| Referenten | ||
 |
CEO, phion AG gemeinsam mit Horst Hamberger, Antenne Bayern, und und Michael Mack, Security Consultant Schutz der Unternehmenskommunikation
Angesichts zahlreicher Sicherheitsbedrohungen sowie der Notwendigkeit die Verfügbarkeit kritischer Businessapplikationen zu jedem Zeitpunkt aufrecht zu erhalten, benötigen Unternehmen eine Communication Protection Architecture, die umfassenden Schutz gewährleistet. Neben der reinen Schutzfunktion muss eine IT-Sicherheits-Infrastruktur auch einen proaktiven Beitrag zur Wettbewerbsfähigkeit leisten und dabei technisch und wirtschaftlich überzeugen. Im Rahmen des Workshops erfahren die Besucher anhand fundierter Informationen, den Erfahrungen eines Anwenders sowie einer Live-Demonstration, wie sie ein Maximum an Sicherheit, Verfügbarkeit und Managebarkeit erreichen und dabei gleichzeitig ein Mehr an Sicherheit und Business realisieren können und dabei dennoch Kosten einsparen.
|
|
 |
Vorstand, noris network AG Sicher günstiger
Joachim Astel rundet neben den Kostenvorteilen den Vortrag ab durch die
Darstellung, wie unternehmensspezifische Security-Policies in Managed
Services integriert werden können und wie diese durch Sicherheits-Auditsüberprüft werden. |
|
|
works as a security consultant at thinktecture (www.thinktecture.com). His main focus is security, identity and access control in distributed applications using the Microsoft technology stack.
.NET Access Control Service: Analysis of Microsoft's Cloud Based Authorization Service Authentication and Authorization is well understood as long as you stay in your own trust domain. |
||
|
is a security researcher and software engineer at Elcomsoft, a password recovery company. He is involved in analysis of real-world security systems. Area of his research interest includes practical cryptography, high-performance and distributed computing (including that on GPUs and special hardware). GPU-Assisted Password Cracking The power of today's conventional computers is not enough for many challenging tasks. Password audit and computer forensics require much computations to be carried out. Strong encryption software such as Truecrypt, PGP and alike only amplify the problem. So does WPA standard for wireless communication, which can become a headache to audit at 100 passwords/sec.
|
||
Rodrigo Rubira Branco (BSDaemon), Security Expert at Check Point Software Technologies and a Vulnerability Research Senior Consultant at the Vulnerability Research Lab (VRL) of COSEINC Advanced Payload Strategies: "What is new, what works and what is hoax?" This talk focuses on the shellcode perspective and it's evolution. From the simplest {shell}code to the polymorphism to bypass filters and I{D|P}S (which has lots of new ideas, like application-specific decoders, decoders based on architecture-instructions, and many others), passing through syscall proxying and injection, this talk will explain how it works and how effective they are against the new evolving technologies like network code emulation, with live demonstrations. There is long time since the first paper was released about shellcoding. Most of modern text just tries to explain the assembly structure and many new ideas have just been released as code, never been detailed or explained. The talk will try to fix this gap, also showing some new ideas and considering different architectures.
|
||
| Sergey Bratus
is a Research Assistant Professor the Computer Science Dept. at Dartmouth College. His research interests include designing new operating system and hardware-based features to support more expressive and developer-friendly debugging, secure programming and reverse engineering; Linux kernel security (kernel exploits, LKM rootkits, and hardening patches); data organization and other AI techniques for better log and traffic analysis; and all kinds of wired and wireless network hacking. Before coming to Dartmouth, he worked on statistical learning methods for natural text processing and information extraction at BBN Technologies. He has a Ph.D. in Mathematics from Northeastern University.
