Frisch notiert!

Die neusten Artikel aus unserem Blog.

Nachbericht „KISK“ IT Security Konferenz 2017 in Köln

Zuletzt aktualisiert am 24/11/2017 von Gino Cremer
2 Kommentare
Allgemein
/ Allgemein / 2

29 Speaker, 19 Talks, 3 Workshops und über 100 Gäste. Am 23. November 2017 organisierte die GFU Cyrus AG - für die ich aktuell als Dozent für WordPress-Schulungen arbeite - die "Internet Security Konferenz 2017". Dabei wurden in zahlreichen Vorträgen viele Denkanstöße, Praxis-Tipps und konkrete Erfahrungswerte aus dem Berufs-Alltag der Referenten zum Besten gegeben.

Locker moderiert wurde der Konferenz-Tag von Michael Reichart, ebenfalls Dozent zahlreicher Schulungen an der GFU Cyrus AG. Nach ein paar Einleitungsworten ging Michael Reichart aber auch direkt zum ersten Vortrag über.

"Was läuft gut und was läuft falsch in der IT-Security - Success Stories und Holzwege"

Der erste Referent Ramon Mörl gab einen sehr interessanten – fast philosophischen – Einblick in die Welt der IT-Sicherheit. Gespickt mit zahlreichen Beispielen und Erfahrungswerten aus der Praxis, beleuchtete der Referent das umfassende Feld der IT-Security (Stichwort „Bad USB“). Thematisiert – und das fand ich besonders interessant – wurde die „Vertrauenskette“, der man als „Normalnutzer“ ausgesetzt ist. Auf Deutsch: Wenn ich mein Handy benutze, muss ich mich darauf verlassen können, dass alle Komponenten sicher sind. Aber sind sie das wirklich? Woher weiß ich das?

"Sichere und komfortable Collaboration per Cloud - Ein Praxisbericht"

Der zweite Vortrag packte das Thema „Cloud“ an. Was es mit „Cloud“ konkret auf sich hat musste zurecht nicht weiter erläutert werden. Referent war einerseits Dr. Ralf Rieken, Geschäftsführer des deutschen auf Security und Datenschutz spezialisierten Cloud-Anbieters „IDGARD“. Und andererseits der Security-Verantwortliche der AXA-Bank Horst Braun, Kunde und Nutzer des Cloud-Dienstes „IDGARD“.

Interessant war die sehr praxisnahe Erläuterung des AXA-Mitarbeiters wie der Cloud-Dienst der Versicherung ganz konkret helfen konnte, als im Rahmen einer schweren Explosion in Asien mehrere hundert Autos beschädigt wurden und die Gutachter vor Ort die Dokumente so sicher und schnell wie möglich zur AXA nach Europa übertragen mussten. Während früher mit ungesicherten USB-Sticks und unsicheren Hotel-WLANs die Daten übertragen werden mussten, kann nun direkt mit dem Handy ein Foto geschossen und verschlüsselt verschickt werden.

Die Vorstellung des Cloud-Unternehmens war interessant, erinnerte mich phasenweise aber auch an eine Dauerwerbesendung. An den Zuschauerplätzen lagen – zugegebenermaßen sehr interessante – Werbematerialien des Cloud-Dienstes aus, weswegen man annehmen kann, dass es vorrangig um Promotion ging. Nichtsdestotrotz war das Thema interessant und gut vorgetragen.

"Awareness you can touch - Spielend lernen"

Im nächsten Vortrag wurde es so richtig praxisnah: Die Referenten demonstrierten anhand verschiedener Beispiele wie man „Awareness“ mittels „Gamification“ deutlich steigern kann. Auf Deutsch: Wie kann ich Schulungen und Fortbildungen mit spielerischen Elementen aufpeppen, so dass am Ende auf weniger Zeit mehr hängen bleibt. Der „Homo Ludens“, also der spielende Mensch, steht im Mittelpunkt und soll über Rollen- und Planspiele, Lernstation-Events, Quests, Ranglisten, etc. angestachelt werden in Punkto „Awareness“ zu zu legen. Bravouröse Moderation, konkrete und gut konzipierte Praxisbeispiele zeugten von viel Erfahrung und Know-How auf Seiten der Referenten.

"Test von TLS/SSL-Serverkonfiguration mit O-Saft"

Festhalten und Anschnallen: Jetzt wird’s nerdy! Referent Achim Hoffmann präsentierte als Autor der Opensource-Software „O-Saft“ sein geballtes Wissen in Punkto SSL/TLS-Sicherheit. Dabei schaffte er es die hochkomplexe Thematik greifbar und praxisnah vorzustellen und anhand seines in Perl programmierten Tools zu demonstrieren, auf welche Schwachstellen und Stärken man wo zu achten hat und wie man diese messen kann. Besonders interessant: Das Tool geht nicht „intrusiv“ vor, sprich es klinkt sich nicht ein, sondern scannt nur Informationen, die so oder so abrufbar wären.

