Referent*innen beim 16. Paderborner Tag der IT-Sicherheit

Kurzvorstellung unserer Referent*innen beim diesjährigen Paderborner Tag der IT-Sicherheit (in alphabetischer Reihenfolge):

Keynotes & Vorträge

Prof. Dr. Eric Bodden, Universität Paderborn

"The one spec to rule them all: The power of allow-listing API specifications in secure coding"

Many secure coding guidelines help identify and avoid common mistakes. But how about the uncommon ones, the “unknown unknowns”? As I will show in this talk, one can avoid also such uncommon vulnerabilities by the use of allowlisting specifications. These specifications describe all secure behaviour - any deviation from this norm is deemed insecure and highlighted as potentially insecure. While tools such as CogniCrypt and Codyze use allowlisting specifications to define a static analysis, I will show that the specifications are much more versatile: Researchers have used them to generate API documentation, to generate test cases, dynamic analysis tools, quick fixes in Integrated Development Environments and even automatic hotfixes directly in the Java Virtual Machine. Thus, while allowlisting specifications must be manually defined by experts, they nonetheless can aid secure coding so significantly that this manual investment can quickly pay off.

Kurzbiographie:

Eric Bodden ist einer der führenden Experten auf dem Gebiet der sicheren Softwareentwicklung, mit einem besonderen Fokus auf der Entwicklung hochpräziser Werkzeuge zur automatischen Programmanalyse. Er ist Professor für Secure Software Engineering an der Universität Paderborn und ein Direktor für Softwaretechnik und IT-Sicherheit am Fraunhofer IEM, wo seine Mitarbeiter*innen und er hier unter anderem mit den führenden nationalen und internationalen Softwareentwicklungsfirmen kollaborieren. Darüber hinaus ist er ein Mitglied des Direktoriums des Sonderforschungsbereichs CROSSING an der TU Darmstadt. Im Jahr 2020 wurde Bodden zum Mitglied der Working Group 2.4 Software Implementation Technology der International Federation for Information Processing (IFIP) gewählt, welche den Vereinten Nationen unterstellt ist. Er ist außerdem "Scout" im Rahmen des Henriette Herz Scouting-Programms der Alexander von Humboldt-Stiftung.

Prof. Boddens Forschung wurde vielfach ausgezeichnet, so beispielsweise 2019 durch seine Ernennung zum ACM Distinguished Member. Beim Deutschen IT-Sicherheitspreis gewann seine Forschung den 1. Platz in 2016 und den 2. Platz in 2014. 2014 wurde Prof. Bodden der Heinz Maier-Leibnitz-Preis durch die DFG verliehen. Zudem erhielt er fünf ACM Distinguished Paper Awards in verschiedenen Communities. Prof. Bodden ist Mitglied des Editorial Boards bei ACM Transactions on Software Engineering and Methodology (TOSEM), Springer Empirical Software Engineering (EMSE) und dem IEEE Security and Privacy Magazine.

Dr. Erik Derr, comlet Verteilte Systeme GmbH Zweibrücken

"Over-the-Air-Updates - Wie bändige ich die Remote Code Execution auf meinen Devices?"

Vernetzte Embedded und IoT Geräte sind unsere täglichen Begleiter, sowohl beruflich als auch privat. Dabei werden zunehmend persönliche und sensitive Daten mit anderen Geräten geteilt oder in der Cloud verarbeitet. Over-the-Air (OTA) Updates ermöglichen eine hohe Produktlebensdauer, da die Device Software dynamisch an das aktuelle Business Model angepasst werden kann und kontinuierlich Bugs behoben und neue Features eingeführt werden können. Dieser Vortrag stellt OTA Updates als Enabler für kosteneffiziente Software Maintenance und digitale Business Modelle in den Bereichen Automotive, Industrial und Consumer IoT vor. Die Mächtigkeit, Software für Geräte und Mikrochips aus der Entfernung beliebig ändern zu können macht diese Funktionalität jedoch auch zu einem attraktiven Ziel für Angriffe. Anhand konkreter Beispiele aus der Industrie werden die Risiken von OTA Updates aufgezeigt und typische sicherheitskritische Fehler in der Konzeption und Implementierung veranschaulicht. Abschließend wird gezeigt, wie sich aktuelle Regulierungen und Normen wie UNECE R156 (Automotive) oder ETSI EN 303 645 (Consumer IoT) auf zukünftige Produktentwicklungen auswirken.

Kurzbiographie:

Dr. Erik Derr ist Head of Distributed Security bei der comlet Verteilte Systeme GmbH. Seine Passion ist die Entwicklung sicherer vernetzter Systeme. Dabei ist ihm wichtig zu vermitteln, dass Sicherheit nie ein optionales Addon sein sollte und ein gutes Sicherheitskonzept nicht zu Lasten von Einfachheit und Benutzbarkeit geht. Erik hat an der Universität des Saarlandes und dem Helmholtz-Zentrum für Informationssicherheit (CISPA) im Bereich Mobile + IoT Security and Privacy promoviert. Er hat über 10 Jahre Erfahrung in Industrie und Wissenschaft und ist dabei seinem Prinzip immer treu geblieben: Praktikable und einfache, aber sichere Lösungen zu finden.