Embedded Systems - "Invisible" Devious Devices? "Embedded systems" used to imply highly specialized hardware, custom operating systems, and a close-to-assembler programming style to wring out as much performance as possible out of platforms that had no spare computing power. Thus embedded systems were generally trusted to harbor no malicious surprises as long as they performed their intended tasks. However, the embedded world has changed, and none of these assumptions holds true anymore. These days, expect your embedded system such as a printer or a set-top box to be based on a commodity OS with a stock kernel, which supports all kinds of unexpected functionality such as packet routing, sniffing, and forging. The proverbial "networked toasters" could just as easily turn into man-in-the-middle bots and covert gateways into your networks, while never failing in their direct duties, and with all of their warranty seals intact. I will talk about subverting commodity stock-kernel embedded systems, and ways to prevent it.
|
||
Raoul "Nobody" Chiesa (OPST, OPSA), Founder & CTO, Mediaservice.net - Italy Operations Intelligence & Corporate Security: the dark links Due to the nature of the talk no details will be made public. Still the author would like to underline that all the data and the details contained in this talk are public, while the ideas and the analysis that will be shown, came from a personal point of view. |
||
 |
Information Security Technical Expert, mobilkom austria AG Mobile Security aus Sicht eines Information Security Managers (3)
Die IT-Sicherheit ist aufgrund der rasanten Technologieentwicklung kaum mehr in Griff zu bekommen. Virenvorfälle wie der Conficker/Downad-Ausbruch zeigen, dass es nicht immer möglich ist, die eigene IT-Infrastruktur sicher zu halten. Mobilität sowie schnelle Datenübertragung sind Errungenschaften unserer Zeit, aber gleichzeitig bedeuten diese auch mehr Risiken. Der Vortrag beabsichtigt, Informationssicherheitsprozesse darzustellen. |
|
|
The Truth about Web Application Firewalls: Web Application Firewalls (WAFs) are quickly taking their place within the network in order to protect web applications against common security holes such as Cross Site Scripting and SQL injection. They are known by other names such as 'Deep Packet Inspection Firewalls' because they look at every request and response within the TLS, HTTP, SOAP, XML-RPC, Web Service layers. Web Application Firewalls can be either software, or hardware appliance based and are typically installed in front of a webserver in an effort to try and shield it from incoming attacks. Today WAF systems are considered the next generation product to protect websites against web hacking attacks. During this presentation we will show in practice how the big names of Web Application Firewalls can be identified, detected and we will introduce new attacks to evade specific products. Additionally, we will show how Web Application Firewalls can be vulnerable to the same vulnerabilities that they try to protect Web Applications from. Bonus: we will be releasing a new tool and a new exploit.
|
||
 |
Secure Content Management, Integralis Deutschland GmbH Data Loss Prevention
Der Verlust vertraulicher Daten stellt ein grosses Risiko für jedes Unternehmen dar. Vertrauliche Daten können an diebstahlgefährdete Orte wie USB-Sticks oder Latops kopiert oder per Email an unerwünschte Empfänger gesendet werden. Das Erkennen und Verhindern derartiger Vorkommnisse ist die Domäne einer neuen Art von Lösungen, die sich mit dem Namen DLP "Data Loss Prevention" schmücken. Dieses Etikett findet sich auf einer breiten Palette von Produkten wie Festplattenverschlüsselungen, Lösungen zur Wechselmedienkontrolle, Email- und Web-Gateways, Endpoint-Security- und dedizierten DLP-Lösungen. Die Präsentation gibt einen Überblick über die zugrundeliegenden Technologien, zeigt auf was funktioniert und was nicht und hilft einzuordnen, welche Funktionalität von welchem Lösungstyp erwartet werden kann.
