Agenda, 30. Mai 2006 (1. Tag)
Konferenzbroschüre zum Download (PDF)
|
| 8.30 - 9.00 |
Registrierung und Second Breakfast |
| Block 1: SAP Security |
| 9.00 - 9.45 |
Risk Management in SAP-Systemen
Alexander Geschonneck, HiSolutions AG
• SAP-Server, das vergessene Risiko
• Absicherung der User
• Logging und Auditing
• Sicherheit bei Webschnittstellen
|
| 9.45 - 10.30 |
Roadmap zur erfolgreichen Umsetzung von Sicherheit in SAP-Systemen
Jörg Altmeier, wikima4 AG
• Studie zum Status Quo der Sicherheit von SAP-Systemen
• Von der Sicherheit der Verfügbarkeit zur Regulatory Compliance
• SAP Security Framework zur Strukturierung
• Roadmap zur Umsetzung von Best Practices
|
| 10.30 - 11.00 |
Kommunikationspause |
| Block 2: Monitoring Enterprise Security |
11.00 - 11.45
|
Frühwarn- und Überwachungsysteme für Administratoren
Georg Markowski, Media@Net
• System-Sicherheit und -Kontrolle
• Erkennen von wichtigen Parametern
• Produkte am Markt & Linux-Alternativen
• Live-Demo
|
| 11.45 - 12.30 |
Sprachstörungen: Sicherheitslücken im PSTN und VoIP (mit Live-Demo)
Marco Di Filippo, VisuKom Deutschland GmbH
• Live-Hack-Attacken auf Sprachnetzwerke mittels Toolkits
• Live-Gespräche bzw. Daten abhören bzw. manipulieren
• Modernes Phreaking (kostenloses Telefonieren), die neue Generationen von Dialern
• DVoIP, die kompromisslose Kompromittierung von Sprachnetzwerken
• Königs-Disziplin passives Recording und Analyse an physikalischen Zugangspunkten
|
| 12.30 - 13.30 |
Business Lunch |
| Block 3: Workshops ( bitte zwischen A -B -C wählen) |
| 13.30 - 15.00 |
A: ITIL & IT-Security
Timo Kob, HiSolutions AG
• Vorstellung der BSI-Studie „ITIL & Informationssicherheit“
• Wo kann ein Security Manager ITIL-Prozesse nutzen?
• Wie kann ein Security Manager ITIL-Prozess unterstützen?
• Synergie-Effekte nutzen
B: Live Hacking von VPN & VoIP & more
Heiko Rudolph, admeritia
• VPN-Hijacking – Wenn der Königsweg unsicher wird
• Metasploit – Ein Baukasten für Hacker und die Folgen für Sie
• VoIP-Hacking: Mithören leicht gemacht
• Strategien gegen Hacking-Attacken
C: Antizipation von Security-Gefahren: Die Simulation von Angriffszenarien
Marco Lorenz, cirosec GmbH
• Sicherheitslücken
• Strategien im Vulnerability Management
• Benefits
• Tools im Vergleich (Skybox, Lumeta, Foundstone, Qualys u.a.)
|
| 15.00 - 15.30 |
Kommunikationspause |
| Block 4: Internet & Netzwerk - Live Szenarien |
| 15.30 - 16.15 |
Verschlüsselungsverfahren
Stefan Bumerl, cryptas GmbH
• Verschlüsselungsmatrix
• Wo liegen die Unterschiede?