Dr. Dietmar Guhe, Arvato Supply Chain Solutions SE Gütersloh

"Eine resiliente Security Infrastruktur"

Sicherlich ist ein als minor klassifiziertes Security Event in einer internationalen Organisation wie der arvato SCS mit >15.000 Mitarbeitern an der Tagesordnung und kann mit üblichen Prozessen bearbeitet und behoben werden. Findet sich dieses Event allerdings auf >200 PC verteilt auf 14 Länder, ist es sicherlich kein Minor Event mehr und bedarf besonderer Beachtung. In diesem Vortrag werde ich beschreiben, wie wir unsere internationale IT Security Infrastruktur aufgebaut haben und Ereignisse der geschilderten Form erkennen bzw. bearbeiten. Es werden konkrete Angriffsszenarien besprochen vor dem Hintergrund von Verschlüsselungen, Schutzmöglichkeiten sowie die notwendige Standardisierung. Schließlich lässt sich ein adäquater Schutz nur durch Monitoring und Prozesse etablieren.

Kurzbiographie:

Dr. Dietmar Guhe ist Vice President der arvato supply chain solutions. Sein Verantwortungsbereich erstreckt sich über deren gesamte IT Infrastruktur einschließlich Weiterentwicklung und Betrieb. Besonders am Herzen liegen ihm die Sicherheit und Einfachheit der Büroarbeitsplätze. Im Bertelsmann Corporate Center entwickelte er als Head of IT Architecture and Infrastructure Management unter anderem ein Konzept zur divisionsweiten Standardisierung der Workplace-Infrastruktur für 55.000 Arbeitsplätze. Kunden der Accenture GmbH beriet er hinsichtlich Datensicherheit und Compliance. Es reizt ihn besonders in internationalen Unternehmen zu arbeiten, die sich ergebenden Synergien zu nutzen und die konkurrierenden Anforderungen zu überwinden.

Tuba Hemker, Gesamtschule Gronau

"Sind die klassischen Ansätze zur kennwortbasierten Authentifizierung auch bei Kindern geeignet?" (Vortrag gemeinsam mit Prof. Dr. Erik Tews)

Identifizierung und Authentifizierung ist heutzutage wichtiger als jemals zuvor, besonders in der Schule aufgrund der Pandemie-Situation ab März 2020 im Distanzunterricht. Der typische Mechanismus beruht dabei auf der Verwendung von Benutzername und eines zugehörigen hinreichend sicheren Kennworts. Dieser Beitrag greift fünf „State of the Art“ Verfahren zum manuellen Generieren von sicheren Kennwörtern auf. Fünf Lerngruppen im Alter von 11 – 13 Jahren wurde je eines der fünf Verfahren im Unterricht vermittelt. Ziel war es zu untersuchen, ob die Lernenden in der Lage sind, unter Verwendung des vermittelten Verfahrens manuell Kennwörter zu generieren sich diese ohne Hilfe wie Abfotografieren, Aufschreiben o.ä. für die Verwendung im Alltag merken können.

Ein theoretisches Problembewusstsein für die Auswirkung von unsicheren Kennwörtern ist bei den Lernenden vorhanden. Durch eine Umfrage bei den mehr als 100 Lernenden vor Beginn der Unterrichtsreihe konnte dieses Problembewusstsein festgestellt werden.

Die Fähigkeit das Wissen jedoch im Alltag anwenden und umsetzen zu können, ist nicht verbreitet. Es zeigte sich, wie groß die Schwierigkeit ist Lernende vom praktischen Nutzen von sicheren Kennwörtern und der Anwendung dieser Verfahren in der Alltagssituation zu überzeugen.

Keines der betrachteten Verfahren, transformiert für den realitätsnahen Einsatz scheint geeignet, um die Herausforderungen für diese Altersstufe bei der Authentifizierung mit Benutzername und Kennwort zu lösen. Die untersuchten Verfahren unterscheiden sich nicht grundsätzlich.

Die manuell generierten Kennwörter wurden für die schulweite webbasierte Lernplattform verwendet. Diese haben die Lernende aber wieder oft vergessen. Es wurde besonders deutlich im Vergleich zur vorherigen Situation, bei der die Kennwörter durch die Lehrenden vorgegeben wurden und so direkte Hilfestellung gegeben werden konnte.

Wir werden die Ergebnisse im Detail diskutieren und insbesondere für den Einsatzort Schule praktische Empfehlungen ableiten.

Kurzbiographie:

Tuba Hemker hat an der TU Darmstadt Informatik auf Fachwissenschaften studiert. Das erste Staatsexamen für die Sekundarstufe 2 hat sie an der Goethe Universität in Frankfurt in den Fächern Informatik und Mathematik abgeschlossen. Anschließend absolvierte sie das zweite Examen an einem städtischen Gymnasium in Bielefeld. Seit 2015 ist sie Studienrätin zuerst in Berlin und aktuell an einer Gesamtschule in Gronau. Sie beschäftigt sich mit IT-Sicherheit im schulischen Kontext.

Dr. Claudia Priesterjahn, achelos GmbH Paderborn

"Maschinelles Lernen für die automatische Seitenkanalanalyse"

Vernetzte Geräte finden sich ganz selbstverständlich in fast allen Lebenslagen und ihre Anzahl wächst immer noch stetig: Seien es Smartphones, Geräte im Smart Home oder die massive Vernetzung von Industrieanlagen und kritischen Infrastrukturen. Ein Großteil dieser Geräte enthält Informationen, die schützenswert sind oder sie sind Bestandteil von Anlagen, deren Ausfall oder Kompromittierung durch einen Cyberangriff schwerwiegende Folgen bis hin zum Verlust von Menschenleben haben kann.

