Referent*innen beim 17. Paderborner Tag der IT-Sicherheit
Kurzvorstellung unserer Referent*innen beim diesjährigen Paderborner Tag der IT-Sicherheit (in alphabetischer Reihenfolge, Seite im Aufbau):
Keynotes und Vorträge
"How to support Developers in engineering secure Software"
Despite the security community's efforts, we are seeing a persistent gap between the theoretical security of e.g. cryptographic algorithms and real world vulnerabilities, data-breaches and possible attacks. Previous research revealed that many developers – despite being computer experts – are rarely security experts. During the development process, programmers have to make choices that impact the security and privacy of the software’s users. This talk will give an overview of security challenges for programmers, research challenges for the security community, as well as concrete steps for practitioners to leverage the human factor for software security.
Kurzbiographie:
Yasemin Acar (she/her) is a professor of computer science at Paderborn University, Germany, and a research assistant professor at The George Washington University. She focuses on human factors in computer security. Her research centers humans, their comprehension, behaviors, wishes and needs. She aims to better understand how software can enhance users’ lives without putting their data at risk. Her recent focus has been on human factors in secure development, investigating how to help software developers implement secure software development practices. Her research has shown that working with developers on these issues can resolve problems before they ever affect end users. Her research has won distinguished paper awards at IEEE Security and Privacy and a NSA best cyber security paper competition. Her web page: https://yaseminacar.de.
"Designing Security and Privacy for Everyone"
Living a secure digital life is not easy. Users need to deal with hundreds of passwords, ubiquitous cookie consent notices, and verbose privacy policies, among other complex security settings, to get their tasks done. This low usability of cybersecurity technologies is a well-known barrier to adoption, which translates into users being frequently hacked, phished, or victims of targeted attacks and privacy abuses. In this talk I will cover problems in achieving usable security and privacy for everybody, present state-of-the art research, and discuss open challenges.
Kurzbiographie:
Patricia Arias-Cabarcos is Professor of IT Security at Paderborn University (UPB) and Principal Investigator at KASTEL. Her research interests are in the area of human-centered security and privacy, with a current focus on usable authentication, novel biometrics, behavioral data protection, and data-driven transparency. The vision guiding her research group is that people should not get cognitive stress, nor need to have deep technical knowledge, to be able to live a secure digital life. Prior to UPB, she was a senior researcher at Karlsruhe Institute of Technology (2019-2021), Humboldt Fellow at Universität Mannheim (2017-2019), and Assistant Professor (2013-2018) at University Carlos III of Madrid (Spain).
"Gelebte Cyber Resilience - Das Zusammenspiel Security Architektur und Organisation" (Keynote zusammen mit Dr. Matthias Voigt, Westfalen AG, Münster)
Im Januar 2021 wurde die Westfalen AG Opfer einer Ransomware Attacke. Seitdem ist in der IT und dem gesamten Unternehmen viel passiert: Für den Umgang mit dem Cyberangriff wurde Dr. Matthias Voigt mit dem Cyber Resilience Award, CIO des Jahres 2022, ausgezeichnet. In seinem Vortrag spricht er über den Vorfall und darüber, was die Westfalen IT daraus gemacht hat. Augenmerk liegt dabei auf den Lessons Learned, der neu erschaffenen Security Architektur sowie den aktuellen Themen, die die Security Organisation umtreibt. Andreas Eckey spricht zum Setup des ISMS der Westfalen AG und zum Dialog mit Vorstand und Geschäftsleitung zum Thema IT Sicherheit.
"Trust as a Service: Hardware Security Modules and the Movement to the Cloud"
In this talk we will give a high level overview of what Cloud security encompasses, the benefits and risks that need be addressed by other means than on-premise. For this we take a look at hardware security modules, what they are (your secure way of storing and handling cryptographic keys and doing cryptography like digital signatures with them), why they are used and how they can be utilized in a Cloud infrastructure. As concrete examples we talk about HSM as a Service, bring your own key, hold your own key and how this maps on something like AWS and classical applications like database encryption. Additionally we talk about current security and cryptography challenges/trends from the perspective of a hardware security module vendor.
