IT-Sicherheitsindustrie stellt sich Herausforderungen der digitalen Endzeitstimmung

Wien (pts011/12.11.2018/09:15) – Die zunehmende Verbreitung der Vernetzung, das Wachstum des Internets und die zunehmende Anzahl von miniaturisierten Computern im Alltag haben nicht nur den Komfort sondern auch die Gefahren erhöht. Neben dem Internet der Dinge (Internet of Things) haben auch Virtualisierungstechnologien die Anzahl der Computer nicht verringert, sondern massiv gesteigert. Konsolidierung ist veraltet. Eine natürliche Konsequenz der Datenexplosion sind Sicherheitslücken, die alleine aufgrund der numerischen Masse von Netzknoten, Rechnern und Speicher vermehrt auftreten. Regulationen alleine werden dieses Problem nicht in den Griff bekommen. Die DeepSec Konferenz setzt in diesem Jahr daher auf fachliche Kompetenz statt auf leere Gebote.

Eröffnung der Endzeit

Der unabhängige IT-Spezialist Peter Zinn wird mit seinem Vortrag „We’re all gonna die“ die DeepSec Konferenz eröffnen. Er wird in seiner Präsentation die Utopien thematisieren, die die digitale Informationsverarbeitung und das Internet in ihren jungen Jahren versprochen haben. Schon in der Science-Fiction-Literatur kamen Szenarien vor, die uns allen das Leben erleichtern und viel Arbeit abnehmen sollten, um sich dadurch auf andere Tätigkeiten konzentrieren zu können. Beim heutigen Studium der Nachrichten kann man allerdings sehr viel über die dunklen Seiten der Technologien lesen. Datenlecks, Manipulation von Information, Verzicht auf Fakten, Gedankenströmungen statt einem Strom von Gedanken und unüberlegte Reflexreaktionen bestimmen die digitale Welt. Peter Zinn wird Utopie mit Dystopie vergleichen und Schlussfolgerungen für unsere Zukunft ziehen.

Man darf dabei nicht vergessen, dass die Sicherheitsforschung eigentlich sehr große Sprünge gemacht und den Stand der Technik stark verbessert hat. Verschlüsselte Kommunikation ist mittlerweile wesentlich verbreiteter als noch vor 10 oder 20 Jahren, auch aufgrund der Sensibilisierung vor der zunehmenden Überwachung und deren Missbrauch. Softwareentwicklerinnen haben aktuell mehr Wissen um sicher Programmieren zu können. Das Testen von IT-Systemen auf Sicherheitsschwachstellen ist zur Standardprozedur geworden. All diese Errungenschaften werden gerne im Anblick der Datenlecks und Datenpannen in den Schlagzeilen vergessen.

Kombination mit ROOTS 2018 und DeepINTEL

Auch in diesem Jahr ist die Kombination der DeepSec Konferenz mit wissenschaftlicher Forschung und strategischer Überlegung zu Informationssicherheit Teil des Programms. Das Reversing and Offensive-Oriented Trends Symposium 2018 (ROOTS) findet nun zum zweiten Mal parallel zur DeepSec am selben Veranstaltungsort statt. Es werden wissenschaftliche Publikationen zum Thema offensiver Sicherheit in Vorträgen vorgestellt. Die dazugehörigen Forschungsartikel werden im Rahmen eines Bandes über die Organisation Association for Computing Machinery (ACM) publiziert. Im ROOTS-Programm enthalten sind eine Analyse der Swift Programmiersprache, der Einfluss von Benutzeroberflächen auf die Sicherheit, Werkzeuge zur Identifikation von ausführbarem Code und Hilfsmittel zur Analyse von Applikationen auf der GNU/Linux Plattform.

Ohne Strategie stolpert man blind in die Zukunft. Aus diesem Grunde findet erstmals einen Tag vor der DeepSec die DeepINTEL Security Intelligence Konferenz statt. Sie beschäftigt sich mit strategischen Fragen im Umgang mit Bedrohungen, Schutz von kritischer Infrastruktur, Aufklärung der gegnerischen Fähigkeiten und Methoden zur Ausrichtung einer modernen Verteidigung. Im Fokus stehen aktuell Human Intelligence (HUMINT), Drohnenabwehr, strategisches Risikomanagement, Einblicke in Dark Markets und strategische Aufklärung von Bedrohungen. Weiterhin werden Auswirkungen von Angriffen auf Kommunikation am Beispiel staatlicher Verfolgung von Journalisten in bestimmten Ländern besprochen. Die DeepINTEL ist eine nichtöffentliche Konferenz. Alle Inhalte werden nur den Anwesenden zur Verfügung gestellt und nicht publiziert. Das Programm ist auf Anfrage (per E-Mail oder Anruf) verfügbar.