Aus diesem Grund ist eine sichere Kommunikation zwischen diesen vernetzten Geräten unerlässlich. Ein Eckpfeiler der sicheren Kommunikation im Internet sind kryptographische Protokolle. Sie ermöglichen es, die Vertraulichkeit, Integrität und Authentizität von übertragenen Daten zu schützen. Ein kryptographisches Protokoll bietet allerdings nur dann die erwartete Sicherheit, wenn es absolut korrekt implementiert ist. Selbst für sehr gut untersuchte und sehr gut verstandene Protokolle, wie zum Beispiel TLS, werden seit vielen Jahren immer wieder neue Schwachstellen und Seitenkanäle entdeckt. Zudem kann jede Änderung der Implementierung neue Seitenkanäle öffnen. Ein kontinuierlich wirksamer Schutz der IT-Sicherheit erlangt somit in Unternehmen eine immer höhere Notwendigkeit.

In der Computersicherheit ist ein Seitenkanalangriff ein Angriff, der auf Informationen beruht, die aus der Implementierung des Computersystems gewonnen wurden und nicht auf einer direkten Schwäche im implementierten Algorithmus selbst. Diese Seitenkanäle zuverlässig zu erkennen ist eine offene Herausforderung. Eine bestehende Möglichkeit der Erkennung von Seitenkanälen ist die manuelle Untersuchung durch IT-Sicherheitsexperten. Angesichts der großen Verbreitung von kryptographischen Protokollen wie TLS, welches heutzutage in der Form von HTTPS auf praktisch jedem smarten Gerät benutzt wird, ist dies keine dauerhafte Lösung: Da sich bei jedem Software-Update ein neuer Fehler einschleichen kann, ist eine kontinuierliche Überprüfung nötig.

In unserem Vortrag stellen wir ein Verfahren zur automatischen Analyse von Seitenkanälen in kryptographischen Protokollen vor. Durch die automatische Generierung von Daten und die Anwendung von maschinellem Lernen auf diese Daten ist unser Verfahren in der Lage, alle Seitenkanäle zu detektieren, die auf klassifizierbaren geheimen Informationen beruhen. Dabei analysieren wir, ob anhand des beobachtbaren verschlüsselten Netzwerkverkehrs mittels maschineller Lernverfahren Rückschlüsse auf die verschlüsselten Daten gezogen werden können. Dies weist auf einen Seitenkanal und damit auf eine potenziell schwerwiegende Sicherheitslücke hin. Unser Verfahren arbeitet auf Protokollebene und kann damit für sämtliche Implementierungen eines Protokolls angewendet werden, unabhängig von der Art der Implementierung, der Hardware oder des Betriebssystems.

Kurzbiographie:

Dr. Claudia Priesterjahn ist Projektmanagerin und Expertin für IKE/IPsec bei der achelos GmbH in Paderborn. Ihr Fokus liegt auf der Entwicklung von Testwerkzeugen für IKE/IPsec und TLS und der Forschung im Bereich Security Engineering. Nach ihrer Promotion im Bereich Software Engineering war sie als Senior Expertin im Bereich Software Qualität am Fraunhofer IEM tätig.

Dr.-Ing. Dietmar Rosenthal, TÜV Informationstechnik GmbH TÜViT Essen

"Codyze - a viable SAST tool for evaluators, not developers?"

Authors: Dr. Dietmar Rosenthal¹, Niko Hardt¹, Markus Wagner¹, Marcus Krechel¹.

¹TÜV Informationstechnik GmbH (TÜViT), IT Security Evaluation and Validation, Am TÜV 1, 45307 Essen

Use of static application security testing (SAST) tools is indispensable for any developer. They may even be mandatory prerequisites to enter specific markets, ranging from automotive, biomedical engineering and eHealth, to mobile communication and the emerging 5G standard, to name a few. There, they are used to demonstrate adherence to coding standards such as MISRA C++ [1], and a general “clean” code quality as understood by e.g. the AUTOSAR [2] guidelines.

For evaluators however, structured source code review following e.g. [3] is still the predominant technique to assess correct operation of security code. This is the case, because SAST tools are aimed at developers, not evaluators. They would rarely state strictly security related findings, focusing on clean, or safe code, rather than secure code. Codyze [4], developed by the Fraunhofer AISEC Institute and the German Bundesamt für Sicherheit in der Informationstechnik (BSI), is potentially the first SAST tool to cover specific needs of evaluators. It is designed to assess correct and secure use of cryptographic algorithms, based around the German information security standard BSI-TR-02102 [5], and to detect typical implementation pitfalls.

TÜViT has evaluated Codyze as piloting partner of Fraunhofer AISEC. In this talk, we briefly review the theory of operation of Codyze, and describe from an evaluator’s point of view its potential benefits and conceptual limitations in several case studies.

References
[1] MISRA Compliance:2020 - Achieving compliance with MISRA Coding Guidelines, February 2020, ISBN 978-1-906400-26-2 PDF
[2] Guidelines for the use of the C++14 language in critical and safety-related systems, Autosar, 2017-03-31
[3] OWASP Code Review Guide, https://owasp.org/www-project-code-review-guide/
[4] Codyze: Static Code Analysis, https://www.codyze.io (Project site managed by Fraunhofer)
[5] BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen, Technische Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI), Version 2022-01

Kurzbiographie:

Dietmar Rosenthal is currently technical lead source code analysis and consultant – evaluator IT security with TÜV Informationstechnik (TÜViT). He aided in the CC-certification of products ranging from eHealth terminals and -connectors to smart metering devices.
Before Dr. Rosenthal joined TÜViT in 2016, he developed imaging techniques for clinical gait analysis, and co-authored more than 20 full paper in neuro-rehabilitation and movement disorders.
With TÜViT, he specializes in security by design, as well as implementation analysis of cryptographic mechanisms.