Kurzbiographie:
Fabian Eidens recently finished his PhD at the Paderborn University at the end of 2022. He was a member of the Codes and Cryptography Group of Prof. Dr. Johannes Blömer and his research focus is privacy-preserving cryptography in the area of digital signatures and attribute-based authentication schemes. Since the beginning of this year he is a Technology Manager at Utimaco where his responsibilities range from innovation, research, and security to cryptography for the next generation of hardware security modules.
"Risiko Quantencomputing - Was ist zu tun"
Der Vortrag diskutiert die Notwendigkeit einer Migration zu quantensicherer Kryptografie. Es werden die Ergebnisse einer gemeinsamen Umfrage von BSI und KPMG vorgestellt, die gezeigt hat, dass das Bewusstsein und der Umsetzungsstand in deutschen Unternehmen bei diesem Thema noch nicht sehr ausgeprägt sind. Er geht zudem auf Empfehlungen des BSI zu quantensicherer Kryptografie ein.
Der Vortrag richtet sich an alle, die sich mit der Frage auseinandersetzen, ob und wann klassische kryptografische Verfahren auf quantensichere Alternativen migriert werden müssen. Und insbesondere an alle, die das noch nicht tun. Im Vortrag wird dargestellt, warum es wichtig ist sich mit dieser Frage auseinander zu setzen, was dabei bereits getan wird und noch getan werden kann und welche Empfehlungen das BSI diesbezüglich macht.
Es werden keine besonderen Vorkenntnisse benötigt. Ein gewisses Grundverständnis zum Thema Kryptografie ist hilfreich, aber nicht erforderlich.
Kurzbiographie:
Heike Hagemeier studierte Mathematik an der Universität zu Köln. Sie promovierte im Jahr 2010 an der Technischen Universität Darmstadt in reiner Mathematik. Seit 2010 arbeitet sie im Bundesamt für Sicherheit in der Informationstechnik, zunächst als Referentin im Referat "Vorgaben an und Entwicklung von Kryptoverfahren". Dort beschäftigte sie sich über 10 Jahre lang hauptsächlich mit verschiedenen Aspekten der (Post-Quanten-)Kryptografie, beispielsweise der Auswahl von geeigneten Verfahren oder der Integration in kryptografische Protokolle. Seit Anfang 2022 arbeitet sie im Referat „Technologie- und Forschungsstrategie“. Dort arbeitet sie u.a. in der Forschungskoordinierung, speziell im Bereich der Quantentechnologien. Sie leitet die Aktualisierung der BSI-Studie „Entwicklungsstand Quantencomputer“ und ist - in Kooperation mit der PTB – an der Koordination des „Schirmprojekt Quantenkommunikation Deutschland (SQuaD)“ beteiligt.
"Erfahrungsbericht: Effektiver Schutz und Umgang mit Ransomware Angriffen"
Cyberrisiken gehören zu den Top Risiken von Unternehmen weltweit und können enorme Schaden verursachen1. Nahezu täglich finden sich Presseberichte von Unternehmen und Organisationen, welche Opfer von Cyberkriminellen geraten sind. Diese Art von Cyberangriffen kann verheerende Auswirkungen haben und zu erheblichem Datenverlust, Betriebsunterbrechungen und finanziellen Schäden führen. Daher ist es von entscheidender Bedeutung, sich effektiv vor Ransomware-Angriffen zu schützen und die richtigen Schritte zu kennen, um mit ihnen umzugehen, falls sie auftreten. In diesem Vortrag werden wir einen Erfahrungsbericht über den Schutz und Umgang mit Ransomware-Angriffen präsentieren. Wir werden Einblicke in bewährte Sicherheitspraktiken geben, die Unternehmen und Einzelpersonen implementieren können, um das Risiko von Ransomware-Angriffen zu minimieren. Darüber hinaus werden wir die notwendigen Schritte erläutern, die unternommen werden sollten, um den Schaden zu begrenzen und sich von einem Angriff zu erholen. Inhalte des Vortrags:
1. Einführung in Ransomware: Definition, Funktionsweise und Verbreitung
2. Erfahrungsbericht: Realer Fall eines Ransomware-Angriffs
3. Prävention von Ransomware-Angriffen
Im Rahmen des Vortrages wird auf die Vorgehensweise von Angreifern eingegangen und es werden effektive Schutzmaßnahmen beleuchtet.
