Agenda, 18. April 2007 (1. Tag)                                                              «2. Tag »

Konferenzbroschüre zum Download (PDF)

Trotz Viren-, Spam und Spyware-Programmen:

Das Pferd vor Troja und die Folgen

Joachim Ayasse, IT-Sicherheitsexperte, GeNUA GmbH

• Die Gefahr lauert überall
• Das Danaergeschenk
• Versteckte Soldaten
• Die Stadt fällt

Jeder von uns öffnet laufend Dateien, von denen er sich nicht sicher sein kann, woher sie stammen. Das ist das Einfalltor für Trojanische Pferde (Trojaner). Der Vortrag beleuchtet, wie Trojaner trotzdem immer wieder Rechner auch in Großunternehmen infiltrieren, wie sie funktionieren, welche Mechanismen sie benutzen, wie sie sich verstecken und was sie alles anrichten können. Dabei sind die Parallelen zur griechischen Geschichte immer wieder faszinierend. Live wird ein Trojaner vorgeführt, um die Inhalte des Vortrags konkret vor Augen zu führen.

Sichere Entwicklung von Webanwendungen

Standards und Policies  

Thomas Kerbl, SEC Consult Unternehmensberatung GmbH

• Webapplikationen als schwächstes Glied
• ISO 21827 als Standard für sichere Softwareentwicklung
• ONR 17700 als Standard für sichere Webapplikationen
• Policies für die nachhaltige Umsetzung sicherer Software-Entwicklung

11.00 - 11.45

Sicherheit sensibler Daten:

Digital Rights Management

Stefan Strobel, Geschäftsführer, cirosec GmbH 

• Bedrohungen für sensible Daten im Unternehmen
• Verschiedene Lösungsansätze
• Vor- und Nachteile der vorgestellten Lösungsansätze
• Handlungsempfehlungen

Vertrauliche Daten kommen in vielen Organisationen vor. Von personenbezogenen Daten der Kunden über Dateien der Personalabteilung oder Geschäftsleitung bis zu den Konstruktionsdaten einer Forschungs- oder Entwicklungsabteilung gibt es viele Beispiele. Gelegentlich fordern Gesetze den Schutz der Daten und oft steht hinter den Daten auch ein finanzieller Wert, auch wenn dessen Quantifizierung nicht ganz einfach ist.

Um diese Daten zu schützen reicht es nicht aus, wahllos bekannte Sicherheitstechniken wie Firewalls, Virenschutz oder Verschlüsselung aufzubauen. Diese schützen oft gar nicht vor den eigentlich relevanten Bedrohungen wie beispielsweise das versehentliche oder auch absichtliche Weitergeben von sensiblen Daten durch Mitarbeiter, die selbst die Zugriffsberechtigung auf die betroffenen Dateien haben.

Einige Unternehmen haben damit begonnen, sich gegen die Gefahr von Datenverlusten und Missbrauch von vertraulichen Informationen Digital Rights Management (DRM) Produkte anzusehen. Dabei werden jedoch fast immer die ursprünglichen Dateiformate verändert. Die Inhalte der Dateien werden zusammen mit Nutzungsrechten verschlüsselt und jeder Anwender benötigt entsprechende Plugins für seine betroffenen Applikationen, um mit den Dateien arbeiten zu können. Alternative Techniken vermeiden dies und kontrollieren statt dessen die Bewegungen von Dateien im Netzwerk und auf jedem betroffenen Endgerät. Dazu werden Agenten auf den Endgeräten oder Sensoren im Netzwerk verwendet. In diesem Vortag werden die verschiedenen Ansätze sowie ihre Vor- und Nachteile vorgestellt. 