|
|
 |
Consultant, Tele-Consulting GmbH
Live-Szenario:
Cross-Site-Scripting (XSS) und anderer Ärger Trotz vieler Artikel, Newsmeldungen und täglich neu auftretender und bekanntwerdenden Schwachstellen sind Cross-Site-Scripting und andere auf mangelnde Eingabeverarbeitung zurückzuführende Probleme in Webanwendungen weiterhin verbreitet. Der Vortrag zeigt anhand aktueller Beispiele die Gefahren auf und gibt Hinweise zu Prüfungsmöglichkeiten und Empfehlungen zur Vermeidung. zum Vortrag, 22.4.09, 13:30-15.00, Track B
Gefühlte Sicherheit
Häufig werden VLANs als Sicherheitselemente in lokalen Netzen eingesetzt. |
|
 |
Antenne Bayern gemeinsam mit Wieland Alge, CEO, phion AG, und Michael Mack, Security Consultant |
|
|
together with Sandro Gauci
|
||
 |
Steganographie und IT-Sicherheit Unter Steganographie versteht man das Verstecken von geheimen Informationen in scheinbar harmlosen Inhalten. Moderne Formen der Steganographie, etwa durch Manipulation der Header-Informationen in Netzwerkprotokollen, können für die IT-Sicherheit in Unternehmen bedrohlich sein, da sie das unbemerkte Ausschleusen von vertraulichen Informationen aus dem Unternehmensnetz über die Firewall hinweg möglich machen. In diesem Vortrag werden steganographische Techniken vorgestellt, die von ihnen ausgehende Bedrohung für die IT-Sicherheit in Unternehmen demonstriert und Abwehrmaßnahmen aufgezeigt. |
|
|
is an experienced UK based security consultant, with a specialism in the penetration testing of web applications and the testing of compiled code bases and DB environments to destruction. As well as the day job, Michael has been published in a range of journals and magazines, including heise, Network Security, Inform IT and Security Focus, and is currently preparing his first book length technical manuscript. To date, Michael has worked for NGS Software, CSC (Computer Sciences Corporation), and a host of freelance clients throughout the globe. When not breaking things, Michael enjoys loud music, bad movies, weird books and writing about himself in the third person.
Rootkits are Awesome: Insider Threat for Fun and Profit Addressing the Insider Threat is now rightly recognised as playing a crucial element in improving the security posture of organisations and preventing all kinds of embarrassment. Recent years have seen a growth in all manner of vendors promising panaceas to address ordinary user activities, but what exactly are the solutions offered? In a lot of instances, legitimate rootkits. This talk examines the current state of the insider threat marketplace, the technical solutions to the issues presented, and an actual analysis of user activities in RL and how they may well negate the the promises of vendors and the expectations of security minded organisations. |
||
 |
Geschäftsführer, intersoft consulting services GmbH Skalierbare IT-Sicherheitschecks (17)
Egal ob Anwender beim Aufbau oder der Gestaltung Ihres IT-Sicherheitsprozesses externe Beratungsleistung beanspruchen möchten oder ausschließlich mit eigenen Mitarbeitern Ihr Sicherheitsmanagement aufbauen – eine Überprüfung des erreichten Grades an IT-Sicherheit durch eine unabhängige dritte Instanz ist in jedem Fall sinnvoll. IT-Sicherheitschecks sollten nicht nur nach international anerkannten Kriterienwerken zum Informationssicherheits-Management, wie ISO 27001 und IT-Grundschutz ausgerichtet sein, sie sollten auch skalierbar sein.