Zielgruppe: Der Vortrag richtet sich an Unternehmen, IT-Experten, Sicherheitsbeauftragte und Einzelpersonen, die sich für den Schutz vor Ransomware-Angriffen interessieren. Keine spezifischen technischen Kenntnisse sind erforderlich, um von den vorgestellten Informationen zu profitieren.
Erwartete Ergebnisse: Nach dem Vortrag werden die Teilnehmer ein besseres Verständnis für die Risiken von Ransomware-Angriffen haben und konkrete Maßnahmen kennen, um sich effektiv vor solchen Angriffen zu schützen.
Kurzbiographie:
Tim Philipp Schäfers ist Whitehat-Hacker und IT-Sicherheitsexperte. Er berät Organisationen in den Bereichen Bereich IT- und Informationssicherheit und ist gefragter Experte zu den Themen in Funk/Fernsehen. Schäfers ist Mitgründer des Webprojektes "Internetwache.org". Zudem ist er Dozent für IT-Security & Risikomanagement und Technical Security an der FHDW in Paderborn und Bielefeld. Schäfers konnte gravierende Sicherheitslücken bei Unternehmen wie PayPal, Facebook, Google, der deutschen Telekom und vielen weiteren Unternehmen verantwortlich aufdecken. Schäfers hält regelmäßig Vorträge zu den Themen IT-Security und Risikomanagement. Seine Fachbereiche decken klassische Websecurity, WLAN-Sicherheit, IoT-Security, ICS-Security und IT- und Risikomanagement ab. Seit Ende 2015 schreibt Schäfers zudem über die Themen IT-Sicherheit und Privatsphäre auf dem Web-Portal golem.de. Er ist "lifetime member" des Open Web Application Security Project (OWASP). 2017 wurde Schäfers zum Junior-Fellow der Gesellschaft für Informatik (GI) ernannt. Bei der OEDIV Oetker Daten- und Informationsverarbeitung KG ist Schäfers als Teamleiter des Security Development Center tätig und entwickelt dort innovative Security Lösungen. Darüber hinaus unterstützen er und seine Kollegen Kunden bei schwerwiegenden Sicherheitsvorfällen.
Webseite zum Buch "Hacking im Web": hacking-im-web.de
Webseite zum Buch "WLAN Hacking": wlan-hacking.de
Webseite zum Autor: tim-philipp-schaefers.de
"Compliance-Pflichten nach dem Cyber Resilience Act (CRA) - eine Einordnung in den Normendschungel der EU"
Am 16.12.2020 stellte die EU ihre neue Cybersicherheitsstrategie für das digitale Jahrzehnt vor, denn Hardware- und Softwareprodukte sind zunehmend Ziele von Cyberangriffen, was laut EU-Kommission zu geschätzten globalen jährlichen Kosten der Cyberkriminalität i.H.v. 5,5 Billionen Euro bis 2021 führte. Hintergrund der Cyberangriffe sind unter anderem Schwachstellen, inkonsistente oder unzureichende Bereitstellung von Sicherheitsupdates sowie unzureichende Informationen für Benutzer.
Produkte mit digitalen Elementen sollen zukünftig nach dem Cyber Resilience Act (CRA) einer besonderen Regulierung unterliegen. Hersteller, Importeure und Händler treffen danach umfangreiche Verpflichtungen. Der Vortrag wird Sie insbesondere über den Anwendungsbereich diese Gesetzesvorhabens und die erweiterten Compliance-Pflichten informieren.
Kurzbiographie:
- Fachanwältin für Informationstechnologierecht
- Dozentin der Nordakademie
- Datenschutzbeauftragte
Rechtsanwältin Carola Sieling ist Spezialistin auf dem Gebiet des IT- und Internetrechts. Sie beherrscht nicht nur das Handwerkszeug einer Rechtsanwältin, sondern verfügt über ausgezeichnete technische Kenntnisse, die für eine rechtliche Beratung im IT-Recht unablässig sind.
"Insights into the Relationship between encoded Attributes in Face Recognition Systems and their Operational Performance"
Biometric verification refers to the automatic verification of a person’s identity based on their behavioral and biological characteristics. Among various biometric modalities, the face is one of the most widely used since it is easily acquirable in unconstrained environments and provides a strong uniqueness. In recent years, face recognition systems spread worldwide and are increasingly involved in critical decision-making processes such as finance, public security, and forensics. The growing effect of these systems on everybody’s daily life is driven by the strong enhancements in their recognition performance. These advances are based on the adaptation of AI techniques for face recognition. However, the success of these techniques comes at the cost of several concerns, such as regarding privacy, fairness, and reliability. This talk will describe how AI-based face recognition works and investigates some of the current challenges it faces.
