Thought Leadership
Gehackte Promi-Accounts, digitale Einbrüche in Produktionsanlagen und massenhaft aufgedeckte Sicherheitslücken: Skandale dieser Art erfährt man inzwischen fast täglich aus den Nachrichten. Als Verantwortlicher für IT-Sicherheit in einem Unternehmen kann einem da angst und bange werden. Wenn man selbst Ziel eines Angriffs wird, ist der potenzielle Schaden immens.
Dagegen hilft nur: gut informiert zu bleiben, um geeignete Gegenmaßnahmen ergreifen zu können. Am 13. und 14. März haben Sie dazu Gelegenheit, wenn die Top-Experten der IT-Sicherheitsbranche sich in Hannover einfinden und Ihnen mit ihrem Wissen zur Verfügung stehen.
Noch mehr Nutzwert für die Besucher
Den positiven Erfahrungen aus dem Vorjahr entsprechend ist 2019 alles größer geworden: Auf der diesjährigen secIT ist eine größere Zahl von Ausstellern vertreten, es gibt mehr Vorträge und auch mehr Workshops. Weil der zeitliche Rahmen nicht für alle wichtigen Workshops gereicht hat, wurde der Rahmen sogar noch ausgebaut: Am Vortag der Messe finden nun zwei zusätzliche ganztägige Intensivworkshops zu den Themen „Sicheres Single Sign-on in Kerberos-Umgebungen“ und „Hacking und Härtung von Windows-Systemen“ statt. Für die Kuratierung der Workshops und Vorträge der Messe zeichnen die profilierten Redaktionen des Heise Verlags verantwortlich. Die Experten der beiden Zeitschriften c’t und iX haben ihr Knowhow eingebracht, um eine interessante und praxisnahe Veranstaltung zu gestalten, die den Aufenthalt für alle Besucher so nutzbringend wie möglich macht.
Hochkarätige Experten erleben
Die secIT 2019 hat über 45 Vorträge zu bieten, die sich aktuellen Themen wie Incident Response, Internet of Things oder Pentesting widmen. In der Keynote am Mittwoch beispielsweise belegt Markus Hartmann, Oberstaatsanwalt in Nordrhein-Westfalen, dass die gängige Meinung über die Erfolglosigkeit einer Strafverfolgung im Netz falsch ist. Er gibt einen Überblick über die aktuelle Lage der Cyberkriminalität und stellt den Mehrwert heraus, den die Strafverfolgung Unternehmen bietet. Die Zuhörer erfahren auch, wie Wirtschaft und Behörden noch besser zusammenarbeiten können, um gemeinsam mehr IT-Sicherheit zu schaffen.
Mehr und vor allem praktischere Sicherheit durch Authentifizierung ist das Thema von David Fuhr von der HiSolutions AG. Seinen Vortrag hat er provokant „Passwort, Passwort, Token, Gesicht – fertig ist die Authentifizierungsschicht?“ betitelt. Darin gibt er einen Überblick über die große Bandbreite verfügbarer Authentifizierungsverfahren in der Corporate-IT und gibt ebenso Einblick in die negativen Folgen für die Sicherheit. Fuhr beschränkt sichaber nicht auf ein Lamento, sondern zeigt einen Lösungsweg auf, wie jedes Unternehmen die passende Authentifizierungsmethode findet und implementiert.
Zu einem ähnlich scharfen Fokus auf Relevantes verhilft Tobias Glemser von secuvera in seinem Beitrag „IT-Security Hypes – eine Polemik“. Nach diesem Vortrag können Besucher Sicherheitsangebote und deren Nutzen besser beurteilen. Seine Zuhörer werden es danach auch leichter haben, solide Sicherheitskonzepte zu erarbeiten, die sich nicht von jedem neuen Trend in der IT-Sicherheit infrage stellen lassen müssen
10-Punkte-Plan für den Security-GAU
Haben alle defensiven Maßnahmen nicht geholfen und es tritt ein Sicherheitsvorfall ein, dann ist die richtige Reaktion darauf entscheidend für den weiteren Ausgang und die Schadensbegrenzung. Die Zuhörer von „Incident Response und Forensic Readiness – Gut vorbereitet sein und richtig handeln, wenn es zum IT-Ernstfall kommt“ bekommen das notwendige Rüstzeug, um in einer solchen Situation richtig reagieren zu können. Martin Wundram von
DigiTrace zeigt darin anhand konkreter Fallbeispiele, welche typischen Fehler man vermeiden sollte, und präsentiert einen 10-Punkte-Plan, der einen praxisnahen Leitfaden für alle Unternehmen darstellt.
