Agenda, 18. September 2007
|
| 9.00 - 9.30 |
Registrierung und Second Breakfast |
| 9.30 - 10.10 |
Security Management - Schlüssel zu mehr Sicherheit & Wirtschaftlichkeit
Der Erfolg Internet-basierter Geschäftsprozesse hat bei Unternehmen und Managed Security Providern dazu geführt, dass die Anzahl der im Netzwerk eingesetzten Gateways seit Jahren stetig ansteigt. Durch Einrichtung, Konfiguration und laufenden Betrieb der unzähligen Systeme entsteht dabei ein extremer Management-Overhead. Wie komfortabel die Installation und Pflege eines einzelnen Gateways ist, spielt dabei keine Rolle mehr – die schiere Menge der Systeme erfordert auf jeden Fall einem enormen Zeit- und Personalaufwand. Darüber hinaus hat sich auch die Anzahl anderer Geräte und ihrer Wechselwirkungen im Netzwerk vervielfacht. Das eingesetzte Managementkonzept ist damit nicht nur entscheidend für die Wirtschaftlichkeit der Infrastruktur, sondern wirkt sich ganz konkret auf das Sicherheitsniveau und die Flexibilität der Infrastruktur aus.
Wie kann eine Balance zwischen Device- und Profil-basiertem Management hergestellt werden, sodass Unternehmen einerseits eine große Anzahl von Gateways rentabel verwalten können und andererseits die speziellen Anforderungen der Standorte abgedeckt werden?
Sven Rutsch, Security Consultant, phion AG
|
| 10.10 - 10.50 |
Vorgehen für die Sicherheitszertifizierung von Webanwendungen nach ONR 17700
Anhand praktischer Beispiele wird gezeigt, welche Schritte für die erfolgreiche Zertifizierung einer Webanwendung gemäß ONR 17700 notwendig sind.
DI (FH) Thomas Kerbl, Security Consultant
SEC Consult Unternehmensberatung GmbH |
| 10.50 - 11.20 |
Kommunikationspause |
11.20 - 12.00
|
Virtuelle Maschinen und Sicherheit
Die Verwendung virtueller Maschinen wie Xen oder VMware wirkt sich auf die Sicherheit eines Systems aus. Hier werden Möglichkeiten, Grenzen und Gefahren der Verwendung virtueller Maschinen im sicherheitskritischen Umfeld diskutiert.
Götz Bock, IT-Sicherheitsexperte bei GeNUA
Hans-Jörg Höxer, IT-Sicherheitsexperte bei GeNUA |
| 12.00 - 12.40 |
Gesichertes Netzwerkdesign im Rechenzentrum
- Schwachstellen
- Strukturen
- Dokumentation
- Normen
Im IT-Bereich steigen die Sicherheitsanforderungen an Rechenzentren, Server- und Back-up-Räume kontinuierlich. Neben den wichtigen Themen Brandschutz, Klimatisierung, stabile Energieversorgung und weiteren physikalischen und baulichen Schutzmaßnahmen wird leider sehr oft ein wichtiges Thema außer Acht gelassen: Eine IT-gerechte, maßgeschneiderte passive Netzwerkinfrastruktur bedeutet ein gesichertes Netzwerkdesign, das Anwendern ein höchstes Maß an Funktionalität, Übersichtlichkeit und die daraus resultierende Sicherheit und Verfügbarkeit über die Norm hinaus garantiert.
Chaotische Patchkabelstrukturen, ein fehlerhafter Stecker, ein Faser- oder Kabelbruch, fehlende Redundanzen und unvollständige Dokumentationen führen zu Schwachstellen und nicht kalkulierbaren Risikopotentialen. Dies wiederum kann zu verheerenden betriebswirtschaftlichen Folgen führen. Wir zeigen, was man dagegen tun kann.
Guntram Geiger, Geschäftsführender Gesellschafter
Geiger Maximizing Net-Solutions GmbH |
| 12.40 - 13.40 |
Business Lunch |
13.40 - 14.20
|
Data Center - Konzeption und Umsetzung von Schutzzielen
- Next Generation Backup
- Virtualisierung als Werkzeug für Disaster Recovery und Business Continuity
- Storage Securtiy - Wirksamer Schutz sensibler Daten
- Case Study - Finanzdienstleister
Der Vortrag beschreibt die heutige technische Ausgangssituation für Unternehmen und die regulatorischen Rahmenbedingungen für den Schutz von Informationen. Dabei wird sowohl die Infrastruktur als auch die Information an sich betrachtet. Der Beitrag behandelt die neuen Möglichkeiten für den Aufbau einer schnellen und sicheren Backup/Restore Architektur und die Optimierungsmöglichkeiten in diesem Bereich, die sich mit der Einführung eines elektronischen Archivs ergeben. Die Umsetzung von Hochverfügbarkeitszielen und eines wirksamen Disaster Recovery werden Anhand von Virtualisierungslösungen für Server und Storage dargestellt. Wirksame Schutzmechanismen für den Storagebereich , wie die Authentifikation von Zugriffen, Verschlüsselung von sensiblen Daten und die Auditfunktion runden den Vortrag ab. Abschließend wird zusammenfassend ein Anwendungsbeispiel eines Finanzdienstleisters dargestellt.