Kurzbiographie:
Dr. Philipp Terhörst is a research group leader at Paderborn University working on “Responsible AI for Biometrics”. He received his Ph.D. in computer science in 2021 from the Technical University of Darmstadt for his work on “Mitigating Soft-Biometric Driven Bias and Privacy Concerns in Face Recognition Systems” and worked at the Fraunhofer IGD from 2017 to 2022. He was also an ERCIM fellow at the Norwegian University of Science and Technology funded by the European Research Consortium for Informatics and Mathematics. His interest lies in responsible machine learning algorithms in the context of biometrics. This includes the topics of fairness, privacy, explainability, uncertainty, and confidence. Dr. Terhörst is the author of several publications in conferences and journals such as CVPR and IEEE TIFS and regularly works as a reviewer for e.g. TPAMI, TIP, Nature Medicine, PR, BTAS, ICB. For his scientific work, he received several awards such as from the European Association for Biometrics and the International Joint Conference for Biometrics. He furthermore participated in the ’Software Campus’ Program, a management program of the German Federal Ministry of Education and Research (BMBF).
"Gelebte Cyber Resilience - Das Zusammenspiel Security Architektur und Organisation" (Keynote zusammen mit Andreas Eckey, Westfalen AG, Münster)
Im Januar 2021 wurde die Westfalen AG Opfer einer Ransomware Attacke. Seitdem ist in der IT und dem gesamten Unternehmen viel passiert: Für den Umgang mit dem Cyberangriff wurde Dr. Matthias Voigt mit dem Cyber Resilience Award, CIO des Jahres 2022, ausgezeichnet. In seinem Vortrag spricht er über den Vorfall und darüber, was die Westfalen IT daraus gemacht hat. Augenmerk liegt dabei auf den Lessons Learned, der neu erschaffenen Security Architektur sowie den aktuellen Themen, die die Security Organisation umtreibt. Andreas Eckey spricht zum Setup des ISMS der Westfalen AG und zum Dialog mit Vorstand und Geschäftsleitung zum Thema IT Sicherheit.
Kurzbiographie:
Dr. Matthias Voigt leitet seit 2019 die IT der Westfalen Gruppe und ist Mitglied der Geschäftsleitung. Für seinen Umgang mit einer Ransomware Attacke wurde er mit dem Cyber Resilience Award, CIO des Jahres 2022, ausgezeichnet. Davor war er als Senior Manager in der strategischen IT-Beratung tätig, begleitete internationale IT- und Prozessmanagement-Projekte in der anwendungsorientierten Forschung und war Geschäftsführer eines Web Design Startups. Matthias hat in der Wirtschaftsinformatik zum Thema Business Process Management und Innovationsmanagement promoviert.
"Fuzzing with <Structured> Inputs"
In recent years, testing with random data ("fuzzing") has become the prime method to detect bugs and vulnerabilities in software systems: Fire a fuzzer on the system under test, wait for 24 hours, and bring in the bugs. Most of today's fuzz inputs are invalid and therefore do not get beyond input parsers. But what happens if we teach the fuzzer the input language of a system, such that it can produce valid inputs by the millions – valid inputs that exercise and test lots of the program's functionality? In this talk, I show how to create complex structured inputs for business and administrative systems easily, and I give some first impressions on what these inputs can do. Includes live coding. Some results may be scary.
Kurzbiographie:
Andreas Zeller (andreas-zeller.info) is faculty at the CISPA Helmholtz Center for Information Security and professor for Software Engineering at Saarland University. His research on automated debugging, mining software archives, specification mining, and security testing has won several awards for its impact in academia and industry. Zeller is an ACM Fellow, holds an ACM SIGSOFT Outstanding Research Award, and has won two ERC Advanced Grants, Europe’s highest funding for individual researchers. Check out his Fuzzing Book (fuzzingbook.org) to learn about automated test generation.