Sicherheit durch ständiges Training

Der praktische Teil darf natürlich nicht fehlen. Wie jedes Jahr finden in den zwei Tagen vor der DeepSec Konferenz hochqualitative Trainings von Experten statt. Christian Wojnar bietet Expertise bei der Analyse von Schadsoftware im Workshop „Malware Analysis Intro“ an. Das ist nicht nur für Entwickler von Antivirussoftware interessant. Schadsoftware spielt bei allen Sicherheitsvorfällen eine Rolle. Das Wissen um deren Eigenschaften ist daher Grundkompetenz für Systemadministration und Softwareentwicklung.

Dawid Czagan, einer der Top 10-Bug Hunter weltweit, lehrt wie man Fehler in modernen Applikationen findet. Ein seinem Training geht es um die vielen Schichten heutiger Web-Applikationen angefangen vom Web Browser, über die Applikation auf dem Server selbst, bis hin zu den Datenbanksystemen im Hintergrund. Aufgrund der Verbreitung von Webtechnologie in allen Bereichen gilt auch dieses Wissen mittlerweile zur Basisausbildung aller Entwicklerinnen und IT Mitarbeitern. Dawids Training trägt den Titel „Mastering Web Attacks with Full-Stack Exploitation“ und hat noch freie Plätze.

Enterprise-Resource-Planning (ERP) Systeme sind in allen Unternehmen vertreten. Oft befinden sie sich im internen Netzwerk und stellen das Herz jeder Unternehmung dar. Die SAP-Plattform ist der prominenteste Vertreter von EPR-Systemen. Pablo Artuso führt in seinem Workshop vor wie man die Sicherheit von SAP-Systemen evaluiert, wie man sie angreift und wie man sie verteidigen kann. Die Teilnehmer werden direkt an SAP-Installationen Übungen durchführen, also komplett mit praktischen Beispielen an echten Systemen lernen. Die Wichtigkeit der in diesem Training vermittelten Inhalte lassen sich kaum stärker betonen. Wenn Eindringlinge an ERP-Systeme kommen, dann geht es um sehr viel, unter Umständen die Existenz des Unternehmens. Die Schulung ist eine gute Methode Schaden zu verhindern oder zumindest zu verringern, der sich nicht mehr beheben lässt.

Mit Faktencheck in die Zukunft

Alle, die mit Digitalisierung eine Zukunft ohne Existenzbedrohung erreichen möchten, werden sich mit dem Themenkomplex Informationssicherheit auseinandersetzen müssen. Es gibt keine Abkürzungen. Hektisches Auslagern von Daten und Diensten ist letztlich nur ein anderes Wort für Kompetenzkonkurs. Das kann sich niemand mehr leisten. Moderne IT-Infrastruktur und eigene Applikationen können sehr wohl auf neuen Technologien aufbauen. Es muss nur sichergestellt sein, dass die strategische und taktische IT-Security Bestandteil aller Überlegungen ist. Für diese Entscheidungsprozesse müssen die eigenen Abläufe, die eingesetzten Applikationen, alle Aspekte der Datenhaltung und Sicherheitsprüfungen bekannt und geplant sein. Wer da den Anschluss verliert, wird früher oder später ein Sicherheitsproblem haben.

Der Austausch mit Expertinnen und Sicherheitsforschern ist der erste Schritt. Wir laden Sie daher herzlich ein unsere Veranstaltungen zu besuchen und sich für die Zukunft zu rüsten, die bereits morgen beginnt.

Programme und Buchung

Die DeepSec-Konferenztage sind am 29. und 30. November. Parallel finden die ROOTS 2018-Vorträge in einem separaten Saal ebenso am 29. und 30. November statt. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 27. und 28. November statt.

Die DeepINTEL Konferenz findet am 28. November statt. Das Programm senden wir auf Anfragen an deepsec@deepsec.net gerne zu. Tickets sind auf der Webseite https://deepintel.net erhältlich.

Der Veranstaltungsort für DeepSec, DeepINTEL und ROOTS 2018 ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien.

Sie finden das aktuelle Programm unter dem Link: https://deepsec.net/schedule.html

Tickets für die DeepSec Konferenz sowie ROOTS 2018 und die DeepSec-Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen.

(Ende)

Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43 676 5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net