Prof. Dr. Sebastian Schinzel, Fachhochschule Münster

Keynote: "E-Mail Security in 2022"

E-Mail ist auch weiterhin das am weitesten verbreitete und damit auch das wichtigste digitale Kommunikationsmedium im Internet. Doch wie ist der aktuelle Stand der Forschung, wenn es um die Sicherheit von E-Mails geht? In diesem Vortrag stelle ich drei Forschungspapiere vor, die sich mit diesen Themen befassen.

1. Die Sicherheit von STARTTLS im E-Mail-Kontext:
SMTP, IMAP und POP3 wurden als Klartextprotokolle in den frühen 80er Jahren entworfen und konnten die Authentizität und Vertraulichkeit von E-Mails auf Netzwerkebene nicht gewährleisten. Erst Ende der 90er Jahre konnten diese Protokolle auch über TLS verwendet werden. Dazu wurden STARTTLS-Kommandos in die Protokolle eingebaut. Die Studie „Why TLS is better without STARTTLS“ (USENIX Security 2021) zeigt neue Schwachstellen in dieser STARTTLS-Technologie.

2. Neuartige Oracle-Angriffe gegen S/MIME und OpenPGP:
Padding Oracle-Angriffe wie z. B. Bleichenbachers „Million Questions“-Angriff oder Vaudenay’s Angriff gegen PKCS#7-Padding sind wohlbekannt und wurden gegen Verschlüsselungs-Technologien wie TLS oder XML-Encryption eingesetzt. S/MIME und OpenPGP nutzen ähnliche kryptografische Konstruktionen wie TLS und XML-Encryption und sollten daher theoretisch auch gegen Padding-Oracle anfällig sein. Bisher glaubte man, dass diese Angriffe nicht praktikabel im E-Mail-Kontext sind, weil dazu die Opfer tausende Mails öffnen, entschlüsseln und den Entschlüsselungs-Status an die Angreifer kommunizieren müssten. In der Studie „Content-Type: multipart/oracle - Tapping into Format Oracles in Email End-to-End Encryption“ (USENIX Security 2023) untersuchen wir, ob Oracle-Angriffe nicht doch praktikabel gegen E-Mail-Verschlüsselung sein können.

3. Expertenstudie zur Benutzbarkeit von E-Mail-Verschlüsselung mit OpenPGP:
Seit über 20 Jahren bestätigen Benutzerstudien, dass End-Nutzer sich schwer tun, E-Mail-Verschlüsselung mit OpenPGP sicher einzusetzen. In diesen Studien wurden besonders Nutzer betrachtet, die keine besonderen technischen Fertigkeiten besitzen. Aber ist E-Mail-Verschlüsselung für technisch versierte Benutzer sicher einsetzbar?
In der Studie „"I don’t know why I check this...'' - Investigating Expert Users' Strategies to Detect Email Signature Spoofing Attacks“ (USENIX SOUPS 2022) haben wir Experten mit digital signierten E-Mails konfrontiert, deren Signatur jedoch möglicherweise gefälscht war. Die Aufgabe der Experten-Benutzer war es herauszufinden, ob die Signatur einer E-Mail gefälscht war und wenn ja, wie.

Kurzbiographie:

Prof. Dr. Sebastian Schinzel ist Professor für IT-Sicherheit an der FH Münster und leitet dort die Forschungsgruppe des Labors für IT-Sicherheit. Seine Forschungsthemen sind angewandte Kryptografie, Systemsicherheit und die Sicherheit medizinischer IT.

Prof. Dr. Erik Tews, University of Twente, Enschede, Niederlande

"Sind die klassischen Ansätze zur kennwortbasierten Authentifizierung auch bei Kindern geeignet?" (Vortrag gemeinsam mit Tuba Hemker)

Identifizierung und Authentifizierung ist heutzutage wichtiger als jemals zuvor, besonders in der Schule aufgrund der Pandemie-Situation ab März 2020 im Distanzunterricht. Der typische Mechanismus beruht dabei auf der Verwendung von Benutzername und eines zugehörigen hinreichend sicheren Kennworts. Dieser Beitrag greift fünf „State of the Art“ Verfahren zum manuellen Generieren von sicheren Kennwörtern auf. Fünf Lerngruppen im Alter von 11 – 13 Jahren wurde je eines der fünf Verfahren im Unterricht vermittelt. Ziel war es zu untersuchen, ob die Lernenden in der Lage sind, unter Verwendung des vermittelten Verfahrens manuell Kennwörter zu generieren sich diese ohne Hilfe wie Abfotografieren, Aufschreiben o.ä. für die Verwendung im Alltag merken können.

Wir werden die Ergebnisse im Detail diskutieren und insbesondere für den Einsatzort Schule praktische Empfehlungen ableiten.

Kurzbiographie:

Erik Tews hat an der TU Darmstadt Informatik studiert und ebenfalls dort im Bereich Kryptographie promoviert. Nach einem Post-Doc im Bereich IT-Sicherheit ging er als Lecturer an die University of Birmingham in England und etwa 2 Jahre später dann als Assistant Professor an die Universität Twente bei Enschede in den Niederlanden. Dort forscht er zur Zeit im Bereich IT-Sicherheit und Cybercrime.

Dominik Wermke, CISPA Helmholtz Center for Information Security Saarbrücken

"Human factors everywhere: A qualitative investigation into trust and security in open source projects"

Despite the security community's efforts, we are seeing a persistent gap between the theoretical security of e.g. cryptographic algorithms and real world vulnerabilities, data-breaches and possible attacks. Previous research revealed that many developers – despite being computer experts – are rarely security experts. During the development process, programmers have to make choices that impact the security and privacy of the software’s users. This talk will give an overview of security challenges for programmers, research challenges for the security community, as well as concrete steps for practitioners to leverage the human factor for software security.