Workshops
"Cybersicherheit & Kleinstunternehmen":
Allein in NRW gibt es über 750.000 kleine und mittlere Unternehmen, rund 85% der Betriebe haben weniger als 10 Angestellte. Kaum eins dieser Unternehmen hat eigene IT-Sicherheitsexperten, geschweige eine eigene IT-Abteilung. Und auch ein klassischer IT-Verantwortlicher ist bei Kleinstunternehmen eher eine Seltenheit. Doch die Digitalisierung hat in fast allen Betrieben längst Einzug erhalten und damit auch die Bedrohung durch Cyberangriffe.
Ein Ziel des Workshops ist es bei Anbietern, Dienstleistern, Forschenden und Studierenden ein Bewusstsein für diese oft vernachlässigte Zielgruppe zu schaffen.
Sebastian Barchnicki von DIGITAL.SICHER.NRW berichtet darüber, wie diese Betriebe digital aufgestellt sind, wer sich dort um die IT-Sicherheit kümmert, wie es um das Fachwissen bestellt ist, welche Erfahrungen mit der IT-Sicherheitsanbieterlandschaft gemacht wurden, wie Kleinstunternehmen anzusprechen sind und was diese Zielgruppe von der IT-Branche braucht und erwartet. Teil des Workshops ist ein aktiver Austausch zu eigenen Erfahrungen der Workshop-Teilnehmer mit dieser Zielgruppe und eine Diskussion, wie sich das Thema Digitale Sicherheit besser gegenüber dieser Zielgruppe adressieren lässt.
Weitere Themen des Workshops sind ein Einblick, wer die Cyberkriminellen eigentlich sind, wie diese vorgehen, aber auch mit welchen einfachen Basis-Maßnahmen sich Kleine-und Kleinstunternehmen vor Cyberangriffen schützen können. Dazu gehört auch das Förderprogramm MID-Digitale Sicherheit, bei dem Unternehmen bis 15.000 EUR Förderung für Maßnahmen rund um die Cybersicherheit vom Land NRW erhalten können.
Kurzbiographie:
Sebastian Barchnicki ist Sprecher der Geschäftsführung bei DIGITAL.SICHER.NRW und unterstützt kleine und mittlere Unternehmen (KMU) in Nordrhein-Westfalen kostenfrei bei der Verbesserung ihrer digitalen Sicherheit, verbunden mit schnellem und unkompliziertem Zugang zu praxisorientierten Informationen und Ressourcen. Digital – Aber sicher! Aus NRW. Für NRW. (https://www.digital-sicher.nrw/)
"Incident Response":
In der heutigen Zeit, gerade mit Blick auf die Sicherheitslage, wird das Thema Incident Response für Organisationen aller Art immer wichtiger. Im Rahmen dieses Workshops werden wir daher die Vorgehensweise bei einem Sicherheitsvorfall, angelehnt an die Empfehlungen des BSI im Rahmen des Zertifizierungsprogramms zum Vorfall Experten und den SANS IR-Life Cycle näher beleuchten. Dabei werden wir einen exemplarischen Sicherheitsvorfall genauer betrachten und hier über die „Preparation“ bis hin zum letzten Schritt „Lessons Learned“ eine Vorfall-Bearbeitung durchgehen.
Kurzbiographie:
Christian Bauer ist seit 2015 in der IT Beschäftigt. Bis 2020 hat er dabei Erfahrung in der Administration und der Software-Entwicklung gesammelt und ist seit 2020 im Bereich Informationssicherheit und Incident Response tätig. Erst in der Rolle des Internen Sicherheitsbeauftragten ist er seit 2022 als Sicherheitsberater mit Fokus auf Incident Response bei der neam IT-Services GmbH beschäftigt. Seine Schwerpunkte liegen dabei auf den Themen BSI IT-Grundschutz, Incident Response und der Tätigkeit als Trainer für unter anderem BSI Vorfall Experten und Vorfall Praktiker.
