Intensivlehrgänge für krisensichere Digitalisierung in Wien

DeepSec-Sicherheitskonferenz geht thematisch in die Tiefe und betrachtet kritische Gefahren der IT

© Florian Stocker, Crowes Agency OG

Wien (pts013/24.08.2020/10:05) Die digitale Welt schläft bekanntlich nie. In den letzten Monaten hat sich gezeigt, dass Gesellschaft und Wirtschaft mehr denn je von global vernetzter Technologie abhängig sind. Die weltweite Verbreitung von SARS-CoV-2 hat der Telekommunikation einen enormen Schub gegeben. Das bereits bekannte Home Office, Telekonferenzsysteme und Internetapplikationen mussten physische Treffen überbrücken und den Austausch von Informationen ermöglichen. Im Zuge der sprunghaften ansteigenden Nutzung dieser Technologien wurden natürlich Sicherheitsprobleme entdeckt. Zoom ist ein prominentes Beispiel. Dabei wurde allerdings nur die Spitze des Eisbergs analysiert. Weltweit warten noch viele Schwachstellen auf ihre Entdeckung. Wer daher mehr Digitalisierung fordert, meint damit eigentlich Informationssicherheit. Genau aus diesem Grund möchte die DeepSec-Sicherheitskonferenz im November wie gewohnt dieses Thema in Wien, mit gesundheitlichen Schutzmaßnahmen, bearbeiten. Das vorläufige Programm der Veranstaltung wurde veröffentlicht und bietet spannende Themen.

Digitale Fundamente müssen Lasten tragen

Aufgrund der Maßnahmen gegen die Verbreitung von COVID-19 hatte Telekommunikation eine wichtige Aufgabe. Sie musste Geschäftsprozesse dort unterstützen, wo bisher Treffen im physischen Raum stattfanden. Das hat auch zu Diskussionen über die Informationssicherheit geführt, denn Firmen und Menschen haben Geheimnisse. Abseits der Pandemie hatte vorher beispielsweise kaum jemand verschlüsselte Gruppenvideokonferenzen thematisiert. Unterhaltungen in Gruppen sind technisch anspruchsvoll, weil mehrere Endpunkte sicher und in Echtzeit verbunden werden müssen. Der Zwang Onlinedienste zu verwenden, hat zu einer kritischen Hinterfragung der verwendeten Technologien geführt. Sicherheitstechnisch sucht man Fortschritt vergebens, wenn moderne Infrastruktur bei virtuellen Gesprächen die Sicherheit eines geschlossenen Raumes nicht ersetzt. Treffpunkte bzw. Besprechungsräume in der realen Welt haben lange Tradition - und bei Bedarf entsprechend ausgereifte Sicherheitskonzepte. Im Netz ist dies nach wie vor Neuland. Die im ersten Halbjahr geführten Diskussionen über die Sicherheit aufgrund der gezwungenen Nutzung haben das Bewusstsein für unsichere Lösungen im Alltag gestärkt. Sicherheitsexpertinnen und Sicherheitsexperten sind die Mängel aktueller Software jedoch nicht neu.

Die Eröffnung von Gabriele Kotsis, der neuen Präsidentin der Association for Computing Machinery (ACM), stellt daher auch gleich die Frage, ob die digitale Welt eine Ergänzung oder ein Ersatz für Bestehendes sein kann. Nicht alles lässt sich beliebig austauschen. Darüber hinaus wurde das Internet, was wir jetzt in alltäglichen Bereichen verwenden, ursprünglich als System zum Austausch von Informationen in der Forschung geboren. Mittlerweile erfüllt das Internet viel mehr Aufgaben als die Verteilung von virtuellen Artikeln. Videostreaming, Audio-Anwendungen, vernetzte Unterhaltung, Steuerungssysteme, Nachrichten, Zeitungen, Fahrzeugsteuerung, Telemetrie, Einkaufsstraßen und weit mehr. Frau Kotsis wird den Grat zwischen Ergänzung und Ersatz diskutieren und Wege in die Zukunft skizzieren.

Vorträge zur Weiterbildung

Das Programm der DeepSec bietet neben den Fachvorträgen mehrere Möglichkeiten der Weiterbildung an. Es gibt Präsentationen über die Sicherheit von mobilen Applikationen, das Sicherheitskonzept von Endgeräten und Einblicke in sichere Softwareentwicklung. Alle, die digitale Lösungen implementieren, werden von den Einsichten stark profitieren. Entgegen verbreiteter Meinung kann man Sicherheitslücken nicht erst nach Publikation einer Software finden und bekämpfen. Die Schutzmaßnahmen lassen sich sehr viel früher umsetzen, schon bei der Programmierung selbst. Moderne Entwicklungswerkzeuge bieten Wege, Schwachstellen frühzeitig zu erkennen und diese zu vermeiden.