Within the software supply chain, especially open source software is of critical importance. Open source projects face unique challenges: code submissions from unknown entities, limited developer-hours for commit or dependency reviews, and bringing new contributors up-to-date in projects’ best practices & processes. Through the results from a semi-structured interview study with 27 owners, maintainers, and contributors, we will examine their security and trust practices. For this, we explore projects’ incident handling & previously encountered challenges, provided guidance & policies, as well as their trust considerations. We will see how projects are highly diverse both in deployed security measures and trust processes and discuss implications for the open source software ecosystem and how the research community can better support open source projects in trust and security considerations.

Kurzbiographie:

Dominik Wermke is a Usable Security & Privacy researcher at CISPA Helmholtz Center for Information Security, a Computer Science PhD student at the Leibniz University Hannover, and a visiting scholar at the GWUSEC lab at George Washington University. His research enables developers and administrators to deploy secure, privacy-respecting, and trust-worthy software that benefits the security of hundreds of dependent code bases, thousands of real-world deployments, and millions of end users. His research leverages this multiplicative effect by supporting open source maintainers, developers, and system administrators in the shared endeavor towards a more secure and trustworthy software ecosystem. His work has appeared in the top-tier security venues such as IEEE S&P, USENIX Security, and ACM CCS, as well as field-specific venues such as SOUPS and ACSAC.

Dr. Markus Willing, St. Vincenz-Krankenhaus GmbH Paderborn

"Vorstellung BREATH Sudie (Behavioral responses to a cyberattack in a hospital environment)"

Technical and organizational steps are necessary to mitigate cyber threats and reduce risks. Human behavior is the last line of defense for many hospitals and is considered as equally important as technical security. Medical staff must be properly trained to perform such procedures. This paper presents the first qualitative, interdisciplinary research on how members of an intermediate care unit react to a cyberattack against their patient monitoring equipment. We conducted a simulation in a hospital training environment with 20 intensive care nurses. By the end of the experiment, 12 of the 20 participants realized the monitors’ incorrect behavior. We present a qualitative behavior analysis of high performing participants (HPP) and low performing participants (LPP). The HPP showed fewer signs of stress, were easier on their colleagues, and used analog systems more often than the LPP. With 40% of our participants not recognizing the attack, we see room for improvements through the use of proper tools and provision of adequate training to prepare staff for potential attacks in the future.

Kurzbiographie:

Dr. Markus Willing ist ein Sicherheitsforschender mit Schwerpunkt Networked medical Devices. Der gebürtige Paderborner absolvierte zunächst eine Ausbildung zum Medizinisch-Technischen Radiologieassistenten am Uniklinikum Münster (UKM). Anschließend studierte er Biomedizinische Technik an der FH Münster (Masterabschluss 2017). Parallel arbeitete er in der Strahlentherapie und Medizintechnik des UKM`s als SHK bei Prof. Dr. Uwe Haverkamp. Im Anschluss an den Masterstudiengang promovierte er im Forschungstandem NERD.NRW: MEDISEC des Landes NRW zusammen mit Dr. Christian Dresen im Bereich IT-Sicherheit vernetzter Medizinprodukte und deren Umgebung. Große Schwerpunkte waren neben technischen Analysen, die Auswirkungen auf den Krankenhausbetrieb und die Patientensicherheit. Nach seiner Promotion arbeitete er im Security Operation Center (SOC) des UKM`s. Seit April 2022 leitet Markus Willing die Abteilung für Medizintechnik der St. Vincenz GmbH Paderborn.

Workshops

Thomas Biere, Bundesamt für Sicherheit in der Informationstechnik BSI Bonn

"Business Continuity Management"

Von Unternehmen und Behörden wird zunehmend gefordert, Leistungen jederzeit zu erbringen. Viele Unternehmen stehen beispielsweise vor der Herausforderung, Produkte Just in Time oder Just in Sequence liefern zu müssen. Die Abhängigkeit von funktionierenden Prozessketten ist in den letzten Jahren deutlich gestiegen. Zudem besteht zunehmend oftmals eine hohe Abhängigkeit von globalen Lieferketten. Erschwerend führten Angriffe aus dem Cyberraum in den letzten Jahren vermehrt zum Ausfall kritischer Geschäftsprozesse. Andererseits bedingt die laufende Effizienzsteigerung, dass Leerlauf- und Pufferzeiten auf ein Minimum reduziert worden sind. Die Folge ist, dass sich Zeitfenster zur Reaktion auf Ausfälle von Geschäftsprozessen drastisch verkleinert haben. Hieraus resultiert die zwingende Notwendigkeit, gegen Ausfälle im Geschäftsbetrieb umfassende Vorsorge zu betreiben. Notwendig ist dazu der Aufbau eines angemessenen Business-Continuity-Managements, das den unterbrechungsfreien Geschäftsbetrieb selbst bei massiven Schadensereignissen sicherstellt (Prävention) oder nach einem Ausfall nach angemessener Zeit fortgeführt werden kann (Reaktion). Das BSI hat im Jahr 2008 den BSI-Standard 100-4 – Notfallmanagement – veröffentlicht. Es ist geplant, dieses Werk durch den Standard 200-4 – Business Continuity Management – abzulösen, der als Communitiy Draft Version 1 vorliegt. Die Veröffentlichung des Communitiy Drafts Version 2 wird voraussichtlich in Kürze erfolgen.

Ziel des Workshops ist es, die Neuerungen des BSI-Standards 200-4 vorzustellen und mit den Workshop-Teilnehmern zu diskutieren.