• Auswahlkriterien
• Roll Out-Verfahren und ROI
|
| 16.15 - 17.00 |
Security-Management
Fabian Libeau, Arcsight
• Enterprise Security Management im Ueberblick
• Integration von ESM in bestehende IT Prozesse
• Unterstützung und Umsetzung von Sicherheitsstandards wie z.B. ISO 17799
• Praxisbeispiel CERT
|
| 17.00 - 17.30 |
Paneldiskussion
Werkzeugkasten für das Identity Management
Diskussionsrunde mit Ulrich Parthier
|
| |
Moderation: Ulrich Parthier, Publisher IT Security
|
| Ab 19.00 |
Festliches Dinner |
Agenda, 31. Mai 2006 (2. Tag)
|
| Block 5: Computer Forensik |
| 9.00 - 9.45 |
Praktische Aspekte der Computer Forensik
Lukas Grunwald, DN-Systems Enterprise Internet Solutions GmbH
• Managementrahmen der forenischen Analyse
• Organisationssteuerung /Bewusstseinssteuerung
• Technische Umsetzung/Techniksteuerung
• Anti-Forensik |
| 9.45 - 10.30 |
Tooleinsatz in der Computer Forensik
Sebastian Krause , HiSolutions AG
• Der Ermittlungsprozess
• Der Nutzen von Forensik-Tools
• Kriterien für die Toolauswahl
• Der ideale Werkzeugkasten |
| 10.30 - 11.00 |
Kommunikationspause |
| Block 6: Standardisierungen erfolgreich umsetzen |
11.00 - 11.45 |
SSE-CMM als Basis zur Etablierung und Bewertung eines ISMS
Enno Ewers, HiSolutions AG
• SSE-CMM/ISO21827 - der vergessene Standard
• Den Reifegrad der Security-Prozesse ermitteln
• ISO27001 sagt, was nicht funktioniert – SSE-CMM ergänzt, warum es nicht funktioniert
• SSE-CMM als Framework für die Prozess-Gestaltung |
| 11.45 - 12.30 |
Octave: Methodik zur Risikoanalyse
Frederik Humpert, Humpert & Partner
• Methodik
• Techniken
• Ziele
• Phasenmodell |
| 12.30 - 13.30 |
Business Lunch |
| Block 7: Workshops - Teil 1 (bitte zwischen A -B -C wählen) |
| 13.30 - 15.00 |
A: Sicherheit für Enterprise J2EE-Applikationen
Dr. Bruce Sams, Optima bit GmbH
• Vor/Nachteile des J2EE Sicherheitsmodels
• Single-Sign-On
• Application Integration (TIBCO, MQ-Series, usw.)
• PKI mit J2EE Applikationen
B: Einführung eines prozessorientierten IT-Security Managementsystems
Tobias Kirchhoff und Bruno Tenhagen, TÜV Secure IT GmbH
• Organisationsstruktur von wirksamen Prozessen (Top-Down-Ansatz)
• Geeignete Standards und Best Practices zur Einführung und Etablierung
• Umsetzung im Hinblick auf die individuelle Unternehmenskultur
• Prozessmodell
C: Online-Test von Web-Applikationen
Alexander Meisel, art of defence GmbH
• Authentifizierung und Session Handling
• Command Injection & Input Validation
• XSS – Indirekte Angriffe
• Secure Application Design & Programming
|
| 15.00 - 15.30 |
Kommunikationspause |
| Block 8: Workshops - Teil 2 |
| 15.30 - 17.00 |
A: Sicherheit für Web Services und SOA
Dr. Bruce J. Sams, Optima bit GmbH
• Besondere Schwachstellen bei Web Services
• Sicheres Design in der SOA-Architektur (SSO, XML Gateways)
• Nachrichtensicherheit
• WS-Security, SAML und andere Sicherheitsstandards
B: Service-orientierte Netzwerkarchitekturen
Klaus Lenssen, Cisco Systems GmbH
• Wandel der Rolle des Netzwerkes im Unternehmen – IIN
• Evolution der Bedrohungen
• Vorteile einer SONA aus Security-Sicht
• Zeitrahmen
C: SOA und Sicherheit
Dr. Dieter Masak, plenum AG
• Service-orientierte Architekturen: Struktur und Einsatz
• Sicherheitsarchitekturen
• Web Service-Lücken
• Sicherheitsattacke
|
| |
Moderation: Ulrich Parthier, Publisher IT Security |
| gegen 17.00 |
Ende der Konferenz |
| Änderungen
an der Agenda sind den Veranstaltern vorbehalten. |