Die Analyse von Bedrohungen ist ein weiterer Themenfokus. Verteidigung ist nur möglich, wenn man die Gegner kennt. Das Spektrum reicht dabei von digitaler Spionage, Analyse dokumentierter Angriffe bis hin zu systematischen Analyse von Gefahren, um diesen besser begegnen zu können. Dabei ist die Verwendung frei zugänglicher Informationen ein wichtiges Thema. Die Methode der Open Source Intelligence (OSINT) führt diese Informationen einer Klassifikation und Untersuchung zu, die in einem bestimmten Kontext bewertet werden. Der Unterschied zum rein strukturlosen Datensammeln ist die Bewertung und das richtige Zusammensetzen einzelner Puzzlestücke. Robert Sell von Trace Labs gibt in seinem Vortrag Einblick, wie man sich die richtige Vorgehensweise aneignet. Er hält dazu auch ein zweitägiges Training ab, in dem man sich im Details mit diesem Aspekt auseinandersetzen kann. Der Aufwand von OSINT ist im Vergleich zum Nutzen sehr gering, wenn man weiß wie man vorzugehen hat.

Trainings vor der Konferenz

Die DeepSec-Konferenz wird von zweitägigen Trainings begleitet, welche eine Vertiefung in die angebotenen Themengebiete ermöglichen. Dawid Czagan richtet sich als Trainer an Entwicklerinnen und Entwickler, die moderne Applikationen von der Datenbank bis hin zur Weboberfläche entwickeln müssen. Diese Art von Software ist sehr vielschichtig, weil sie von der Server Infrastruktur über das Netzwerk bis hin zum Endgerät Technologien einsetzt die gut verstanden werden müssen. Man nennt dieses Vorgehen daher "Full Stack Development". Dawid Czagan zeigt mit Beispielen echter Anwendungen, wie man Schwachstellen findet und vermeidet.

Darüber hinaus finden sich Themen wie Open Hardware Hacking für das Testen von Sicherheitsmaßnahmen, Open-Source-Intelligence-Analyse, Management von Sicherheitsvorfällen und Absicherung von industriellen Steuerungssystemen im Programmangebot. Alle Schulungen konzentrieren sich auf ein Gebiet, welches in zwei Tagen intensiv bearbeitet wird. Speziell die Sicherheit von Industriesteueranlagen ist ein wichtiges Thema, weil sie auch die kritische Infrastruktur betreffen. Im OSINT-Kurs wird Robert Sell vermitteln, wie man Informationen bekommt, in Beziehung setzt und daraus Nutzen für die Sicherheit das eigene Unternehmens zieht. Während der Konferenz wird es dazu auch einen OSINT-Wettbewerb mit realem Szenario geben.

ICS - Weiterbildung für Industrie

Die Sicherheit von Industrial Control Systems (ICS) ist der Schwerpunkt des "ICS Village" zu diesjährigen DeepSec. Zusammen mit den Experten der Sematicon AG möchten wir allen, die diese Systeme entwickeln und implementieren, einen Austausch mit Expertinnen und Experten aus der Informationssicherheit ermöglichen. Das "ICS Village" dient als Forum, wo Teilnehmende sich direkt untereinander austauschen können. Die Motivation ist die Verbesserung von bestehenden und zukünftigen Designs. Implementationen zu attackieren ist zwar wichtig für die Aufdeckung von Schwachstellen, aber die Arbeit für die echte Informationssicherheit beginnt dann erst. Die DeepSec-Konferenz möchte damit einen wichtigen Beitrag zu sicherer Digitalisierung leisten.

Im Vordergrund steht der Austausch. Sicherheitskonferenzen haben oft den Ruf nur gut in Szene gesetzte Sicherheitslücken zu präsentieren. Die DeepSec-Konferenz geht seit ihrer Gründung immer einen Schritt weiter. Das Finden von Schwachstellen ist nur der erste Schritt. Es geht in Folge darum, wie man Abhilfe schafft, ähnliche Fehler vermeidet und digitale Lösungen sicher entwirft. Nachhaltigkeit ist das Gebot der Stunde, wenn Digitalisierung sicher und verlässlich sein muss. Aus diesem Grunde sind explizit Entwicklerinnen, Techniker, Sicherheitsforscherinnen, Anwender aus der Industrie und Forscherinnen angesprochen. Sicherheit darf nicht pausieren.

Programme und Buchung

Die DeepSec-2020-Konferenztage sind am 19. und 20. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 17. und 18. November, statt. Aufgrund der Beschränkungen für Anreise und eine stabilen Durchführung sind einige der Trainings virtueller Natur (die Details entnehmen Sie bitte aus dem Programm bzw. fragen bei uns direkt nach). Die DeepINTEL-Security-Intelligence-Konferenz findet am 18. November statt. Beide Veranstaltungen werden unter COVID-19-Gesundheitsmaßnahmen durchgeführt, die wir ständig aktualisiert unter diesem Link https://deepsec.net/docs/Counter_Covid-19.pdf publizieren.

Der Veranstaltungsort für die DeepSec- und DeepINTEL-Veranstaltung ist das Hotel The Imperial Riding School Vienna - A Renaissance Hotel, Ungargasse 60, 1030 Wien.

Tickets für die DeepSec-Konferenz selbst und die Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen. Bitte beachten Sie, dass wir aufgrund Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.

Aussender:	DeepSec GmbH
Ansprechpartner:	René Pfeiffer
Tel.:	+43-676-5626390
E-Mail:	deepsec@deepsec.net
Website:	deepsec.net/