Die Stärke des Tools: Es vereint die Stärken der anderen Tools aus, allerdings ohne deren Schwächen. Es gibt auch andere SSL/TLS-Scanner auf dem Markt. O-Saft ist so gesehen die Quintessenz und vereint das Beste aus allen Welten.

Sehr interessant war für mich zudem, dass diese Thematik bei Pixelbar praxisrelevant ist: Auch wir setzen sowohl Punkto Mailserver als auch Punkto Webserver auf SSL-Zertifikate – natürlich wird ein solches Zertifikat durch eine externe Behörde ausgestellt. Wie sicher es ist…ist aber unser Job. Daher sind solche Vorträge Gold wert.

Zu guter Letzt wurde anhand von Suchmaschinen-Platzhirsch Google illustriert, welche Gefahren durch Wildcard-Zertifikate lauern. Eine Gefahr, die mir nicht so deutlich bewusst war.

„Cybercrime“ - ein Podcast von hr-iNFO. Exklusive Einblicke in die Welt der Internetkriminalität

Ein ganz besonderes Konferenz-Schmankerl kam von den beiden Journalisten Henning Steiner und Oliver Günther. Statt es in eigene Worte zu fassen worum es in den 9 Podcast-Folgen genau geht, hier die auf den Punkt gebrachte Beschreibung auf der Konferenz-Website:

„Cybercrime“ ist eine Podcast-Doku-Serie von hr-iNFO, dem Informationsradio des Hessischen Rundfunks. Der Podcast handelt von echten Fälle und realen Tätern, Opfern und Ermittlern. Ein DAX-Konzern kämpft gegen digitale Spione. Ein BKA-Cybercrime-Ermittler jagt im Netz einen Kinderschänder. Eine kriminelle Hackerin erzählt.

„Cybercrime“, das sind drei Storys, eine Serie: http://cybercrime.hr.de, iTunes: „cybercrime“.

Bereits das reine Audio-Intro ohne Personen auf der Bühne ließ die Erwartungen steigen. Anschaulich und – wie es sich für geübte Moderatoren gehört – rhetorisch einwandfrei wurde dem Publikum ein „Making Of“ des Podcasts geboten. Von der schwierigen, steinigen Recherche bis hin zu den persönlichen Einzelschicksalen der Beteiligten. Alles wurde locker-flockig und spannend rüber gebracht. Ich freue mich darauf, den Podcast selber zu hören. Eine spannende Geschichte und für mich ein Highlight der Konferenz.

Digitalisierung – Sicherheit neu denken!

Referent Bernd Fuhlert und sein Kollege zeigten anschaulich wie in Firmen in wenigen Minuten problemlos anhand von Bluetooth-Mäusen (!) ganze Rechner gekapert werden können. Besonders beeindruckend war die Präsentation wie mit dem populären Messenger-Dienst WhatsApp Spionage betrieben und ganze Bewegungsprofile erstellt werden können. Ja sogar wer mit wem kommuniziert kann herausgefunden werden. Zwar ist bedingt durch die „Ende zu Ende Verschlüsselung“ von Whatsapp der eigentliche Inhalt nicht ersichtlich, aber ob derjenige grade zu Hause oder auf der Arbeit ist, lässt sich anhand von Statusmeldungen schon herausfinden. Erschreckend und beeindruckend zugleich.

Interessant fand ich ebenfalls das Experiment der Referenten mit einem Raspberry Pi und Akkupack ausgestattet Firmen zu betreten und binnen weniger Minuten das gesamte Netzwerk übernehmen zu können. Dabei reicht es schon mit Bluetooth-Tastaturen und kabellosen Mäusen das schwächste Glied in der Kette auszumachen und zu infizieren.

"Two heads are better than one oder warum auch bei E-Mails vier Augen mehr sehen als zwei!"

