Track IT Security

Block 1:  Internet Security

Track Hack Attack

Workshop 1

Strategien für eine erfolgreiche Spamabwehr

Andreas Beierer, Anti-Spam Experte, eleven GmbH  

• Wandlung der Spam-Problematik
• Qualitäts-Kriterium False-Positive-Rate
• Warum eine E-Mail-Firewall?
• Warum auslagern?

Das Spam-Wachstum hält an, bis zu 95% der eingehenden Mails sind Spam. Herkömmliche, inhalts- oder listenbasierte Spam-Erkennungsverfahren versagen auf Grund immer neuer Spam-Varianten. Zunehmend problematisch werden False Positives, irrtümlich als Spam klassifizierte relevante Mails und die reine Masse der eingehenden E-Mails. In Lastsituationen sichert eine E-Mail-Firewall die geschäftsrelevante Kommunikation. Moderne Spam-Filter und E-Mail-Kategorisierungsdienste leisten mehr als nur Spam-Bekämpfung. Sie schützen vor Virenwellen und Trojanern und bieten eine Vielzahl weiterer Optionen um die elektronische Kommunikation sicher zu stellen. Der Betrieb als ASP-Lösung entlastet zusätzlich die firmeneigne IT-Infrastruktur.

Wirksame Spam-Abwehrtechniken mit

OpenSource-Mitteln am Beispiel von OpenBSD

Dipl.-Inf. Alexander von Gernler, Mitglied im OpenBSD-Projekt, GeNUA mbH

• Definition Spam, mögliche Motivation und Methoden von Spamversendern
• Übersicht über die Prinzipien von Spam und Spamvermeidung
• Fallstudie: Spamvermeidung auf einem realen Server im Internet
• Fazit und Ausblick

Der Vortrag wird einen Überblick über das Themenfeld Spamvermeidung liefern. Hierbei wird ganz klar der Fokus auf freie Software sowie Nachvollziehbarkeit der Prinzipien von Spamvermeidung gelegt. Zunächst wird versucht, ein möglichst gutes Angreifermodell zu erarbeiten: Welche Motivationen haben Spamversender, unerwünschte Mails zu verschicken, und welche technischen Mittel stehen ihnen zur Verfügung.

Aufgrund der Illegalität, in der sich Spamversender bewegen, muss hier natürlich auch ein bisschen spekuliert werden. Anschließend werden allgemeine (von der konkreten Software unabhängige) Techniken zur Spamvermeidung diskutiert und miteinander verglichen. Unter anderem werden die Begriffe SPF, RBL, White/Grey/Blacklisting, Pattern-Filterung, Bayesische Filterung, und Tipps aus den RFCs näher beleuchtet.

Ist der theoretische Background auf diese Weise geschaffen, wendet sich der Vortrag einer konkreten Fallstudie zu: Nicht ein Laborsystem, sondern ein seit Jahren im Betrieb befindlicher Internetserver des Autors wird auf seine Resistenz gegen Spam untersucht. Welche Techniken werden eingesetzt, und wie effektiv sind diese im Praxiseinsatz? Auf welchem Betriebssystem läuft dieser Server, und welche Motivation hat dafür eine Rolle gespielt? Anschließend wird ein Resumee über die vorgestellten Techniken gezogen und ein aktuelles Bild der Lage im Bereich Spam gezeichnet.

Zentrales IT-Security Management

Bernhard Schneck, Geschäftsführer GeNUA mbH

• Herausforderung für die IT-Sicherheit: Firmen mit verteilten Standorten
• Unterschiedliches Bedrohungspotenzial an unterschiedlichen Standorten
• Mit verteilten Sicherheitssystemen übergriffe erkennen
• Mit zentralem Management unternehmensweit ein hohes Sicherheitsniveau erreichen

Firmen mit verteilten Standorten benötigen übergreifende IT-Sicherheitskonzepte: Denn der Einbruch in das LAN einer Zweigstelle kann schnell zur Attacke auf das gesamte Firmennetz ausgenutzt werden. Mit einem zentralen IT-Security Management wird das Zusammenspiel unterschiedlicher, verteiler Sicherheitssysteme und damit unternehmensweit ein hohes Schutzniveau erreicht.