„Können Ihre Mitarbeitenden den nächsten Cyberangriff abwehren? Der Test und Weg zur starken Human Firewall“ (Workshop gemeinsam mit Florian Schütz)
Kürzliche Cyber-Angriffe haben eindrucksvoll gezeigt, dass die Mitarbeitenden die zentrale Schwachstelle sind, über die im Jahr 2022 sogar 82 % der Cyber-Angriffe realisiert wurden. Somit ist es für Unternehmen von höchster Relevanz, ihre Mitarbeitenden gezielt auf die Cyber-Angriff-Abwehr zu schulen. Viele Unternehmen versuchen, diese Relevanz bereits durch den Einsatz von Cybersecurity-Maßnahmen zu adressieren und geben hierfür im Jahr durchschnittlich 142 EUR pro Mitarbeitenden aus. Dennoch ist die Zahl der Cyber-Angriffe steigend. Dadurch lässt sich ableiten, dass die von Unternehmen eingesetzten Trainingsmaßnahnamen nicht die gewünschten Trainingserfolge erzielen. Gründe hierfür sind die fehlende Passgenauigkeit sowie eine fehlende Nachhaltigkeit in der Sensibilisierung der Mitarbeitenden. Dies ist unter anderem darauf zurückzuführen, dass die auf dem Markt verfügbaren Trainings häufig unzureichend die Anforderungen spezifischer Branchen, Organisationsarten/-größen sowie Berufsbilder berücksichtigen. Im Rahmen dieses Workshops zeigen die Referierenden auf, wie der Trainingsbedarf von Mitarbeitenden mittels IT-Sicherheitskompetenztests gezielter bestimmt werden kann und wie ITSicherheitstrainings somit nachhaltig gestaltet werden. Insbesondere für Entscheidungsträger in KMUs werden Lösungen vorgestellt, um die individuellen Informationssicherheitsfähigkeiten Ihrer Mitarbeitenden zu erheben und diese zielgerichtet zu schulen. Die passgenaue Auswahl von IT-Sicherheitstrainingsmaßnahmen auf Basis der Vorqualifikation und Stellenanforderung der einzelnen Mitarbeitenden kann dabei zur Effizienz- und Effektivitätssteigerung im Bereich IT-Sicherheit der jeweiligen Organisationen beitragen.
Kurzbiographie:
Dr. Kristin Masuch ist Leiterin der Forschungsgruppe „Enterprise Cybersecurity” an der Georg-August-Universität in Göttingen und zertifizierte ISO/IEC 27001 Practitioner. Weiterhin leitet sie die Projekte „KISK” und „ITS.kompetent“, welche das Ziel verfolgen innovative und nachhaltige Cybersecurity-Messung und -Maßnahmen für KMUs und Krankenhäuser zu entwickeln. Ihre Promotion, diee sich mit Krisenstrategien nach einem Data Breach beschäftigte, schloss Sie im Jahr 2022 ab. Ihre aktuellen Forschungsschwerpunkte sind das Crisis Management, die Disaster Recovery Strategies und die innovativen „Security, Training, Awareness, and Education” (SETA) Maßnahmen. Zusätzlich ist sie freiberuflich in Beratungsprojekten tätig, in denen individuelle und zielgerichtete Cybersecurity-Maßnahmen entwickelt werden.
"Wie sicher ist mein TLS? TLS-Konfigurationen und Implementierungen mit Open-Source-Tools evaluieren" (Workshop gemeinsam mit Conrad Schmidt, Hackmanit GmbH, Bochum)
Ob Web, Mail, Telefonie, Chat oder VPN – es gibt kaum eine Kommunikationsart, die nicht auch mit TLS verschlüsselt wird. TLS zu verwenden ist jedoch nicht immer trivial. Es existieren unterschiedliche TLS-Versionen, die diverse kryptographische Algorithmen, Transportmechanismen oder Erweiterungen unterstützen. Durch die Komplexität des TLS-Protokolls gibt es viele verschiedene Angriffe, die TLS-Konfigurationen und TLS-Implementierungen negativ beeinträchtigen können.
In diesem Hands-On Workshop werden wir zunächst auf das TLS-Protokoll eingehen. Dabei werden wir High-Level zeigen, wie TLS funktioniert, welche Versionen es gibt und wie Cipher-Suites zusammengestellt werden. Anschließend werden wir unser Open-Source Tool TLS-Scanner vorstellen. TLS-Scanner ermöglicht es den Administrator*innen die Sicherheit von TLS-Servern oder TLS-Clients dynamisch zu evaluieren. Im nächsten Teil des Workshops stellen wir unser Open-Source Tool TLS-Anvil vor. TLS-Anvil wird im Rahmen des BMBF-Projektes KoTeBi entwickelt, dessen Ziel es ist, automatisierte Testmethoden zu entwickeln und sie praktisch in einer Testsuite umzusetzen. Unsere Testsuite ist für den Einsatz durch Entwickler*innen sowie Prüfinstitute geeignet, um TLS-Implementierungen im Hinblick auf Sicherheit und Interoperabilität zu testen.