|
|
 |
Security Consultant gemeinsam mit Wieland Alge, CEO, phion AG, und Horst Hamberger, Antenne Bayern |
|
|
Security Researcher All Your Packets Are Belong to Us - Attacking Backbone Technologies The year 2008 has seen some severe attacks on infrastructure protocols (SNMP, DNS, BGP). We will continue down that road and discuss potential and real vulnerabilities in backbone technologies used in today's carrier space (e.g. MPLS, Carrier Ethernet, QinQ and the like). The talk includes a number of demos (like cracking BGP MD5 keys, redirecting MPLS traffic on a site level and some Carrier Ethernet stuff) all of which will be performed with a new tool kit made available at the con. It's about making the theoretical practical, once more! |
||
 |
ARC Seibersdorf research GesmbH
Probleme moderner Verschlüsselungstechnologien
Die Sicherheit heute standardmäßig eingesetzter Verfahren beruht auf der Komplexität mathematischer Verfahren. Dadurch ist ein enormer Aufwand an Rechenleistung erforderlich, um die heutige Verschlüsselung zu knacken. Aber eine Entschlüsselung ist grundsätzlich nicht unmöglich, die Kosten, ausgedrückt in Rechenleistung, sind nur extrem hoch. Darin liegen zwei grundlegende Probleme moderner Verschlüsselungstechnologie. Kommunikation, die nach heutigen Maßstäben als sicher gilt, kann durch die Weiterentwicklung von Computern und Rechnernetzen in wenigen Jahren unsicher werden. Verschlüsselte Daten, die heute abgefangen werden, können gespeichert und in der Zukunft entschlüsselt werden. Das mag bei gewissen Daten kein Problem darstellen, da sie in einigen Jahren für den Abhörer keinen Wert mehr besitzen. Bei bestimmten Daten, wie zum Beispiel bei Finanzdaten oder personenbezogenen Daten trifft das jedoch nicht zu. Hier ist eine Langzeitsicherheit auf jeden Fall zu gewährleisten. Das zweite Problem betrifft den Aufwand, der dadurch entsteht, dass die abhörsichere Kommunikation zu einem Wettrennen zwischen Ver- und Entschlüssler geworden ist. Die Kosten für das regelmäßige Aufrüsten der Verschlüsselungssysteme sind enorm.
|
|
 |
Consultant, RDS Consulting GmbH Trusted Security – Erweiterte Einsatzgebiete einer PKI (6)
Hinlänglich bekannt ist, dass qualifizierte Zertifikate aus einer Public Key als digitale Signatur und zur E-Mailverschüsselung verwendet werden. Nur wenigen ist bekannt, dass damit das Einsatzfeld einer PKI bei weitem nicht ausgeschöpft ist. Als Basis für die vertrauenswürdige Nutzung von Anwendungen wie Dokumentverschlüsselung, Transaktionen und Zahlungssystemen sowie eine SSL- oder XML-Kommunikation trägt eine Public Key-Infrastruktur signifikant zur Steigerung Sicherheit und Integrität im Unternehmen bei. Die Identifizierung und Authentifizierung mittels Chipkarten auf Basis einer Single Sign On-Lösung wirkt sich positiv in den Unternehmen aus: die Unternehmensperformance steigt, ebenso die Produktivität und Zufriedenheit bei den Anwendern. Der Einsatz qualifizierter Zertifikate steht erst am Anfang. Spätestens aber mit der Einführung des elektronischen Personalausweises werden die Rahmenbedingungen für ein einfaches, dabei aber hochsicheres Online-Bezahlsystem geschaffen. |
|
|
Web Security - Sicherheitsrisiken für Ihre Webanwendungen Probleme und Lösungansätze In diesem Vortrag wird auf die Vorteile von Web-Applikations Schwachstellen-Scanner eingegangen. Anhand des IBM Rational AppScan zeigen wir die technische Leistungsfähigkeit, des Handlings in der Praxis und die Reporting-Funktionen auf. Die Punkte Funktionalität, Leistung und Komfort werden auch einem Vergleich mit Open Source-Produkten unterworfen. |
||
 |
Moderation |
|
 |
Internet Bedrohungslage – Optimierung von E-Mail & Web Security
Das Internet birgt nach wie vor eine Vielzahl an Gefahren und die Situation verschlechtert sich weiter. Untersuchungen von MessageLabs ergaben, dass eine von 127 E-Mails einen Virus enthält und eine von 175 E Mails einen Phishing-Angriff darstellt. MessageLabs identifiziert täglich 5.230 neue bösartige Websites (Quelle: MessageLabs Intelligence Report November 2008). Nach wie vor lauern im Internet Gefahren, die das Surfen und den Empfang von E Mails zu einem Minenfeld werden lassen. In diesem Vortrag erhalten Sie eine Übersicht über die derzeitige Internet-Bedrohungslage im Bereich E-Mail und Web Security, über Motivatoren der Internet-Kriminellen und deren Methoden wie z.B. Botnetze, gezielte Angriffe mittels Trojanern und Social Engineering mit aktuellen Themen. Wirksame Schutzmaßnahmen werden erläutert und Lösungsansätze aufgezeigt. |
|
 |
Senior Security Consultant, TÜV Rheinland help AG gemeinsam mit Dr. Oliver Weissmann, TÜV Rheinland Help AG Enterprise Risk Management – Risikomanagement mit Sicht auf das Gesamtunternehmen
Risikomanagement mit Sicht auf das Gesamtunternehmen unterstützt die strategische Ausrichtung nachhaltig. Besondere Bedeutung in der heutigen Wirtschaft haben auch Informationssicherheitsrisiken. In Zeiten zunehmenden Wettbewerbs ist es wichtig, das Know-how des Unternehmens zu schützen und hierfür die richtigen Maßnahmen an den richtigen Stellen zu implementieren. Dies ist mit einem gut strukturierten Risikomanagement und Information Security Management zu erreichen. Die Implementierung eines lebbaren und in das Unternehmen integrierten Risikomanagements ist eine komplexe Aufgabe, die mit Kenntnis der wesentlichen Herausforderungen gut bewältigt werden kann. Die Abbildung unternehmensspezifischer Gegebenheiten ist die Kernaufgabe, die bei allen methodischen und inhaltlichen Entscheidungen im Vordergrund steht. Das Risikomanagement muss sich hierbei nicht nur auf negative Aspekte konzentrieren. Das Erkennen und frühzeitige Entgegenwirken von Risiken schafft eine Grundlage, Chancen für neue Strategien aufzuzeigen.
Der Erfolg ist vor allem von der Akzeptanz innerhalb des Unternehmens abhängig. Um dies zu erreichen, müssen für das Risikomanagement selbst die richtigen strukturellen und methodischen Entscheidungen getroffen werden. Auf diese Weise kann die Lebbarkeit des Risikomanagements erreicht und aufrecht erhalten werden. Dadurch unterstützt Risikomanagement nachhaltig die Steuerbarkeit ausgerichtet an strategischen Unternehmenszielen.
|
|
|
Keynote Stop the Madness - The Role of Security Basics in a Complex World |
||
 |
Matthias Rohr ist diplomierter Medieninformatiker (FH) und Berater für Web Application Security bei der SecureNet GmbH in München. Sein Schwerpunkt ist die Umsetzung von Best Practices für sichere Webanwendung in modernen Softwaretechnologien und -frameworks. In den vergangenen Jahren hat er daneben eine Vielzahl von Webanwendungen sowohl im Blackbox- als auch im Whitebox-Verfahren auf ihre Sicherheit hin untersucht. (Web-)Software Security Roadmap
Häufig wird Softwaresicherheit nur in Form von punktuellen
Einzellösungen á la Pentesting behandelt. Dieses Vorgehen ist allerdings
weder hinsichtlich der erzielten Sicherheit noch der Nachhaltigkeit Ein Software Assurance Maturity Model (SAMM) unterstützt Unternehmen hierbei, indem es messbare, aufeinander aufbauende und vor allem realistische Ziele definiert und dazu sinnvolle Aktivitäten in Bereichen wie Governance, Secure Coding, Testing oder Deployment beschreibt.
|
|
 |
Geschäftsführer, iSM Institut für System-Management GmbH Identity Management Einführung von Identity Management
In der aktuellen Wirtschaftssituation sollten solche IT-Projekte forciert werden, die einen merklichen Effekt in den Bereichen Sicherheit, Kostensenkung, GPO und zukunftssichere IT - Strategie bringen. Diese Wirkung kann insbesondere die unternehmensweite Einführung eines IdM-Systems haben: Kostensenkung
Einsparungen sind weiterhin durch Rationalisierung von. IdM „nebengelagerter“ Prozesse
möglich. Dazu gehören Komponenten wie interne Kostenrechnung aller genutzten IT-Ressourcen, der eindeutigen Verwaltung personenbezogener Ausstattungen (Handy, Notebook, usw…) sowie ein umfassend nutzbares SSO, das allerdings in das IdM integriert sein sollte. |
|
 |
Geschäftsführer, adMERITia GmbH Anwendung und Nutzen der Sicherheitsmetrik
Der Aufbau des Vortrages umfasst die nachstehenden thematischen Aspekte:
|
|
 |
Geschäftsführer, Optima bit GmbH Praktische Erfahrungen mit dem Secure Software Lifecycle
Ca. 80 Prozent aller bekannten Sicherheitsschwachstellen resultieren aus Softwareproblemen. Deshalb ist es eine der größten Herausforderungen, Schwachstellen in Anwendungen und Anwendungsinfrastrukturen zu minimieren, egal ob Sie Ihre Software in-house implementieren, den Prozess outsourcen oder Standardsoftware einsetzen. Bekannte Maßnahmen, wie beispielsweise Penetrationstests, Audits, Code Reviews, etc. können hier Abhilfe schaffen, müssen aber Teil eines “Secure Software Lifecycle” sein, um möglichst effektiv eingesetzt werden zu können. In diesem Vortrag lernen Sie die effektivste Strategie um einen funktionierenden “Secure Software Lifecycle” zu schaffen. Die vorgestellten Beispiele stammen aus mehrjähriger, praktischer Erfahrung in der Umsetzung des “Secure Software Lifecycles” in großen Deutschen Konzernen. Sie werden lernen Kosten und Nutzen abzuschätzen und verstehen wie die komplexen Teile des Puzzles zusammenpassen. Basierend auf konkreten Beispielen gewinnen Sie einen Überblick darüber, wie Software vor, während und nach der Entwicklung abgesichert werden kann. |
|
|
Senior IT Security Consultant, Portcullis Computer Security SQL Injections: More Fun and Profit SQL Injection vulnerability still remains a big threat for web applications. Statistics show that more than 40% of the websites are still vulnerable. This talk will demonstrate a variety of exploitation techniques including some not very popular yet very useful techniques. A number of examples will be discussed where this vulnerability goes undetected even from the most popular "commercial" scanners. The talk will have a number of demonstrations to show how by exploiting this vulnerability an attacker can not just compromise the data in the database and the underlying operating system but also use the compromised database host to attack the internal network. A number of freely available tools for exploiting this vulnerability will also be discussed along with their pros and cons. |
||
 |
„Total costs of ownership“
Der Erwerb einer Antiviren- oder komplexen Sicherheitslösung, die für das eigene Netzwerk maßgeschneidert ist und die unternehmensspezifischen Anforderungen erfüllt, ist die eine Sache. Dass in dieser Phase aber auch der Blick auf das Preis-Qualitätsverhältnis gerichtet sein muss, ist eine andere. Die entscheidende Frage ist die, welche Kosten sind im laufenden Betrieb zu erwarten und welche Unterschiede kann es in Bezug auf Betreuung, Support, Erweiterungsmöglichkeiten von Hersteller zu Hersteller geben? Diesen Fragen soll im Vortrag nachgegangen werden. |
|
Aditya K Sood, Design Flaws - Hacking by Breaking in Architectures The design level stringencies in browsers give birth to a number of vulnerabilities and weaken the security model. We will break into the architecture level complexities. In order to accomplish this we will jump directly into security architectures of open source browsers, for example Google Chrome and Mozilla Firefox. Then we move on with other design problems and will discuss a number of real life vulnerabilities.
|
||
|
Chief Security Officer, ERNW GmbH Reversing Malware for business purposes This talks covers different ways to analyze malware for business purposes and discusses advantages and disadvantages of the approaches. The most common online sandboxes are introduced and compared to sandbox systems that are built indiviudally. Also the basic requirements and the mandatory tool set are defined for building your own sandbox system. The tool set consists of analyzers, unpackers, debuggers and disassemblers and the talk will also mention the steps that are needed for proper analysis of the malware. Finally the countermeasures of the attackers to defeat the analysis process are presented and also some ways to mitigate them. |
||
 |
Dietmar Trost, Sicherheit in der IT-Infrastruktur
Es gibt verschiedene Wege, Sicherheitskonzeptionen zu erstellen. Sie lassen sich anhand ihres Fokuses und der Frage, ob eine detaillierte Risikoanalyse durchgeführt werden soll, oder ob ein Grundschutz reicht, grob in Klassen einteilen. Der Fokus der Sicherheitskonzeption kann entweder auf die gesamte Informatik eines Unternehmens oder nur auf einen Teilaspekt (etwa Electronic-Business-Applikationen) gerichtet sein. Beim Grundschutz werden in einem Maßnahmenkatalog eine Reihe von Schutzmaßnahmen gegen die üblichen Bedrohungen angeboten. Die betreffenden Bedrohungen werden ohne Risikoanalyse als relevant angenommen und anhand von empfohlenen Maßnahmen eingeschränkt. Durch das Weglassen einer Risikoanalyse wird der analytische Arbeitsaufwand für die Erstellung einer Sicherheitskonzeption angemessen begrenzt, da eine detaillierte Risikoanalyse viel Zeit und Wissen braucht. Doch gerade für hochschutzbedürftige Systeme genügen standardisierte Maßnahmen nicht, so dass eine detaillierte Risikoanalyse zu empfehlen ist. Denn eine Abwägung von Wirksamkeit und Wirtschaftlichkeit eventueller kostenintensiver Sicherheitsvorkehrungen erfordert eine individuelle und situationsbedingte Betrachtungsweise. |
|
 |
Business Development, Völcker Informatik AG Acht-Punkte-Plan für Identity Management-Projekte (22)
Identity Management einführen bedeutet mehr als nur die Installation eines Stücks Software und die Etablierung neuer Prozesse in der IT. Vielmehr bedarf es eines Lern- und Wachstumsprozesses, in dem auch die Fachebene im Unternehmen intensiv integriert werden muss. Als Guideline für eine erfolgreiche Implementierung stellen wir daher einen 8-Stufen-Plan vor. Im Rahmen einer Live-Demonstration werden dabei auch die Mechanismen vorgestellt, mit denen die „Heilung“ von Regelverletzungen erfolgen kann. zum Vortrag, 23.4.09, 14:45-15.30, Track A
|
|
 |
Dr.-Ing. Oliver Weissmann, Enterprise Risk Management – Risikomanagement mit Sicht auf das Gesamtunternehmen Vortrag gemeinsam mit Hendrik A. Reese, TÜV Rheinland Secure iT GmbH |
|
 |
Markus Winkler, Ein ungelöstes Problem
Passworte von adm inistrativen Accounts sind die Schlüssel zum Königreich. Und obwohl viele Security Manager das so sehen, ist der Umgang mit diesen Passworten bei den wenigsten Unternehmen so, wie es die Security Policy vorschreibt: Komplex, individuell und alle 30 Tage neu sollen sie sein. Doch in der Realität ist das heute nicht gewährleistet, da in der Regel weit mehr Personen als die erforderlichen Administratoren Zugriff auf diese zumeist Shared Account Passworte erlangen können. Häufig finden sich in großen Unternehmen leicht erratbare Passworte, identisch über eine Vielzahl ähnlicher Systeme verteilt, selten oder gar nie gewechselt und oftmals nicht vor dem Zugriff Dritter geschützt. Von einer Nachvollziehbarkeit, welche Person ein solches Passwort genutzt hat, kann keine Rede sein. Eine Privileged Identity Management Lösung (PIM) kann hier helfen. |
|
| Mediensponsoren | ||
 |
NetSkill AG Hostatostr. 2-4 65929 Frankfurt |
|
 |
it daily Rudolf-Diesel-Ring 32 82054 Sauerlach Telefon +49 (0) 8104 / 64 94 0 Telefax +49 (0) 8104 / 64 94 22 |
|
| Veranstalter | ||
|
it Verlag GmbH Telefon +49 (0) 8104 / 64 94 0 Telefax +49 (0) 8104 / 64 94 22 |