IT Security

Block 2: Security Auswahl

Hack Attack
Workshop 2

Linux-Tools im IT Security-Umfeld

Dipl.-Ing. Ansgar H. Licher, LWsystems GmbH & Co. KG

• Security-Marktsegmente für Linux-Tools
• Integration in Security-Konzepte
• Innovative Tools
• Integration in die IT-Infrastruktur

Linux ist heute in vielen Bereichen der Enterprise IT bereits salonfähig geworden. Es bietet in vielen Belangen eindeutig hochwertige Werkzeuge, angefangen bei einfachen Tools bis hin zu kompletten Infrastrukturlösungen. Die Spanne der Einsatzmöglichkeiten von Open Source-Tools reicht inzwischen von „reinen" Programmier- und Entwicklungswerkzeugen, über Middleware, Applikationen und Lösungen bis hin zu eben Infrastrukturlösungen sowie Werkzeugen für Sicherheitsanalysen und -checks oder Online-Monitoring/-überwachung usw.

Gerade im Bereich eher Security-lastiger Produkte ist im Bereich Open Source ein gewaltiger Fundus an Tools und Werkzeugen für quasi alle Belange und Bedarfe des Sicherheitsspektrums entstanden. Jeder Security-Verantwortliche oder auch IT-Admin hat mit Open Source-basierten Werkzeugen die Möglichkeit, de facto alle Fragestellungen abzudecken.

Methoden der Cyber-Kriminellen und Ansätze zur Abwehr

Alexander Peters, Global Client Services Manager,

MessageLabs GmbH

• Schattenwirtschaft
• Virenprogrammierer
• Malware & andere Schadprogramme
• Storm Net und Botnetze

Das World Wide Web hat die Geschäftskommunikation erleichtert, birgt aber auch Risiken für die Geschäftstätigkeit jedes Unternehmens. In verschiedenen Analysen ist es immer wieder zu lesen: Seit diesem Jahr wird sich die internationale Spionage in Datennetzen von Behörden und Unternehmen zu einem der größten Sicherheitsprobleme überhaupt entwickeln. Ein immer gezielteres und raffinierteres Netz von Online-Angreifern versucht über das Web in Unternehmensnetze einzudringen. Ziel ist es, die Geschäftskommunikation zu stören oder geistiges Eigentum und andere vertraulichen Geschäftsdaten zu stehlen. Ein Schutz auf höchstem Niveau und ein guter Überblick sind somit unabdingbar. Auch intern stellt das Web ein Risiko dar. Wie aber kann der der Webzugang von allen Mitarbeitern effizient und wirkungsvoll genutzt und kontrolliert werden? In diesem Workshop werden Angriffszenarien dargestellt und wirksame Schutzmaßnahmen erläutert.  

Sichere Auswahl und Einsatz von

Content Management-Systemen mit ONR 17700

Thomas Kerbl, SEC Consult Unternehmensberatung GmbH

• Sicherheitsaspekte von Content Management-Systemen
• Kriterien für die Auswahl und Beschaffung
• Content Management-Systeme sicher einsetzen
• Live Demonstration von Schwachstellen in Content Management-Systemen

Inzwischen verwendet eine Vielzahl von Unternehmen und Behörden Content Management-Systeme zur Verwaltung der eigenen Webauftritte. Die notwendigen Sicherheitsaspekte werden bei der Auswahl und beim Einsatz dieser jedoch häufig vernachlässigt oder sind diese gar nicht bekannt. Selbst umfangreiche Kriterienkataloge betrachten diese Aspekte meist nur am Rande. Kritische Schwachstellen in Content Management-Systemen ermöglichen es einem Angreifer jedoch trotz hoher Investitionen der Unternehmen in Firewalls und Netzsicherheit mit relativ überschaubarem Aufwand, sensible Informationen in seinen Besitz bringen beziehungsweise Web-Auftritte vollständig zu übernehmen. Vor allem die Norm „ONR 17700 - Technische Anforderungen für die Sicherheit von Webapplikationen" bildet einen ausgezeichneten Rahmen für die sichere Auswahl und den Einsatz von CM-Systemen. Beim Vortrag werden unter anderem auch Schwachstellen diesen Systemen und deren Ausnutzung live vorgeführt, um die Auswirkungen zu verdeutlichen.