Automatisiertes Schwachstellen- und Patch-Management

Lothar Michel, Geschäftsführer, Qualys GmbH 

• Nutzen von Vulnerability-Scans
• Automatisierung durch Scan Engines
• Reporting mit Hilfe eines web-basierten Workflows
• Kostenkontrolle dank IP-Kostenmodell

Schwachstellen in Microsoft XML/XSLT-Behandlung, im Adobe Reader, im Flash-Player, in Oracle, im SQL-Server, im Internet Explorer, in Mozilla Firefox, da kann man schnell den Überblick verlieren. Inwieweit ist ihre IT-Landschaft von diesem oder jenem Angriff eigentlich bedroht? Haben Sie dieses Problem überhaupt in ihrem Unternehmen? Die Antwort geben Vulnerability-Scanns. Qualys löst dies Problem mit sogenannten „Scan Engines", die über das Internet auf Grund einer ständig aktualiserten Liste möglicher Schwachstellen gezielte Schwachstellentests gegen ihre IT-Landschaft durchführen. Das es sich um das Modell eines „Software as a Service“ handelt, wird pro IP-Adresse abgerechnet, was sogar im Vergleich zu Open Source-Produkte günstig ist, die gepflegt und aktualisiert werden müssen). Die Vorteile:

• Mitarbeiter brauchen sich nicht um die tägliche Aktualisierung der Schwachstellen-Pattern zu kümmern (im Vergleich zu den ebenfalls verfügbaren Open Source-Alternativen)
• Unternehmen bekommen einen Schwachstellen-Bericht, wann immer sie ihn benötigen, jeden Montag morgen per E-Mail oder auf Abruf, wann immer Sie lesen, dass da wieder eine Schwachstelle angegriffen wird
• Sie sind als IT-Security-Manager oder IT-Revisior unabhängig von (wohlgemeinten) Aussagen Ihrer IT-Spezialisten. Sie bekommen eine Messung, dort wo Sie bisher einfach nur auf Vertrauen setzen konnten

Im Reporting ist ein web-basierten Workflow für das Patch-Management integriert. Das heißt, jede gefundene Schwachstelle kann einem IT-Spezialisten zuordnet werden und abgearbeitet werden. Das ganze geht nicht nur für externe IP-Adressen (die ja am stärksten exponiert sind). Über eine kleine Appliance (1U Höhe) kann die Scan-Engine ins Netz tunneln und nach Ihren Vorgaben auch ihre internen Systeme testen.

A: Sicheres Netzwerk-Management

    Roger Klose , IT Security-Experte, ERNW GmbH

Workshop-Ziel: Die Teilnehmer lernen, wie typische Aufgaben im Rahmen des Netzwerk-Managements sicher gestaltet werden können. Es werden Sicherheits-Probleme und Gegenmaßnahmen diskutiert und bewertet. Viele praktische Demos und Beispiele aus komplexen Umgebungen gewährleisten einen hohen Praxis-Bezug.

Inhalt:

• SNMP: Sicherheitsprobleme von SNMP & Gegenmassnahmen.
• SNMPv3: Architektur & Konfiguration: Wann SNMPv3 eingesetzt werden muss und wann es nicht eingesetzt werden sollte.
• Device-Zugriff: SSH vs. Telnet, Arbeit mit Jumphosts, das Problem Web-Interfaces, sicherer Konsolenzugriff
• Sichere Konfigurations- und Image-Verwaltung, Integritätsprüfung von Konfigs, wichtige Tools (RANCID et.al.)
• Logging & Log-Auswertung: Protokolle & Formate (BSD syslog, syslog-ng, Windows Eventlog), wichtige Tools
• Revisionsanforderungen und rechtliche Aspekte.

B: Integriertes Identity Management und Auditing:

    Der Schlüssel zur IT-Compliance

    Eckhard Völcker, Vorstand Völcker Informatik AG  

• Rechtliche und technische Rahmenbedingungen
• Systemübergreifendes Management von IT-Berechtigungen

• Preventive und detective controls zur Verhinderung und Aufdeckung von Regelverstößen

• Live-Demo

Eine effektive Sicherstellung der IT-Compliance kann angesichts der Komplexität heutiger Systeme nur noch über automatisierte Mechanismen erfolgen. Im Workshop werden die Verfahren und Alternativen beschrieben, wie gesetzliche und interne Reglementierungen in operative Regelwerke für die Berechtigungsstrukturen in IT-Systemen übersetzt werden können. Die so genannten preventive controls verhindern im Rahmen der Provisionierung, dass nicht-regelkonforme Berechtigungen erteilt werden. Zusätzlich können systemübergreifend detective controls unzulässige IT-Zugänge aufdecken. Im Rahmen einer Live-Demonstration des ActiveEntry Identity Auditors werden dabei auch die Mechanismen vorgestellt, mit denen die "Heilung" von Regelverletzungen erfolgen kann. 