Kurzbiographie:
Niklas Niere ist Doktorand am Lehrstuhl "Systemsicherheit" der Universität Paderborn unter Prof. Dr. Juraj Somorovsky. Er schloss sein Studium der IT-Sicherheit 2022 an der Ruhr-Universität Bochum ab. Während des Studiums arbeitete er am Lehrstuhl Netz- und Datensicherheit rund um die Entwicklung des TLS-Attacker Frameworks. Die dort gewonnene Fachkenntnis über TLS nutzt er in seiner jetzigen Forschung zu TLS-Sicherheit und Internetzensur.
"Wie sicher ist mein TLS? TLS-Konfigurationen und Implementierungen mit Open-Source-Tools evaluieren" (Workshop gemeinsam mit Niklas Niere, Universität Paderborn)
Ob Web, Mail, Telefonie, Chat oder VPN – es gibt kaum eine Kommunikationsart, die nicht auch mit TLS verschlüsselt wird. TLS zu verwenden ist jedoch nicht immer trivial. Es existieren unterschiedliche TLS-Versionen, die diverse kryptographische Algorithmen, Transportmechanismen oder Erweiterungen unterstützen. Durch die Komplexität des TLS-Protokolls gibt es viele verschiedene Angriffe, die TLS-Konfigurationen und TLS-Implementierungen negativ beeinträchtigen können.
In diesem Hands-On Workshop werden wir zunächst auf das TLS-Protokoll eingehen. Dabei werden wir High-Level zeigen, wie TLS funktioniert, welche Versionen es gibt und wie Cipher-Suites zusammengestellt werden. Anschließend werden wir unser Open-Source Tool TLS-Scanner vorstellen. TLS-Scanner ermöglicht es den Administrator*innen die Sicherheit von TLS-Servern oder TLS-Clients dynamisch zu evaluieren. Im nächsten Teil des Workshops stellen wir unser Open-Source Tool TLS-Anvil vor. TLS-Anvil wird im Rahmen des BMBF-Projektes KoTeBi entwickelt, dessen Ziel es ist, automatisierte Testmethoden zu entwickeln und sie praktisch in einer Testsuite umzusetzen. Unsere Testsuite ist für den Einsatz durch Entwickler*innen sowie Prüfinstitute geeignet, um TLS-Implementierungen im Hinblick auf Sicherheit und Interoperabilität zu testen.
Kurzbiographie:
Conrad Schmidt ist IT-Security Entwickler im Projekt KoTeBi bei Hackmanit. Er arbeitete bereits während seines Studiums an der Ruhr-Universität-Bochum am TLS-Attacker und TLS-Scanner Projekt mit und forschte unter anderem an DTLS 1.3. Inzwischen arbeitet er am TLS-Anvil Projekt und treibt die Entwicklung in Bezug auf KoTeBi voran.
"Securing the Software Supply Chain"
In der modernen Softwareentwicklung geht es nicht mehr nur darum, Programmcode zu schreiben. Um die Time-to-Market so kurz wie möglich zu halten, greift man vermehrt auf externe vorentwickelte Softwarebibliotheken zurück, die als Open-Source Dependencies bezeichnet werden. Diese ermöglichen eine schnelle Umsetzung einzelner Programmfunktionen. Dieser Trend führt dazu, dass der Großteil des entwickelten Softwareprodukts nicht mehr selbst entwickelt wird, sondern aus externem Programmcode besteht. Dies kann zu erheblichen Sicherheitsproblemen führen. Neben der Inklusion von Open-Source Dependencies mit Schwachstellen, welche bereits unter den OWASP Top Ten zu finden ist, wird zudem die Software Supply Chain der Software erweitert. So wird die Supply Chain um das Herunterladen, Installieren und in einigen Fällen das Kompilieren von Open-Source Dependencies erweitert. All diese Punkte müssen sicherheitskritisch betrachtet werden, da diese ansonsten zur Erweiterung der Angriffsfläche des Softwareprodukts beitragen können.