IT Security

Block 3: Security Management

Interne Sicherheit

Die nächste Generation

Norbert Voll, Bereichsleiter Organisation und DV,

Krauss-Maffei Wegmann GmbH & Co. KG

• Methoden interner Netzwerk-Angriffe und Abwehrstrategien
• Praxis- und Anwenderbeispiele: WLAN und VoIP Internal Security
• Innovative und wirtschaftliche Lösungskonzepte
• Handlungsstrategien

Security-Systeme im Netzwerke gibt es viele. Unser Anwendervortrag zeigt wie man mit innovativen Tools wie dem IntraPROTECTOR das gesamte Netzwerk permanent überwacht, interne Angriffe identifiziert und dem Administrator Informationen zur Lokalisierung von Angreifer und Opfer liefert sowie Abwehrmaßnahmen zur Isolierung von Angreifern ausführt. Das Security-System schützt dabei vor Manipulationen an Routern oder Switches ebenso wie vor Man-in-the-Middle- und Denial-of-Service-Attacken, die auf ARP oder IP Spoofing basieren, oder vor Flooding- Attacken bzw. Angriffen auf Router, Switches und Endgeräte. Die flexibel skalierbare und in andere Netzwerk- und System-Managementsysteme integrierbare Lösung beeinflusst keine anderen Applikationen und hat so gut wie keine Auswirkungen auf die Performance von Netzwerken. Da außerdem keine personenbezogenen Daten erfasst werden, führt dies auch zu keinen Konflikten mit Datenschutzrichtlinien.

Advanced Cisco Hacking

Roger Klose, Security-Experte, ERNW GmbH

Die Cisco-Produktpalette bietet immer wieder neue Funktionalitäten, die großen Anklang finden. Aber auch bereits standardisierte Protokolle sind weit verbreitet. Diese Features bieten aber nicht nur Vorteile, sondern können bei falscher Implementierung  oder Anwendung einem Angreifer Tür und Tor in das Unternehmensnetzwerk öffen. Dieser Vortrag befasst sich nach einer Einführung in die IT-Security sowohl mit bereits bekannten Schwachstellen als auch mit aktuellen Tipps und Tricks  wie der Angreifer von heute Cisco-Produkte für seinen Vorteil ausnutzt.

Sicherheits-Bewertung und Kennzahlen in der IT-Sicherheit

Stefan Strobel, CEO, cirosec GmbH

• Was sind Kennzahlen und Metriken in der IT
• Anwendung von Kennzahlen und Metriken auf die IT-Sicherheit
• Standards für Kennzahlen und Metriken in der IT-Sicherheit
• Beispiele, Diskussion von Problemen sowie Ausblick

Kennzahlen für den aktuellen Zustand der IT-Sicherheit sind eine große Herausforderung. In dem Vortrag werden verschiedene Möglichkeiten und Technologien zur Bewertung der IT-Sicherheit für das Risiko-Management und als Basis für Kennzahlensysteme diskutiert. Es werden die aktuellen Standards für Kennzahlen und Metriken in der IT-Sicherheit vorgestellt und anschließend Beispiele für Metriken in der IT-Sicherheit gegeben.

IT Security

Block 4:  Sicherheitsinfrastrukturen und Management

SAP Security Monitoring

Jörg Altmeier, CEO, wikima4 AG 

• IKS/Euro 8 – wer ist betroffen?
• Unterschiedliche Anforderungsprofile
• Roadmap für die Umsetzung
• Security Monitoring mit einem Mausklick

 Anforderungen an Unternehmen steigen, Regulatory Compliance in den eingesetzten ERP-Lösungen zu gewährleisten. Mit den Anforderungen an ein IKS sind neu auch Unternehmen betroffen, die bislang keine Verpflichtungen hatten. Der Vortrag wird folgende Fragestellungen beleuchten und beantworten:

Was ändert sich mit IKS/Euro-Richtlinie 8? Was bieten die Hersteller von ERP-Systemen? Muss es immer die allumfassende Suite sein? H aben mittelständische Unternehmen andere Anforderungen an ein Compliance-Tool als Grossunternehmen? Werden diese Anforderungen effizient erfüllt? Wie führe ich eine effiziente Evaluation bestehender Lösungen durch? Wie sieht eine sinnvolle Roadmap zur Umsetzung aus? Abschließend wird ein Einblick in die aktuelle Entwicklung „mesaforte - Your SAP Security Monitoring in a mouse click" gegeben und diese in Position zu SAP's GRC-Suite gestellt.  

Oracle (Anti-) Hacking                              

Matthias Glock, Leiter Consulting, Red Database Security GmbH

1. Einführung Hacking Datenbanken
2. Angriffsmöglichkeiten, Beispiele und Szenarien
3. Härten von Datenbanken und Anwendungen
4. Strategien und zukünftige Entwicklungen

Datenbanksecurity wurde in den letzten Jahren oftmals nur mit Rollen- und Berechtigungskonzepten verbunden. Datenbank-Administratoren mussten sich zudem an die Vorgaben für Administration von Standardanwendungen diverser Softwareanbieter halten.

Im Ergebnis sehen wir aus Securitysicht jedoch immer wieder die bekannt gewordenen Diebstähle von personenbezogenen Daten, Kreditkartendaten, Kundendaten, usw. sowie einer Vielzahl von unerkannten Angriffen.

Der Vortrag zeigt die grundlegenden Unterschiede des Datenbankhackings zu anderen Angriffszielen und reale Angriffsmöglichkeiten bei einer ORACLE Datenbank.

Im zweiten Teil werden die vielfältigen Möglichkeiten und Strategien des Härtens von ORACLE Datenbanken beschrieben sowie zukünftige Entwicklungen vorgestellt.

Weiterentwicklung von IT-Sicherheitsinfrastrukturen

Roland Holtkämper, TTS Trusted Technologies and Solutions GmbH

• Informationssicherheit (IS) als Prozeß
• Verzahnung von Technik und Organisation
• IS als Motor für Geschäftsprozesse
• Dynamische Weiterentwicklung von IS

Die meisten Unternehmen nutzen Kommunikationsnetzwerke, über die sie Informationen zwischen Unternehmensstandorten mit Kunden, Lieferanten und Geschäftspartnern austauschen. Waren früher Ressourcen wie Maschinen, Kapital oder Menschen die wesentlichen Produktionsfaktoren, werden diese heute durch den Faktor Information ergänzt. Die Qualität von Informationen im Sinne von Verfügbarkeit, Aktualität und Sinnhaftigkeit entscheidet heute mit über den dauerhaften Unternehmenserfolg. Die Sicherheit der Informationen ist nach unserer Einschätzung massiv bedroht durch den Einsatz homogener Technologien (Internet, Windows), durch die zunehmende Komplexität der Anwendungen und durch die sich weiter verbessernde Organisation derer, die das Bedrohungspotential darstellen. Jahrelange Erfahrung haben gezeigt, daß dass die Informationssicherheit kein Zustand ist, der irgendwann gewährleistet werden könnte, sondern vielmehr ein Prozess, der dauerhaft betrieben werden muss. Ferner, dass Informationssicherheit nicht nur durch Technik ist, sondern durch Organisation und Technik zu unterstützen ist und drittens, dass Informationssicherheit mehr leisten kann als nur notwendiges Übel zu sein, sondern vielmehr der Erhaltung und Schaffung von Geschäftsprozessen dient. Die Schaffung und Weiterentwicklung von leistungsfähigen IT-Sicherheitsstrukturen ist also das oberste Ziel. Es muß Unternehmen in die Lage zu versetzen, auch ernsthafte Angriffe auf ihre Informationsstrukturen beherrschen zu können.

Track IT Security

Block 5:  Security-Optimierung

Track Hack Attack

Workshop 5

Informationssicherheit und Security Management Optimierung

ISO27001-Zertifizierung – ein Praxisbericht

Michael Hochenrieder, Consultant,

HvS-Consulting GmbH

• Sicherheitsrelevante Standards im Vergleich
• Anforderungen an ein Informationssicherheits-Managementsytem (ISMS) nach ISO 27001
• Optimierung der ISMS-Prozesse auf Basis der neuen ISO 2700x Standardfamilie
• ISO 27001-Zertifizierung: Lessons Learned / Tipps aus der Praxis

Nach einer kurzen Einführung in die aktuellen Sicherheitsstandards (z.B. ISO 27001, BSI IT-Grundschutz, CoBIT, ISF etc.) stellt der Referent die grundlegenden Anforderungen zur Implementierung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO 27001 vor. Im Anschluss wird er auf die Optimierung bereits existierender ISMS-Prozesse auf Basis der neuen ISO 2700x-Standards näher eingehen, z.B. in den Bereichen Messbarkeit & Kennzahlen (ISO 27004) oder Risikomanagement (ISO 27005).

Im zweiten Teil partizipieren die Zuhörer von den praktischen Erfahrungen des ISMS / ITSM Lead-Auditors aus diversen ISO 27001-Zertifizierungsaudits der letzten zwei Jahre. Zu den typischen Fragestellungen gehören: Lohnt sich eine Zertifizierung für mein Unternehmen? Wie aufwendig ist eine Zertifizierung? Wie läuft ein Zertifizierungs-Audit ab? Was sind die typischen Problempunkte und die relevanten Erfolgsfaktoren?  Gerade die praktischen Erfahrungen  machen den Mehrwert dieses Vortrages aus.

Sicherheitslücken bei Virtualisierungsoftware

Hacking VMWare ESX

Roger Klose und Gunther Niehues, Security-Experten, ERNW GmbH 

Virtualisierung ist in aller Munde. Ob IT-Leiter oder Student, alle sind  mit von der Partie. Doch ist die Virtualisierung wirklich das gelbe vom Ei? Neue Technologien und die dadurch entstehende Abhängigkeit davon bringen für den Betreiber auch bisher unbekannte Bedrohungen mit sich. Diese zu erkennen, zu analysieren und zu bewerten ist Inhalt dieses Vortrags.

IT Service & Security Management

• Die IT als Serviceteil
• Business Aligment & Service Value Management
• Synchronisation mit dem Security Management
• Überprüfungsmechanismen

Dem Vortrag liegt der Gedanke zugrunde, dass die IT-Abteilung Services für ihre Kunden innerhalb und/oder außerhalb des Unternehmens erbringt. Diese Services, zu denen IT-Security als Teilbereich implizit gehört, müssen für den Kundenbedarf sichtbar und transparent gemacht werden. IT übergeordnete Themen wie Business Alignment (das Ausrichten der IT-Strategie an der Business-Strategie) und Service Value Management (IT-Services als Faktor in der Wertschöpfungskette) sowie Compliance Management (etwa KonTraG, SOX, Basel II) fordern zunehmend eine Bewertung von Qualität, Wirksamkeit und Reife von IT-Services. Anhand von Fallbeispielen zeigen wir sinnvolle Vorgehensweisen zur wirksamen Gestaltung eines IT-Service und Security Managements auf. Zudem beleuchten wir den Aspekt von technischen Wirksamkeitsprüfungen.

IT Security

Block 6: Security Risk Management

Hack Attack
Workshop 6

Best practice bei Web Application Security

Joachim Astel, Vorstand noris network AG

noris network hat langjährige Expertise im Betrieb von Web Applications. Die Anforderungen zum Schutz der Infrastruktur gegen die Gefahren aus dem Internet wachsen tagtäglich, Bedrohungsszenarien kommen ständig hinzu, die Abwehr derer ist ein stetiger Prozess Wir stellen im Vortrag best practice dar, welche Innovationen man für Web Applikationen heute schon einsetzen kann und sollte.

Immer wichtiger wird auch der darüberliegende Prozess, d. h. die organisatorischen Abläufe und Verfahren sind heute entscheidend für ein erfolgreiches Projekt im Bereich Internet-Applikationen.

• Was ist Web Application?
• Beispiel für technische Sicherheit:
  Einsatz einer Web Application Firewall
• Weiteres Beispiel: 3-tier-Model
• Organisatorische Sicherheit

VOIP: Neue Gefahrenpotenziale

Tobias Glemser, Consultant, Tele-Consulting GmbH

VoIP wird oft als eine Möglichkeit gesehen, kostengünstig zu telefonieren. Weniger bekannt sind die Gefahren, die für Unternehmen bestehen, denn schließlich wird für die Kommunikation ein IP-Netz verwendet. Neben diesen technischen Risiken, gibt es als Risikofaktor oft organisatorische Mängel. Das technische Problem kann man in den Griff bekommen, denn VoIP ist nicht anderes als eine zusätzliche Anwendung. Was für alle IP-Anwendungen gilt, gilt analog auch für VoIP. Betrügerische Angriffe, etwa durch sogenannte Spoofing-Angriffe, werden für Telefonsysteme zur permanenten Gefahr. So können sich auch hier Betrüger mit gefälschten IP-Adressen und/oder Benutzernamen dem System gegenüber als autorisierte Nutzer ausgeben, um Sicherheitsmaßnahmen zu umgehen. Weitere denkbare Szenarien sind die aus der Welt der Webanwendungen bekannte Denial-of-Service-Attacken. In diesem Fall kann ein Angreifer das komplette Daten- und Sprachnetz lahmlegen. Er sendet nur Unmengen von Anfragen oder spezielle Datenpaketen und schon ist die Anlage blockiert und stürzt ab. Darüber hinaus ist es bei VoIP im Vergleich zu klassischer Telefonie erheblich einfacher Gespräche abzuhören. Sicherheitskonzepte sind also gefragt.

Sichere Kommunikation in Netzwerken durch zentrales Management und umfassende Kontrolle

Meinolf Schulte, SSH

• Sichere Systemverwaltung von Dateitransfers
• Einbindung in bestehende IT-Umgebungen
• Senkung der Betriebskosten
• Zentrale Kontrolle und Management

Für die Anwender spielen umfassende und integrierte Lösungen eine wichtige Rolle. Es gilt, Unternehmen und Organisationen dabei zu unterstützen, FTP-Dateitransfers und Datenübertragungen schnell und bequem abzusichern, ohne dass Modifikationen in Anwendungen, Skripts oder Infrastruktur nötig werden. Dazu sind neue Techniken entwickelt worden wie die automatische FTP-SFTP-Konversion oder transparentes FTP- und TCP-Tunneling. Dies versetzt IT-Abteilungen in die Lage, ungeschützte durch gesicherte Protokolle in wenigen Stunden oder Tage zu ersetzen. Hinzu kommt die Multiplattformunterstützung.

IT Security

Block 7: Identity Management

Identity Management

Basis für sichere Geschäftsprozesse

Prof. Dr. Dr. Gerd Rossa, Geschäftsführer, Institut für System-Management GmbH

• Das Prozessmodell
• Architektur und Managementsicht
• Lösungsstrategien
• Sicherheitsaspekte für Revision und Compliance

Das Identitätsmanagement als die zentrale Personen- und Datendrehscheibe ist das wichtigste Funktionselement für sichere Geschäftsprozesse. Es stellt zunächst einmal viel mehr eine organisa­torische als eine ­technische Aufgabe dar. Die zentrale Berechtigungsverwaltung und die Auto­matisierung der Prozesse über diese zentrale Komponente ist das Kernstück des Identitätsmanagements, doch gibt es darüber hinaus viele weitere positive Aspekte für den Einsatz.

Sicherer Software Development Lifecycle

Dr. Bruce J. Sams, Geschäftsführer, optima bit GmbH

• Sicherheitskonzept erstellen
• Sichere SDL erstellen
• Die wichtigsten Konzepte im Überblick

Etwa 80% aller Schwachstellen sind das Ergebnis einer schlechten Programmierpraxis und undurchdachten Sicherheitskonzepten bei der Software-Entwicklung und Integration.  Diese Schwachstellen werden jetzt zunehmend ausgenutzt, um harte Angriffe gegen Web Anwendungen, Web Services und andere Applikationen durchzuführen.  Statistiken zeigen, dass Angriffe gegen Anwendungen über 2000% im Jahr 2006 gestiegen sind! In einem typischen Software Development Lifecycle (SDL), erstellen Entwickler zehntausende Codezeilen unter enormen Zeitdruck. Das Ergebnis ist, dass die Mehrheit von Anwendungen viele Sicherheitsschwachstellen aufweist und daher ein großes Risiko für das Unternehmen bedeutet. Die beste strategische Lösung dieses Problems ist die Einführung eines "Sicheren SDLs", der die Sicherheit während sämtlicher Phasen des SDLs, von der Konzeptionierung bis zum Betrieb und Wartung, gewährt.

Dieser Vortrag präsentiert einen "Sicheren SDL", der Unterstützung für Sicherheitsmanager und Projektmanager bietet.  Wichtige Aspekte sind:

Application Security Policies, Secure Coding Guidelines, Sicherheitsanforderungen für Anwendungen, Code Review und Penetration Test.

Der Vortrag erläutert die wichtigsten Konzepte die dem Sicheren SDL zu Grunde liegen. Führende Unternehmen haben substantielle Verbesserungen durch den Einsatz dieser Methodik erreicht.

Integriertes Identity Management und Auditing

Der Schlüssel zur IT-Compliance

Peter Weierich, Leiter Marketing & Vertrieb, Völcker Informatik AG

• Rechtliche und technische Rahmenbedingungen
• Systemübergreifendes Management von IT-Berechtigungen Preventive und detective controls zur Verhinderung und Aufdeckung von Regelverstößen
• Live-Demo

Im Workshop werden die Verfahren und Alternativen beschrieben, wie gesetzliche und interne Reglementierungen in operative Regelwerke für die Berechtigungsstrukturen in IT-Systemen übersetzt werden können. Die so genannten preventive controls verhindern im Rahmen der Provisionierung, dass nicht-regelkonforme Berechtigungen erteilt werden. Zusätzlich können systemübergreifend detective controls unzulässige IT-Zugänge aufdecken. Im Rahmen einer Live-Demonstration werden dabei auch die Mechanismen vorgestellt, mit denen die „Heilung“ von Regelverletzungen erfolgen kann.

IT Security

Block 8:  Security Management

Was kostet IT-Risikomanagement?

Dr. Robert Hilgers, Senior Consultant, Solution Center IT-Security, Steria Mummert Consulting AG  

• Offene und verdeckte Kosten von IT-Risiken
• Sind IT-Risiken quantifizierbar?
• Kostenreduktion durch IT-Risikomanagement
• Budgetierung von Risikomanagement

Für ein effektives IT-Risikomanagement ist neben Fachwissen eine Investition in die Prozess- und Technologie-Steuerung zwingend notwendig. Studienergebnisse zeigen, dass die meisten Unternehmen ihre Stärken eher in der Technologie-Steuerung sehen, als in der Prozess-Steuerung. Authentifizierungs-, Autorisierungs- und Zugangs-Management werden oft als die effizientesten Module der Prozess-Steuerung im Unternehmen angesehen. Gleichzeitig ist es Fakt, dass die Mehrzahl der Unternehmen die Identifizierung, Klassifizierung und Verwaltung innerhalb ihrer IT-Infrastruktur noch vernachlässigt – eine solche Differenzierung ist aber zwingend notwendig, um das IT-Risiko für geschäftsrelevante Prozesse zu minimieren.  

Hacken von SAP-Anwendungen

Jörg Altmeier, CEO, wikima4 AG

• Schwachstellenanalyse
• Beispielszenarien
• Best Practices
• Übungen

Mit Hilfe von Demonstrationen werden Angriffsmöglichkeiten auf SAP-Systeme aufgezeigt, wie sie in jedem Unternehmen möglich sind. Die Angriffe werden durch die Kombination mehrere Schwachstellen durchgeführt. Informationen, wie diese ausgenutzt werden können, finden sich auf einschlägigen Seiten im Internet. Unsere Beispiele sind für „versierte" Hacker eher einfachere

Fälle. Folgende Themen werden wir behandeln:

- Sniffer

- Transaktion SM49
- Knacken von Passwort-Hashes

- Hacking der Datenbank-

Hacking des Webservers.

Zu jedem Angriff werden mögliche Gegenmaßnahmen (Best Practises) vorgestellt. Einzelne Übungen erfolgen in direkter Interaktion mit den Teilnehmern.

Zielgerichtete Angriffe mit Trojanern und Rootkits

Michael Schäfer, Senior Consult, OneConsult GmbH

• Angriffsszenarien
• Technik & Funktionsweise
• Detektion, Analyse und Schutzmaßnahmen
• Konsequenzen und Fazit

Zielgerichtete Angriffe mit Trojaner und Rootkits gewannen in den letzten Jahren zunehmend an Bedeutung und Aufmerksamkeit, von der Industriespionage über die politischen Spionage bis hin zur Diskussion über die Online-Durchsuchung. Der Vortrag vermittelt an Hand ausgewählter Angriffszenarien und Beispiele aus der Praxis ein Bild der aktuellen Bedrohungslage und neue Entwicklungen. Beispielhaft wird die Funktionsweise von Trojaner- und Rootkitechnologien vorgestellt und die wichtigsten Methoden zur Verbreitung, Verschleierung und Kommunikation beleuchtet. Im zweiten Teil werden Methoden und Techniken zur Detektion von zielgerichteten Angriffen sowie entsprechende Abwehrmaßnahmen vorgestellt.