D. Fiegert, Manager Business Development Storage & Networking Solutions
Damovo Deutschland GmbH & Co. KG
|
| 14.20 - 15.00 |
Physikalische IT-Sicherheit und Compliance - Notwendigkeiten für ein modernes Unternehmen
- Rechtliche Rahmenbedingungen für Geschäftsführer und Vorstände
- Moderne Sicherheitstechnologien lösen endlich überholte Normen ab
- Ganzheitliche Lösungen für die unternehmenskritische IT-Sicherheit, auch im Mittelstand
- Konkrete Beispiele für Best-Practice-Maßnahmen in der physikalischen IT-Sicherheit
Ralph Wölpert,
Leiter Marketing & Business Development
Lampertz GmbH & Co. KG
|
| 15.00 - 15.30 |
Kommunikationspause |
| 15.30 - 16.10 |
Sicherheit durch Automatisierung im Provisioning
- Best-Practice in der Rollen- und Prozessmodellierung im Provisioning
- Besserer Support der Compliance Anforderungen
- Integriertes Datenschutzkonzept auf der Basis einer Security Classification im IPM
- Ansätze für ein Internes Kontrollsystem
Die Ordnung und Nachvollziehbarkeit in den IT-Administrationsprozessen ermöglicht deutliche Kosteneinsparungen und erhöht gleichzeitig das Security- Niveau.
Jeder automatisch ablaufende Prozess verringert die Risiken bewusster oder unbewusster Fehler in der Verwaltung der Rechte der Nutzer von IT-Ressourcen. Die Automatisierung dieser Prozesse erfordert ein eindeutiges Regelwerk der Bedingungen ihrer Steuerung und eindeutigen Festlegung aller Akteure und Aktionen in den sog. IPM-Prozessen (Identity & Provisioning Management)
Security-Maßnahmen mit nachweisbarem Prozessnutzen haben einen hohen Stellenwert in der Investitionsplanung. Die Einführung einer zentralen Nutzverwaltung mit Berechtigungsvergabe erfordert in fast allen Fällen eine Neuordnung diverser Prozessabläufe, die dann genauer strukturiert und gestrafft werden. Die Basis einer IPM-Prozessautomatisierung stellt ein praktikables Rollenmodell dar.
Diese Prozesse unterstützen auch die ständig steigenden Compliance-Anforderungen und bieten der Internen Revision deutlich bessere Prüfansätze. Von besonderer Bedeutung in einer IPM-Lösung ist ein Internes Kontrollsystem (IKS), das aktiv und permanent das System der Berechtigungsverwaltung auf auffällige Vorgänge überwacht und es nicht einer nachträglichen Analyse überlässt, diese aufzudecken.
Im Vortrag werden deshalb insbesondere die Anforderungen an ein Rollenmodell, die IPM-Prozess-Gruppen und einige wichtige Prozesse sowie ein Ansatz für ein IKS beschrieben. Die umfassende Anwendung eine Security Classification unterstützt einerseits den Datenschutz und ermöglicht eine Fokussierung der Überwachungsfunktionen.
Prof. Dr. Dr. Gerd Rossa, iSM-Institut für System-Management GmbH
|
| 16.10 - 16.50 |
Vulnerability Scoring mit CVSS 2.0
Der transparenten und nachvollziehbaren Bewertung von Schwachstellen kommt nicht nur durch Compliance-Anforderungen eine ständig wachsende Bedeutung zu. Auch für effizientes Patchmanagement ist die korrekte Bewertung von Schwachstellen ausschlaggebend. Zum einen hat CVSS mit der kuerzlich erschienen Version 2.0 qualitativ einen grossen Schritt in die richtige Richtung getan, zum Anderen kristallisiert sich CVSS als kommender, herstellerunabhaengiger Standard zur Bewertung von Schwachstellen heraus.
Ziel des Vortrags ist neben der Vorstellung und Diskussion von CVSS 2.0 eine Erörterung in welchen Szenarien und unter welchen Randbedingungen der Einsatz von CVSS sinnvoll möglich ist.
Dror-John Röcher, ERNW Enno Rey Netzwerke GmbH |
| |
Moderation: Ulrich Parthier, Publisher IT SECURITY |
| gegen 16.50 |
Ende der Konferenz |
Änderungen an der Agenda sind den Veranstaltern vorbehalten. |