Mit den Mitteln des Comics bringt Klaus Schmeh von cryptovision seinen Zuhörern das mathematisch anspruchsvolle Thema der Post-Quantum-Kryptografie näher. Statt Formeln gibt es hier also Zeichnungen, die auch Nichtmathematikern Konzepte wie nichtkommutative oder gitterbasierte Kryptografie verständlich machen. Weniger mathematisch, aber ähnlich komplex, ist das Thema DSGVO. Die Verordnung ist zwar schon letztes Jahr für alle verpflichtend in Kraft getreten, das Thema bleibt aber aktuell. Darum zieht Joerg Heidrich, Justiziar und Datenschutzbeauftragter bei Heise Medien, ein Resümee: „Erfahrungen aus 10 Monaten DSGVO – Was für Unternehmen wirklich wichtig ist!“ Heidrich stellt erste Gerichtsentscheidungen mit den resultierenden Bußgeldern vor, hilft, technische und rechtliche Risiken einzuschätzen, und legt dar, wie man Daten rechtssicher speichert und löscht.
Praxisrelevantes Know-how erfahren
Es lohnt sich, früh zur secIT anzureisen, denn schon am Messevortag, dem 12. März 2019, finden zwei ganztägige Workshops statt. So führt Mark Pröhl von Puzzle ITC in seinem Kurs vor, wie sich über Kerberos ein Single Sign-on in Windows- und Linux-Umgebungen integrieren lässt. Dieses Konzept hält die Angriffsfläche der Unternehmens-IT im Bereich der Authentifizierung extrem klein.
Den zweiten Ganztagsworkshop leitet cirosec-Berater Constantin Tschürtz. In seinem Workshop „Hacking und Härtung von Windows-Systemen“ zeigt er ausführlich, wie Angreifer heutzutage vorgehen, um Windows-Systeme zu übernehmen, und wie man sich dagegen schützen kann. Dabei verwendet er als Werkzeuge lediglich MicrosoftBordmittel und frei verfügbare Software. Am ersten Messetag widmet sich Tschürtz dem Thema dann nochmals in
kompakter Form im Kurzworkshop „Typische Sicherheitsdefizite in Windows-Umgebungen und was man dagegen tun kann“.
Die Rolle des Angreifers einnehmen
Den Blickwinkel zu verändern, schafft oft interessante Einblicke. Der Senior IT Security Consultant Kevin Wennemuth empfiehlt das in seinem Workshop „Security-Architektur – Ihr Unternehmen aus der Sicht eines Angreifers“. Er führt vor, wie man so zu einer neuen Bewertung der eigenen Software, Entwicklungs- und Management-Architektur in Bezug auf InfoSec und Sicherheit gelangt und daraus effektive Abwehrkonzepte generiert.
Am Donnerstag stehen dann Workshops zu Penetrationstests an. Sebastian Schreiber, Geschäftsführer der SySS GmbH, zeigt den Teilnehmern seines Workshops „Steuerung von Pentests in Großunternehmen“, wie man das Thema pragmatisch angeht, wenn eine große Anzahl von Systemen zu testen ist. Besonderes Augenmerk legt er dabei auf die Nachverfolgung von bereits erkannten Schwachstellen, kommende Trends beim Pentesting sowie rechtliche und ethische Aspekte.
Im Fokus von Christian Schneider, einem freiberuflichen Whitehat Hacker, sind dagegen quelloffene Pentest-Werkzeuge. Sein Workshop „Nutzung und Automation von Open-Source-Securityanalysetools“ liefert den Beweis, dass Unternehmen nicht immer hochpreisige Software anschaffen müssen, um Sicherheitsprobleme zu erfassen und zu lösen.
Erfahrungsaustausch unter Fachleuten
Wenn sich Experten an einem Ort treffen, ist der intensive Austausch ein wichtiger Aspekt. Dazu haben alle Teilnehmer der secIT an den Messeständen der Aussteller und zwischen den einzelnen Veranstaltungen reichlich Gelegenheit. Eine besonders entspannte Atmosphäre für‘s Netzwerken wird es auf der secIT-Party am Abend des ersten Messetags geben. Schon im Vorjahr erfreute sich dieser Treff großer Beliebtheit. In ungezwungener Atmosphäre können sich hier Besucher, Anbieter und Redakteure bei Snacks und Getränken kennenlernen und näher austauschen. Für die richtige Partystimmung sorgen fetzige Musik und leckeres Essen. Die Party inklusive Catering ist im Tagesticket inbegriffen.