Dieser Workshop wird sich mit den folgenden Fragen auseinander setzen:
- Was sind Open-Source Dependencies und wie werden diese inkludiert?
- Welchen Impact können Schwachstellen in Open-Source Dependencies auf das Endprodukt haben?
- Welche Lösungen existieren um solche Schwachstellen zu identifizieren und wo stoßen bestehende Lösungen an ihre Grenzen?
- Warum sind Updates auf neuere Open-Source Dependency Versionen nicht immer möglich?
- Welche sonstigen Schwachstellen und Angriffsvektoren bietet die Software Supply Chain?
Kurzbiographie:
Stefan Schott ist wissenschaftlicher Mitarbeiter der von Prof. Eric Bodden geleiteten Secure Software Engineering Forschungsgruppe an der Universität Paderborn. Sein Informatik-Studium schloss er im Jahr 2021 an der Universität Paderborn im Themenfeld Static Analysis Benchmarking als Master of Science (M.Sc.) ab. Seit November 2021 forscht er im Bereich der Software Supply Chain Security, besonders im Bereich der Erkennung von Schwachstellen in inkludierten Open-Source Bibliotheken, welche nur in modifizierter Form vorliegen.
„Können Ihre Mitarbeitenden den nächsten Cyberangriff abwehren? Der Test und Weg zur starken Human Firewall“ (Workshop gemeinsam mit Dr. Kristin Masuch)
Kürzliche Cyber-Angriffe haben eindrucksvoll gezeigt, dass die Mitarbeitenden die zentrale Schwachstelle sind, über die im Jahr 2022 sogar 82 % der Cyber-Angriffe realisiert wurden. Somit ist es für Unternehmen von höchster Relevanz, ihre Mitarbeitenden gezielt auf die Cyber-Angriff-Abwehr zu schulen. Viele Unternehmen versuchen, diese Relevanz bereits durch den Einsatz von Cybersecurity-Maßnahmen zu adressieren und geben hierfür im Jahr durchschnittlich 142 EUR pro Mitarbeitenden aus. Dennoch ist die Zahl der Cyber-Angriffe steigend. Dadurch lässt sich ableiten, dass die von Unternehmen eingesetzten Trainingsmaßnahnamen nicht die gewünschten Trainingserfolge erzielen. Gründe hierfür sind die fehlende Passgenauigkeit sowie eine fehlende Nachhaltigkeit in der Sensibilisierung der Mitarbeitenden. Dies ist unter anderem darauf zurückzuführen, dass die auf dem Markt verfügbaren Trainings häufig unzureichend die Anforderungen spezifischer Branchen, Organisationsarten/-größen sowie Berufsbilder berücksichtigen. Im Rahmen dieses Workshops zeigen die Referierenden auf, wie der Trainingsbedarf von Mitarbeitenden mittels IT-Sicherheitskompetenztests gezielter bestimmt werden kann und wie ITSicherheitstrainings somit nachhaltig gestaltet werden. Insbesondere für Entscheidungsträger in KMUs werden Lösungen vorgestellt, um die individuellen Informationssicherheitsfähigkeiten Ihrer Mitarbeitenden zu erheben und diese zielgerichtet zu schulen. Die passgenaue Auswahl von IT-Sicherheitstrainingsmaßnahmen auf Basis der Vorqualifikation und Stellenanforderung der einzelnen Mitarbeitenden kann dabei zur Effizienz- und Effektivitätssteigerung im Bereich IT-Sicherheit der jeweiligen Organisationen beitragen.
Kurzbiographie:
Florian Schütz, M.Sc., ist wissenschaftlicher Mitarbeiter in der Forschungsgruppe für Informationssicherheit und Compliance an der Georg-August-Universität Göttingen. Er schloss im Jahr 2021 sein Studium der Wirtschaftsinformatik an der Otto-Friedrich-Universität Bamberg ab und forscht seitdem im Bereich Informationssicherheit mit den Schwerpunkten IT-Sicherheitskompetenz und Cyber-Versicherung. Er ist Experte im Bereich Information Security Management Systems sowie zertifizierter DGQ-Qualitätsmanagementbeauftragter. An der Dualen Hochschule Baden-Württemberg ist er ferner als Dozent und Betreuer von Praxisarbeiten tätig.