Sehr unterhaltsam präsentierte Henning Fries seinen Speech. Er stellte ein Software-Produkt seines Unternehmens vor, welches das altbekannte „4- oder 6-Augen-Prinzip“ auf E-Mails überträgt. Konkret soll verhindert werden, dass beispielsweise ein ultrasensibler Geschäftsbericht mit den Strategiezielen der nächsten zehn Jahre nach außen gerät. Ob versehentlich oder willkürlich. Die Software scannt einerseits automatisch nach zahlreichen verschiedenen Parametern, andererseits wird die Mail aber auch zur Validierung anderen vorgelegt. Jeder „Reject“ ist entscheidend und hat zur Folge, dass die Mail nicht raus geht und der Absender eine Benachrichtigung erhält, warum die Nachricht nicht verschickt werden konnte. Im Falle des etwas lockereren 4-Augen-Prinzips ist erstmal der Absender selber Validator. Auf Deutsch: Die Mail wird also nur noch einem weiteren Mitarbeiter vorgelegt. Im Falle des strengeren 6-Augen-Prinzips ist der Absender kein Validator. Zwei weitere Mitarbeiter müssen beide ihr OK zum Versand geben. Anderenfalls wird die Mail zurückgewiesen.

Ein sehr interessanter Ansatz, der allerdings meiner Meinung nach viel Aufklärung im Unternehmen erfordert. Erstens gilt es zu klären, ob nicht am Ende stattdessen über private Mail-Adressen verschickt wird („muss halt alles schnell gehen“) und zweitens ob das Prinzip nicht einen internen Overkill verursacht. Ist es bei gefühlt tausend Mails wirklich für jeden Mitarbeiter notwendig so vorzugehen? Für jede Mail mit „Ok“ oder „Ich ruf dich an!“? Wie dem auch sei, für gewisse Firmenbereiche wie der juristischen Abteilung oder der Presseabteilung kann es durchaus sinnvoll sein, Communiqués nach Außen gegenlesen und ggf. validieren zu lassen. Für „normale“ Mitarbeiter scheint mir das ganze etwas zu heftig zu sein (es sei denn man arbeitet tatsächlich in einem hochsensiblen Bereich).

"Grenzen klassischer Sicherheitsmaßnahmen – Warum Antivirus & Co heute nicht mehr reichen" Referent: Philipp Wiesauer

Der letzte Talk folgt von Philippe Ramsauer. Er analysiert IT-Sicherheitsinfrastrukturen von Firmen und führt so genannte Pen-Tests (Penetrations-Tests) durch. Diese Sicherheits-Audits offenbaren teils flagrante Schwächen der klassischen Antiviren-Softwares. Auch wenn diese von „Laien“ als „Best-Practice-Schutz“ betrachtet werden. Dabei konnte Philippe Ramsauer schildern, wie ein Großteil der Antiviren-Scanner selbst mit einfachsten und banalsten 08/15-Kniffen ausgetrickst werden konnten.  Statt aber nur simples Antiviren-Software-Bashing zu betreiben, lieferte Ramsauer konkrete Lösungsansätze wie das Problem professionell und nachhaltig gelöst werden könnte. Dabei wurde auch das Prinzip der „künstlichen Intelligenz“ erläutert, die eine sehr hohe Erfolgsquote bei der Erkennung klassischer Muster vorzuweisen hat. Bei aller Härte und Komplexität des Gesamt-Themas ließ Ramsauer es nicht vermissen, anhand bildlicher Vergleiche („Grippe“) zu erklären, wie Antiviren-Hersteller bei der Mustererkennung von Schadsoftware generell vorgehen und worin die Gefahren bzw. Nachteile bei dieser Vorgehensweise liegen.

Fazit: Tolle Vorträge und viele neue Erkenntnisse

Neben dem erstklassigen Catering-Angebot – Magen und Kehle dürfen ja schließlich an einem solchen langen Tag nicht zu kurz kommen – bot sich dem interessierten Zuhörer eine ganze Fülle an neuen Erkenntnissen und Informationen. Das teils beeindruckende Know-How der Speaker – gepaart mit gekonnter Rhetorik – sorgte für eine sehr hohe Vortrags-Qualität, ohne dass man unbedingt ein Hardcore-Nerd sein musste, um folgen zu können. Beide Daumen hoch und ein dickes Dankeschön an die Organisatoren.

Gino Cremer

Ich bin Geschäftsführer der auf Weblösungen spezialisierten Agentur Pixelbar aus dem belgischen Eupen. Ich habe langjährige Erfahrung mit CMS-basierten Kundenprojekten, vornehmlich auf WordPress-Basis und bin ein Webdesigner der ersten Stunde. Daneben arbeite ich auch als Dozent und Berater am WIFI Wien im Bereich Social Media und Webdesign.

Weitere Beiträge von gino anzeigen

2 Kommentare

  1. Gut geschrieben! Vielen Dank für den sehr schönen Bericht über die KISK 2017!
    Ich kann mich nur anschließen: erstklassige Speaker und eine klug gewählte Themenzusammenstellung haben den Tag informativ und kurzweilig gestaltet! Ich bin schon auf die KISK 2018 gespannt.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert