen, die sie bei Kunden durchführt. Während der Pandemie wurden sie und ihr Team für etliche Projekte im Bereich Forensik und Incident Response, auch auf Regierungsebene, beauftragt.
Zudem erläutert Paula nicht nur topaktuelle Angriffe, sondern auch die entsprechenden Techniken, um diese Angriffe zu erkennen. Der Vortrag liefert Ihnen also die besten Methoden zur Informationssammlung; Sie erhalten gebrauchsfertige Anweisungen, wie sich an verschiedenen Stellen im Betriebssystem oder in einer Monitoring-Lösung Informationen aufspüren lassen.
"Flachsinn" oder "Über die Ökonomie der Aufmerksamkeit" - Prof. Dr. Gunter Dueck
Aufmerksamkeit gewinnt, welcher Art auch immer - Hauptsache schrill oder sensationell, tabuverletzend oder alternativfaktisch. Weltverschwörer, Politik-Lügner und Berufsbeleidiger vernebeln jede Faktenlage, treiben unselige Politik und erschweren klare Lagebeurteilungen. In der Wirtschaft werden Hunderte Millionen mit Hochjubeln oder Niedermachen von Hype-Aktien verdient, auch Marketing-Kampagnen überschreiten zunehmend Grenzen. Besonders beliebt: statistische Kreativität. Nüchterne Wahrheiten sind dagegen nüchtern; Fakten sind trocken. Was ist da los? Wir sind in einer Aufmerksamkeitsökonomie angekommen, in die uns die Kommunikationsmöglichkeiten des Internets geführt haben. Es zählen Klicks, Views und Likes. Der Vortrag denkt über die Hintergründe nach und gibt einen Einblick in das Aufmerksamkeits-Chaos.
Vom CISO im Unternehmen zum CIO/CDO eines Bundeslandes: Erfahrungen und tägliche Herausforderungen – Stefan Krebs
In seinem Vortrag schildert Stefan Krebs, ehemaliger CISO in der Bankenwelt und heutiger CIO/CDO von Baden-Württemberg, seine täglichen Herausforderungen. Er gibt Einblicke, welche Anforderungen die Gewährleistung der IT-Sicherheit an ein Bundesland stellt, und erläutert, wie das Land seinen Unternehmen Unterstützung bei sicherheitsrelevanten Vorfällen bietet. Darüber hinaus wird er einige spannende Beispiele von IT-Sicherheitsvorfällen ausführen und aus seinem umfangreichen Erfahrungsschatz berichten.
Rechtlicher Umgang mit IT-Katastrophen - Vorbereitung, Meldepflichten & Bußgelder – Joerg Heidrich
Offene Server mit Kundendaten, frei zugängliche Videoüberwachung, Ransomware: IT-Sicherheit ist längst Bestandteil des Datenschutzes geworden und IT-Unfälle sind in aller Regel auch Verstöße gegen die strengen Vorgaben der DSGVO. Dies fängt mit der Frage an, welche Daten man überhaupt wie lange speichern darf, betrifft die Anforderungen an ein IT-Sicherheitskonzept und schließlich auch die Herausforderungen im Umgang mit einem solchen GAU. Wie unangenehm so ein Unfall dann werden kann, zeigt ein Blick auf die möglichen Bußgelder ebenso wie auf mögliche Schadensersatzansprüche der Betroffenen. Joerg Heidrich war als Datenschutzbeauftragter von Heise Medien und als Fachanwalt für IT-Recht an Recherchen und der Auswertung von zahlreichen IT-Katastrophen beteiligt und berichtet anhand von Beispielen praxisnah über Erkenntnisse und Lehren.
5G Security! Where are we standing - Altaf Shaik
Dieser Vortrag liefert praktische Einblicke aus aller Welt in die erste Phase kommerzieller 5G Netzwerke. Der Schwerpunkt liegt dabei auf den Sicherheitsproblemen, die in den früheren Generationen identifiziert und in den 5G Netzwerken behoben wurden. Obwohl von den Standardisierungsstellen wichtige Verbesserungen in puncto Sicherheit vorgenommen wurden, entscheiden sich diese bei der Umsetzung. Altaf Shaik präsentiert vorläufige Befunde und zeigt auf, wie sicher 5G Netzwerke im Vergleich zu den Vorgängerstandards sind und was wir in der zweiten Phase der 5G Netze erwarten können.
Big Game Hunting – Volker Kozok
Colonial Pipeline, Emotet - die Stadt Frankfurt und das Berliner Kammergericht, koreanische Hackergruppen auf Bitcoin-Jagd, Forschungsergebnisse von Universitäten - die Angriffsziele krimineller und staatlich kontrollierter Hacker werden immer besser, die Ziele immer größer. Haben sich Ransomware-Angriffe bisher auf "Endkunden" konzentriert, sind jetzt renommierte Firmen und Großorganisationen das Ziel. Gleichzeitig werden die Angebote beim "Crime as a service" immer professioneller. Der Vortrag gibt Einblicke in aktuelle Angriffe und zeigt exemplarisch die Vorgehensweise verschiedener Hackergruppen.
Into the Dark - Switching off renewable power from everywhere - Stephan Gerling
Im europäischen Verbundnetz gibt es viele Mechanismen und Abhängigkeiten, um das Stromnetz stabil zu halten. In dem Vortrag werden zunächst die technischen Grundlagen erklärt. Anschließend stellt der Referent diverse Sicherheitsprobleme vor. Er präsentiert zuerst eine Lücke in großen Solarsystemen mit 1- 5 MW elektrischer Leistung und stellt dar, welche Auswirkungen diese auf das Stromnetz hat. Anschließend geht er auf die Technik ein, wie die Netzbetreiber auf die Einspeisung von erneuerbarer Energie Einfluss nehmen können. Und auch hier konnte Stephan Gerling eine Schwachstelle finden. Kombiniert man nun diese verschiedenen Sicherheitsprobleme in einem gezielten Angriff, ist der Blackout in greifbarer Nähe.
Red Teaming: ein Blick hinter die Kulissen der Angreifer – Michael Brügge und Konstantin Bücheler
In dem Vortrag schildern Konstantin Bücheler und Michael Brügge ihre Erfahrungen aus vergangenen Red-Teaming-Projekten. Dabei erläutern sie die Unterschiede zwischen Red-Team-Assessments und klassischen Sicherheitsüberprüfungen und skizzieren einen typischen Projektablauf. Anhand von Szenarien aus der Praxis nehmen die beiden Sie mit auf die technische Seite der Angreifer. Konstantin und Michael geben detaillierte Einblicke in den technischen Aufbau einer Command-and-Control-Infrastruktur sowie in aktuelle und zukünftige Techniken zum Umgehen von Endpoint-Detection-and-Response-Werkzeugen. Darüber hinaus präsentieren sie ein Werkzeug für Angriffe vor Ort, das 802.1X-basierte Netzwerkzugangskontrollen aushebelt und einen direkten Kommunikationskanal über LTE in das interne Netzwerk ermöglicht.
I am Root: Security Analysis of Simo’s vSIM Android Software – Dr. Ryan Johnson
Simo setzt in bestimmten Smartphone-Geräten von Android spezielle Hardware und vorinstallierte Software ein, um mobile Daten mithilfe der Technologie „Virtual Subscriber Identity Module“ (vSIM) bereitzustellen. Wir haben die vorinstallierte Software von Simo untersucht und festgestellt, dass sie Schwachstellen enthält, die sich aufgrund diverser Fehler im Software-Update-Prozess, vor allem einer fehlenden Authentifizierung der Quelle des Updates, lokal ausnutzen lassen. Wird der unsichere Update-Prozess mit einem gespooften Update ausgenutzt, dann kann eine Drittanbieter-App eine persistente lokale Ausführung von Programmcode und Befehlen als Root-Benutzer erreichen. In der Folge sind programmgesteuerte Aktivitäten möglich, beispielsweise die Installation von Apps und die Vergabe von Berechtigungen, das Einstellen eines Netzwerk-Proxys, einer Tastatur mit Keylogging-Funktion oder eines benutzerdefinierten Launcher zum Spoofen von Apps oder es kann der Upload von Kernel-Modulen erzwungen werden. Zudem wird die Liste installierter Apps des Benutzers sowie die Geräte-IMEI (International Mobile Equipment Identity) ins Ausland übertragen, selbst wenn der Benutzer den vSIM-Dienst gar nicht nutzt. Wir haben diese Schwachstellen in den Android-Geräten BLU G90, BLU G9, Wiko Tommy 3, Wiko Tommy 3 Plus und Luna Simo im Rahmen einer dynamischen Analyse bestätigt. Simos App mit dem Namen „SIMO - Global & Local Internet Service Provider“ wurde laut der Google-Play-Website der App bereits über 10 Millionen Mal installiert.
Blockchain! - So sicher wurden Sie noch nie verarscht – Linus Neumann
Blockchains sind in aller Munde – vor allem im Munde jener, die das Konzept nicht verstanden haben. Zuerst rufen wir uns kurz in Erinnerung, welches Problem eine Blockchain löst. Dann widmen wir uns den vielfältigen Problemen, die sie schaffen kann. Schließlich widmen wir uns der großen Herausforderung, einen sinnvollen Anwendungszweck zu finden – Ausgang ungewiss.