C: Digitale Autopsie
    Computer-Forensik im Unternehmensalltag   

    Dipl.-Inf. Holger Morgenstern, öffentlich bestellter und vereidigter

    EDV-Sachverständiger für Computer-Forensik

• Sicherheitsvorfälle, gezielte Angriffe und Spionage im Alltag
• Integration der Computer-Forensik in den Incident-Response-Prozess
• Digitale Spuren finden und gerichtsverwertbar sichern
• Aktuelle Computer-Forensik Werkzeuge im Vergleich

   

Die Bedrohung schützenswerter Informationen erreicht immer neue Dimensionen.
Neben altbekannten Sicherheitsvorfällen wie Sabotage und Datendiebstahl durch unloyale Mitarbeiter, spielen Angriffe mit moderner Schadsoftware eine immer größere Rolle. Werden Sicherheitsvorfälle bemerkt, müssen schnell die richtigen Entscheidungen getroffen werden. Das kann am besten gelingen, wenn der Bereich der Computer-Forensik vorausschauend in den gesamten Incident-Response-Prozess integriert wird. Das Auffinden und Analysieren digitaler Spuren muss so geschehen, dass diese später in einem Gerichtsverfahren verwendet werden können. Unterstützt wird dieser Prozess durch moderne Computer-Forensik Werkzeuge sowohl aus dem kommerziellen wie auch aus dem Open-Source Bereich.

SAP NetWeaver Portal Live Hacking 

Dominik Witte, SecureIntegration GmbH

• Vorstellung des Systems
• Identifizierung der Angriffspunkte
• Schutzbedarf- und Risikoanalyse
• Umsetzung von Schutzmaßnahmen

Anhand eines fiktiven SAP-Systems zeigen wir live, wie Angreifer Schwachstellen und Passwörter ermitteln können. Dies kann im schlimmsten Fall sogar den Zugriff auf die zentrale Datenbank des Unternehmens ermöglichen. In Step 2 werden von uns die Sicherheitsrisiken und ihre möglichen Auswirkungen dargestellt. Schließlich werden die Erkenntnisse in eine Schutzbedarfs- und Risikoanalyse umgesetzt und geeignete Maßnahmen zur Reduktion der Risiken aufgezeigt. Diese können abhängig vom Unternehmen von der Protokollsicherheit über das Hardening der SAP-Lösung bis hin zu Maßnahmen zur Datenbanksicherheit reichen.

Business Continuity A Survival Strategy

Coen Kokkelink, Comsec Consulting

• Business Continuity digitalized
• From Boardroom to Backoffice
• Logical steps to resumption
• Pack and Go

(Vortrag in englischer Sprache)

Data Center:

Gesichertes Netzwerkdesign

Guntram Geiger, Geschäftsführer, GEIGER Maximizing Net-Solutions GmbH

• Schwachstellen
• Strukturen
• Dokumentation
• Normen

Im IT-Bereich steigen die Sicherheitsanforderungen an Rechenzentren, Server- und Back-up-Räume kontinuierlich. Neben den wichtigen Themen Brandschutz, Klimatisierung, stabile Energieversorgung und weiteren physikalischen und baulichen Schutzmaßnahmen wird leider sehr oft ein wichtiges Thema außer Acht gelassen: Eine IT-gerechte, maßgeschneiderte passive Netzwerkinfrastruktur bedeutet ein gesichertes Netzwerkdesign, das Anwendern ein höchstes Maß an Funktionalität, Übersichtlichkeit und die daraus resultierende Sicherheit und Verfügbarkeit über die Norm hinaus garantiert.

Chaotische Patchkabelstrukturen, ein fehlerhafter Stecker, ein Faser- oder Kabelbruch, fehlende Redundanzen und unvollständige Dokumentationen führen zu Schwachstellen und nicht kalkulierbaren Risikopotentialen. Dies wiederum kann zu verheerenden betriebswirtschaftlichen Folgen führen. Wir zeigen, was man dagegen tun kann.

Moderation: Ulrich Parthier, Publisher IT SECURITY

Festliches Dinner (Casual Dress) – Kubanischer Abend!

Agenda, 19. April 2007 (2. Tag)

Checklisten zur MPLS-Sicherheit

Roger Klose , IT Security-Exprte, ERNW GmbH

- Kauf ohne Sicherheitscheck

- Unterschiede zu Frame Relay und ATM

- Einsatzmöglichkeiten und daraus resultierende Lücken

- Checkliste zur Sicherheit von MPLS

MPLS ist die mittlerweile wichtigste Backbone-Technologie grosser Netze und wird inzwischen in vielen Organisationen nicht nur als Produkt zur VPN-Realisierung eingekauft, sondern zur logischen Verkehrstrennung auch zunehmend in Campus-Netzen eingesetzt. Übersehen wird dabei häufig, dass MPLS sich hinsichtlich möglicher Sicherheitsprobleme oder Angriffs-Szenarien von seinen „Vorgängern" Frame-Relay oder ATM deutlich unterscheidet. Der Vortrag thematisiert Sicherheits-Aspekte beim Einsatz von MPLS und darauf basierender Dienste. Es wird auch eine Checkliste vorgestellt, mit der MPLS-Sicherheit bewertet werden kann, wenn ein entsprechendes VPN-Produkt von einem Provider eingekauft wird.

Routing-Security 2007:

Stand der Technik

Dror-John Röcher, CISSP, Senior IT Security Consultant ERNW GmbH

• Status in den Unternehmen
• Sicherheitslücken
• Angriffe (Live)
• Sicherheitsmechanismen

Die geroutete Infrastruktur bildet das Rückgrat unserer Netzwerke. Dabei vernachlässigen viele Unternehmen die Sicherheit der Routing-Infrastruktur. Erfolgreiche Angriffe auf Routingprotokolle ermöglichen die Unterwanderung vieler darauf aufbauender Sicherheitsmechanismen. Neben praktischen Angriffen auf Routingprotokolle werden verfügbare Sicherheitsmechnismen und ihre Wirksamkeit erläutert.

11.00 - 11.45

Risikomanagement: Beyond the line

Information Security Risk Management ISO 27005

Dr. Oliver Weissmann, Teamleiter Strategie-Sicherheit, help AG  

• Umgang mit Komplexität - Identifikation von Assets/Unternehmenswerten
• Vernetzung von Abhängigkeiten
• Beurteilung von Risikofaktoren
• Darstellung von Risiken

Im Rahmen der Implementation eines ISMS wird immer auch die Implementation eines Risikomanagements gefordert. Dieses bildet die Grundlage für alle weiteren Aspekte des ISMS und ergänzt das bestehende Risikomanagement einer Organisation um die Aspekte des operativen Risikos im Umgang mit Informationen. Dabei treten bei der Implementation eines solchen Risikomanagements unterschiedliche Probleme auf, die für einen nachhaltigen und sinnvollen Betrieb eines ISMS nach 27001 gelöst werden müssen. Im Rahmen dieses Vortrages werden dies Probleme dargestellt und mögliche Lösungswege aufgezeigt, die sich in der Praxis bewährt haben.

Corporate Security Reporting

Marcel Read, Geschäftsführer, comratio GmbH 

• Anforderungen an ein Enterprise Risk Management
• Simulation und Modellierung komplexer Aufgabenstellungen
• Krisenmanagement
• Toolunterstütztes Reporting

Security Management-Systeme müssen in der Lage sein, unternehmensweit viele Anwender mit vielfältigen Aufgabenstellungen und Rollen in die Sicherheitsmanagement-Prozesse einzubinden und optimal zu unterstützen. Durch eine effiziente Informationsverarbeitung und offene Schnittstellen können sie sich optimal in die unternehmensspezifische IT-Welt integrieren. Ein Modul mit Business-Logik und Regelwerk gewährleistet die Konformität zu anerkannten Risikomanagement und Sicherheitsmanagement-Normen, internen Richtlinien und einzuhaltenden Gesetzten.