Kurzbiographie:

Thomas Biere ist seit 1996 Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik. Schwerpunkte seiner bisherigen Tätigkeit waren u. a. die Mitarbeit am IT-Grundschutzhandbuch, die Erstellung von IT-Sicherheitskonzepten sowie die Betreuung verschiedener E-Government-Projekte. Hierbei lag ein Fokus auf der Integration der Virtuellen Poststelle, um den Umgang mit elektronischen Signaturen und von Verschlüsselung im Behördenalltag zu vereinfachen. Schwerpunkte der bisherigen Tätigkeit war die Übernahme der Aufgaben als Maßnahmenverantwortlicher für die Maßnahme G2X im Rahmen der IT-Konsolidierung Bund, das Vertragsmanagement für einen Rahmenvertrag zur Informationssicherheitsberatung und Beratungen der Stellen des Bundes in Fragen der Informationssicherheit. Seit dem 01.04.2021 hat Herr Biere die Leitung des Referats BL 11 – Informationssicherheitsberatung für den Bund und Grundsatz – übernommen.

Dr. Stefan Dziwok, Fraunhofer Institut für Entwurfstechnik Mechatronik IEM Paderborn

"Welche Rolle haben Produktmanager und Product Owner im Kontext Software Security inne und wie trainiert man dies?" (Workshop gemeinsam mit Björn Gorniak)

Apps für Smartphones und Webbrowser sind aus unserem Leben nicht mehr wegzudenken – auch für sensible Themen wie Gesundheit und Finanzen. Daher müssen Entwicklungsteams in der Lage sein, die Security ihrer Produkte trotz der steigenden Anzahl an Schwachstellen und böswilligen Angreifern zu gewährleisten. Eine zentrale Rolle spielt dabei der Product Owner bzw. der Produktmanager, denn diese Rolle ist nicht nur für neue Features, sondern auch für die Software Security des Produkts verantwortlich. Doch welche Aufgaben hat man als Produktmanager bzgl. Software Security? Wie lässt sich Security aus Sicht des Produktmanagers kontinuierlich berücksichtigen? Und wie können Produktmanager ihr Wissen und ihre Kompetenzen effizient steigern?

In diesem Workshop werden wir Ihnen auf diese Fragen Antworten liefern. Zunächst werden wir unsere Software Security Studie präsentieren, die u. a. Produktmanager zu ihren Kompetenzen und Aufgaben befragt hat. Anschließend stellen wir vor, wie die Produktmanager der Connext Communication GmbH ihre Rolle im Kontext der Software Security verstehen und welche Aufgaben und welche notwendigen Kompetenzen sie hieraus ableiten. Illustriert wird dies anhand verschiedener Szenarien, z. B. welche Rolle ein Produktmanager im Falle eines erfolgreichen Angriffs hat. Zuletzt berichten wir über unser neu entwickeltes Software Security Training für Produktmanager und Product Owner, das als Ziel hat ihre Rolle zu klären und ihre Kompetenzen zu stärken indem es ein klassisches Training mit einem Coaching-on-the-Job kombiniert.

Kurzbiographie:

Dr. Stefan Dziwok ist Senior Researcher beim Fraunhofer IEM in der Abteilung Softwaretechnik und IT-Sicherheit und forscht daran, die Entwicklung sicherer Software-intensiver Systeme zu verbessern und zu erleichtern. Hierfür entwickelt er mit seinen Kolleg:innen Methoden, Werkzeuge und Schulungen. Dr. Dziwok hat Informatik an der Universität Paderborn studiert und im Fachgebiet Softwaretechnik promoviert. Er ist zudem Certified Scientific Trainer und verantwortet den Standort Paderborn des Lernlabors Cybersicherheit der Fraunhofer Academy.

Björn Gorniak, Connext Communication GmbH Paderborn

"Welche Rolle haben Produktmanager und Product Owner im Kontext Software Security inne und wie trainiert man dies?" (Workshop gemeinsam mit Dr. Stefan Dziwok)

Björn Gorniak ist Produktmanager bei Connext Communication GmbH und verantwortet die Entwicklung mehrerer Softwareprodukte für die Sozial- und Gesundheitswirtschaft - beispielsweise unterstützt die App ‚Vivendi Mobil‘ Fachkräfte in ambulanten Diensten, stationären Pflegeeinrichtungen, aber auch in der Fachberatung und in der Eingliederungshilfe. Aufgrund der sensiblen Informationen spielt die IT-Sicherheit bei allen Applikationen eine zentrale Rolle. Herr Gorniak und seine Mitarbeitenden sind daher kontinuierlich aktiv, das Sicherheitsniveau ihrer Produkte zu steigern.

Michael Kemkes, InnoZent OWL e. V. Paderborn

"IT-Sicherheit als Kulturfrage"

Cyber-Sicherheit ist so unerlässlich wie Energie für ein Unternehmen, d. h. hier müssen auch Geld und Ressourcen investiert werden, und zwar kontinuierlich. Cyber-Sicherheit ist dabei kein Produkt, das ich mir einkaufen kann und fertig, sondern es ist ein lebendes System von Sicherungsmaßnahmen, wenn sie wirksam sein soll. Teil dieses lebenden Systems sind alle Beschäftigten, und nicht nur, weil viele Angriffe insbesondere auf die Unbedarftheit der Beschäftigten zielen. In der Mehrzahl der Unternehmen, ob groß oder klein, wird die IT-Sicherheit als Aufgabe einiger weniger Spezialisten sowie ggf. eines Dienstleisters wahrgenommen. Dies führt dazu, dass über immer mehr Vorschriften und Reglementierungen die praktische Arbeitsflexibilität und oft auch die Produktivität der Beschäftigten eingeschränkt wird. Es etabliert sich eine Kultur im Sinne von: „Was wollen die von der IT denn schon wieder?“, „Jetzt soll ich hier schon wieder Zeit für unnötige Anmeldungen, Änderungen und Sicherheitsmaßnahmen aufwenden. Wann soll ich eigentlich meine Arbeit machen?“. Im Workshop wollen wir zum einen beleuchten, in welchem Umfang die „normalen“ Beschäftigten aktuell in das IT-Sicherheitskonzept eingebunden sind und in welcher Rolle. Darauf aufbauend werden die Möglichkeiten und auch die Grenzen des Ansatzes „IT-Sicherheit ist eine Gemeinschaftsaufgabe und eine Frage der Kultur“ diskutiert sowie Möglichkeiten aufgezeigt, Beschäftigte für das Thema zu aktivieren.

Kurzbiographie:

Michael Kemkes ist seit 2017 Geschäftsführer des Unternehmensnetzwerkes InnoZent OWL e. V. und hat nach einer technischen Ausbildung seit Mitte der 1990 Jahre mehrere Geschäftsführungs- und Leitungspositionen in Dienstleistungsunternehmen wahrgenommen. InnoZent OWL ist ein technologieorientiertes Netzwerk für nachhaltige Unternehmensentwicklung durch Forschung, Kooperation und Innovation.

Prof. Dr. Jörg-Michael Keuntje, Fachhochschule Bielefeld

"Informationssicherheit einführen und managen mit CISIS12"

Die Notwendigkeit, geeignete Maßnahmen zur Einführung und Aufrechterhaltung der Informationssicherheit zu ergreifen, ist heute nahezu jedem Unternehmen, auch im Bereich der KMUs, bewusst. Entsprechend haben die meisten Unternehmen bereits eine Vielzahl geeigneter Maßnahmen umgesetzt. Was häufig noch nicht implementiert ist, ist ein Informationssicherheitsmanagementsystem (ISMS). Durch die Nutzung eines ISMS wird u. a. sichergestellt, dass

eine ganzheitliche Sicht auf die IT-Sicherheit vorhanden ist,
alle Prozesse und Anwendungen dokumentiert und einheitlich beschrieben sind,
alle Richtlinien dokumentiert werden,
alle Dokumentationen stets aktuell gehalten werden,
alle Mitarbeiterinnen und Mitarbeiter zur Beachtung der Sicherheitsregeln regelmäßig geschult werden und Zugang zu den Verhaltensregeln haben, so dass auch in ungewöhnlichen Situationen im Unternehmen richtig reagiert wird,
die Schutzbedarfe der Anwendungen und die ergriffenen Maßnahmen zueinander passen,
alle erforderlichen Maßnahmen ergriffen werden,
die Informationssicherheit im Unternehmen stets weiterentwickelt und neuen Herausforderungen angepasst wird.

CISIS12 ist eine Vorgehensweise zur Einführung eines Informationssicherheitsmanagementsystems in 12 Schritten. Die 12 Schritte bieten konkrete, klar beschriebene Handlungsanweisungen und sind daher sehr gut umsetzbar. CISIS12 wird herausgegeben und lizenziert vom Netzwerk Informationssicherheit im Mittelstand (NIM) des Bayerischen IT-Sicherheitscluster e.V.. Es ist vom Umfang her geringer als ISO/IEC 27000, bietet aber trotzdem ein hohes Maß an Sicherheit. Daher ist es gerade für KMUs besonders geeignet. CISIS12 eignet sich auch ausgezeichnet als Zwischenstufe zur späteren Einführung von ISO/IEC 27000. Unternehmen, die CISIS12 vollständig umgesetzt haben, können sich entsprechend zertifizieren lassen. In diesem Workshop werden im Wesentlichen die 12 Schritte von CISIS12 vorgestellt, so dass am Ende die Zuhörerinnen und Zuhörer entscheiden können, ob CISIS12 für ihr Unternehmen / ihre Institution geeignet ist.

Kurzbiographie:

Professor für Wirtschaftsinformatik, insbes. Betriebssysteme und Netzwerke in ihren betriebswirtschaftlichen Anwendungen, FH Bielefeld
10/1981 - 10/1988 Studium der Mathematik an der Universität Bielefeld, Abschluss Dipl.-Math.
12.6.1990 Promotion zum Dr. math. an der Universität Bielefeld
1.10.1990 - 31.1.1997 Systembetreuer bei Bertelsmann Zentrale Informationsverarbeitung (heute arvato systems), Gütersloh, verantwortlich für

Betriebssysteme unterschiedlicher Hersteller
Vernetzung der Rechner
IT-Sicherheit der Systeme
In diesem Bereich konzernweit tätig als Second Level Support

Seit 1.2.1997 Professor für Wirtschaftsinformatik an der FH Bielefeld

Aufbau des Lehrgebiets Betriebssysteme
Aufbau des Lehrgebiets Netzwerke
Einrichtung eines Netzwerklabors am Fachbereich Wirtschaft
Gründung einer Cisco Networking Academy am Fachbereich Wirtschaft
Aufbau des Lehrgebiets IT-Sicherheit
Lizenzierter ISIS12-Berater (4/2019-4/2022) (ISIS12 ist das Vorgängermodell von CISIS12)
Zahlreiche Forschungsprojekte in Zusammenarbeit mit regionalen Unternehmen (Wirtschaftsinformatik-Projekte)

Verantwortlich für folgende Lehrveranstaltungen:

Betriebssysteme und IT-Sicherheit (Bachelor Wirtschaftsinformatik)
Netzwerke (Bachelor Wirtschaftsinformatik)
IT-Governance, Compliance, Security (Master Wirtschaftsinformatik)
Grundlagen der Wirtschaftsinformatik (Bachelor Betriebswirtschaftslehre)

Dirk Reimers, secunet Security Networks AG Hamburg

"Die Hacker kommen! Sind wir noch zu retten?" (Workshop gemeinsam mit Jonas Tebroke)

In der modernen Welt reicht schon ein falscher Klick, um einem Angreifer die Möglichkeit zu geben, auf eigene Daten zuzugreifen. Im Rahmen dieses Workshops soll daher das spezifische Risikobewusstsein der Teilnehmer geschärft werden, indem allgemeine sowie unmittelbare Bedrohungsszenarien dargestellt werden. Die Teilnehmer haben während und nach der Demonstration der Szenarien die Möglichkeit, eigene Erfahrungen zu schildern und Lösungsmöglichkeiten vorzustellen.

Als Ergebnis der Veranstaltung werden wichtige Regeln erarbeitet, wie sich Benutzer von Informationstechnologie gegenüber Angreifern mit leicht umsetzbaren Maßnahmen schützen können.

Kurzbiographie:

Dirk Reimers ist seit Januar 1999 bei der secunet Security Networks AG beschäftigt. Er hat den Standort Hamburg mit aufgebaut und sich bereits zu Beginn seiner Tätigkeit neben der Konzeption von Computer-Notfallteams und Audits nach BSI-Grundschutz intensiv mit Pentests beschäftigt. Seit 2013 leitet er den zu diesem Zeitpunkt gegründeten secunet Bereich Pentest & Forensik und unterstützt mit seinem Expertenteam Kunden beim Auffinden von Schwachstellen bevor es andere tun.

Seine Schwerpunkte liegen auf den Themen technische Sicherheitsanalysen von Windows und Unix-Systemen, der Durchführung von Social Engineering Maßnahmen und der Pre-Forensik.

Jonas Tebroke, secunet Security Networks AG

"Die Hacker kommen! Sind wir noch zu retten?" (Workshop gemeinsam mit Dirk Reimers)

Als Ergebnis der Veranstaltung werden wichtige Regeln erarbeitet, wie sich Benutzer von Informationstechnologie gegenüber Angreifern mit leicht umsetzbaren Maßnahmen schützen können.

Kurzbiographie:

Jonas Tebroke ist seit April 2021 bei der secunet Security Networks AG beschäftigt. Zuvor war er als Berater in der Entwicklungshilfe tätig, unter anderem für die amerikanische Organisation Meds and Food for Kids (MFK) in Haiti. Bei der secunet ist er in seiner Funktion als Referent der Zentralen Vertriebskoordination für die Administration des CRM-Systems, die Koordination und Abwicklung von Ausschreibungs-Projekten, sowie für den Forecast der Umsatzzahlen zuständig. Seit Sommer 2021 ist er Mitglied im Live-Hacking-Team und begeistert mit seiner Show die Zuschauer.

Roman Trentinaglia, Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM Paderborn

"Bedrohungsanalyse-Workshop"

Steigende Vernetzung führt zu immer häufigeren - teils erfolgreichen - Angriffen auf IT-Systeme. Neben immensen Image- und finanziellen Schäden besteht durch zunehmende Internetanbindung von technischen Systemen (z. B. autonome Fahrzeuge oder vernetzte Industriesysteme) außerdem die Gefahr, dass erfolgreiche Angriffe zu Verletzungen bei Menschen führen. Um sich vor solchen Angriffen schützen zu können ist daher eine durchgängige Betrachtung der IT-Sicherheit über den gesamten Entwicklungsprozess eines IT-Systems hinweg (Security-by-Design) essenziell. Insbesondere ist dabei eine frühzeitige Ermittlung potenzieller Bedrohungen essenziell, noch bevor das System implementiert wird. Ein wirksames Mittel zur Erkennung von möglichen Einfallstoren für Angreifer ist die Bedrohungsanalyse. Ziel der Bedrohungsanalyse ist es, Angriffsmöglichkeiten für ein System schon zu Beginn der Entwicklung zu erkennen, indem Schwächen im Systemdesign bereits in der Planungsphase identifiziert werden. Basierend auf einem abstrakten Systemmodell wird dazu das zu entwickelnde System systematisch analysiert und gefundene Bedrohungen dokumentiert. Auf Grundlage der ermittelten Analyseergebnisse lassen sich anschließend geeignete Gegenmaßnahmen bestimmen, die das System absichern und zur Erreichung der Schutzziele beitragen sollen.

In diesem interaktiven Workshop sollen die Teilnehmer eine Einführung in die Bedrohungsanalyse bekommen, indem sie eine solche Analyse an einem Praxisbeispiel eines vernetzten Saugroboters durchführen. Dabei sollen die folgenden drei Zielfragen behandelt werden:

Was sind die Schritte einer Bedrohungsanalyse?
Warum sollte ich Bedrohungsanalysen durchführen?
Wie kann ich sie in meinem Unternehmen/Entwicklungsprozess anwenden und etablieren?

Handout

Kurzbiographie:

Roman Trentinaglia ist wissenschaftlicher Mitarbeiter in der Abteilung Sichere IoT-Systeme des Fraunhofer IEM. Sein Informatik-Studium schloss er im Jahr 2021 an der Universität Paderborn im Themenfeld Security Assurance Cases als Master of Science (M.Sc.) ab. Seit Juni 2021 arbeitet er in der Gruppe Anforderungsanalyse & Entwurf an Projekten mit Partnern u. a. aus den Branchen Maschinen- & Anlagenbau und Automotive. Ein Schwerpunkt solcher Projekte ist die frühe gemeinsame Betrachtung von Safety und Security (Safety & Security by Design).

Link zu den Präsentationen der Referent*innen