A: SOA und die richtige IT Security-Antwort

    Dr. Bruce Sams, Geschäftsführer optima bit GmbH 

• Sicherheitsmodelle
• Architektur und Managementsicht
• Lösungsstrategien
• Konkrete Angriffsszenarien

Die umfassende Sicherung einer SOA gegen Angriffe ist eine große Herausforderung, da SOA ein neues Sicherheitsmodell erfordert, in dem viele altbewährte Lösungen für Benutzermanagement, Authentifizierung, Autorisierung, Föderation usw. nicht mehr funktionieren. Dieser Vortrag zeigt die spezifischen Sicherheitsprobleme von SOA aus der Architektur- und Managementperspektive und bietet Lösungsstrategien an. Ausgehend von der Architektur, über Integration von Sicherheitskonzepten in die Entwicklung, die korrekte Auswahl der Komponenten und einer klaren Einordnung der vielen WS-* Spezifikationen, wird eine ganzheitliche Sicht auf die Sicherheit von SOA angeboten. Konkrete Angriffsszenarien werden besprochen, so dass die Methoden der Hacker (und daher die Schwächen der SOA) ersichtlich werden.

B: UTM & Netzwerksicherheit: Das wahre Leben

    Dr. Klaus Gheri, CTO, phion Information Technologies AG

Der Erfolg Internet-basierter Geschäftsprozesse hat bei Unternehmen und Managed Security Providern dazu geführt, dass die Anzahl der im Netzwerk eingesetzten Gateways seit Jahren stetig ansteigt. Durch Einrichtung, Konfiguration und laufenden Betrieb der unzähligen Systeme entsteht dabei ein extremer Management-Overhead. Wie komfortabel die Installation und Pflege eines einzelnen Gateways ist, spielt dabei keine Rolle mehr - die schiere Menge der Systeme erfordert auf jeden Fall einen enormen Zeit- und Personalaufwand. Darüber hinaus hat sich auch die Anzahl anderer Geräte im Netzwerk vervielfacht, angefangen bei Routern und Switches bis zu Hochverfügbarkeits-, Traffic-Intelligence- und WAN-Optimierungssystemen. Immer komplexere Infrastrukturen mit unzähligen Wechselwirkungen selbst komplexeste Infrastrukturen wieder transparent werden und effizient verwaltet werden können. Administratoren sorgen mit minimalem Ressourceneinsatz für das Management der Gateways an allen Standorten - vom Hauptsitz bis zu kleinsten Filiale.

Service-orientierte Security

Thomas Konermann, Senior Consultant, TÜV Rheinland Secure IT GmbH

• Grundlagen Security-Prozesse nach ISO 27001
• Service-orientierte Betrachtung
• Vorgehensmodell
• Praxisbeispiel anhand eines eMail-Push-Dienstes

Unternehmen beginnen zunehmend die IT-Infrastruktur service-orientiert zu betrachten. Dies gilt selbstverständlich auch für die IT-Sicherheit. Es geht nicht darum, das komplette Unternehmen unter Security-Aspekten zu betrachten, sondern sich auf die relevanten Services dazu zu konzentrieren.

Segen oder Fluch?

Cisco Network Admission Control

Dror-John Röcher, CISSP, Senior IT Security Consultant, ERNW GmbH

• Wunschdenken der Marketiers
• Die Wirklichkeit
• Funktionsweise der Technologie
• Vorschläge für den sicheren Betrieb

Aggressiv vermarktet Cisco das „Self-Defending-Network", dessen Kernkomponente das „Network Admission Control" bildet. Diese Technologie soll garantieren, dass nur Clients, die einer definierten Policy entsprechen, Zugang zum Netz erhalten. Nach einem Blick auf die Funktionsweise der Technologie werden Schwachstellen in der NAC-Architektur aufgezeigt und Ansätze zum sicheren Betrieb einer NAC-Lösung diskutiert.

Moderation: Ulrich Parthier, Publisher IT SECURITY

Änderungen an der Agenda sind den Veranstaltern vorbehalten.