4. Security Day an der HdM - IT-Security am Ende?

Secure Software Development Lifecycle

By Daniel Kefer, 1&1 Security

Download:

All recordings from the 4. Security Day an der HdM - IT-Security am Ende?

About the 4. Security Day an der HdM - IT-Security am Ende?

When?
On January 16th, 2015
Where?
056 (Aquarium)
Das Wort Disaster ist viel zu schwach um auszudrücken, was in den
letzten beiden Jahren im Bereich der Sicherheit von IT-Systemen
geschehen ist. Gibt es noch eine große Firma, die NICHT wesentliche
Daten verloren hat? Deren Infrastrukturen NICHT erfolgreich angegriffen
wurden, trotz aufwendiger Security Massnahmen? Bürger, die nicht unter
gestohlenen Passwörtern und Kontoinformationen, Phishing Attacken,
Diebstählen aus Clouds etc. zu leiden hatten. Und nicht zuletzt von
staatlichen Stellen direkt oder über den Weg über große Websites in
ihren Grundrechten auf Privatheit aufs Gröbste verletzt wurden? Gibt es
überhaupt noch eine Grenze zwischen Nachrichtendienstlicher Aufklärung,
Industriespionage und Cyber-War durch Sabotage? (Tipp: heute, Montag
12.1.2015 um 23.30: Schlachtfeld Internet,
http://www.daserste.de/information/reportage-dokumentation/dokus/sendung/ndr/12012015-geschichte-im-ersten-schlachtfeld-internet100.html)

Das Ausmass der Schwachstellen innerhalb der IT wird uns erst langsam
bewusst. Umso erstaunlicher ist, dass es daneben - wie auf einem anderen
Planeten - keinen Mangel an zukünftigen IT-Visionen gibt, die noch weit
über alles bisher bekannte hinausgehen. Da fahren Autos autonom über die
Strasse, da soll die Strominfrastruktur komplett über IT-geregelt
werden, da werden Überwachungsmöglichkeiten durch Biometrie,
Videokameras etc. weiter ausgebaut. Und wie soll das Ganze abgesichert
werden? So gut wie alles bisher abgesichert wurde?

Lässt sich überhaupt sichere Software entwickeln? Daniel Kefer von 1&1
wird versuchen, uns diese Frage zu beantworten. Er zeigt uns den bei 1&1
entwickelten Software-Lifecycle zur Entwicklung sicherer Produkte.

Wie lange offensichtliche Schwächen und Lücken existieren können in
fundamentalen Protokollen, dieser Frage widmet sich Prof. Roland Schmitz
in seinem Vortrag zu "Hacking UMTS". Er greift vergangene
Forschungsarbeiten auf und zeigt, dass deren Ergebnisse nach wie vor
relevant sind.

Wie stellt sich das Problem der Sicherheit von Systemen heute in
Großfirmen? Kann man noch von Prävention reden, oder geht es nur noch um
Schadensbegrenzung? Wie funktionieren die hochspezialisierten Angriffe,
die sog. Advanced Persistent Threats, heute? Welche Werkzeuge und
Bausteine kommen zum Einsatz? Kommt nach IT-Security nur noch
IT-Forensik? Moritz Seltmann und Christoph Alscher, beides Alumni der
Medieninformatik der HdM und heute in der Bosch Security tätig, werden
uns einen Überblick über die wichtigsten Attacken der Vergangenheit
sowie aktueller Abwehrmassnahmen geben.

Oder ist IT-Security am Endes sogar Teil des Problems? Was sind
eigentlich Ursachen für die fortwährenden Schwächen der Systeme? Mit
welchen Ausreden konnten sich die Hersteller von IT-Systemen bisher aus
der Verantwortung stehlen? Sind es wirklich die Hacker, die die Probleme
bereiten? Oder sind es am Ende grundlegende Schwächen unserer
Softwareentwicklung, die Attacken und Datenverluste so erleichtern?

Im vierten Vortrag wird sich Prof. Kriha mit diesen Fragen
auseinandersetzen - auf dem Hintergrund von neuen Entwicklungen im
Bereich kritischer Infrastrukturen. IT wird hier in Zukunft einen
Bereich kontrollieren, der für die Gesellschaft essenziell ist, und
dessen Fehler unmittelbar Menschenleben bedrohen. Aber auch auf
individueller Ebene bedrohen Infrastrukturen wie die elektronische
Gesundheitskarte (eGK) im Fehlerfall die wirtschaftliche Existenz von
Bürgern).

Dr. Franz Hein wird ihn in Fragen der Robustheit von Stromnetzen dabei
unterstützen.

Der Talk stellt grundsätzliche Annahmen und Vorgehensweisen der
IT-Security - wie z.B. die Methoden des Risiko-Managements, der
Schuldzuweisungen an Benutzer im Schadensfall etc. in Frage und sucht
nach neuen Wegen für robuste, schadensreduzierende Techniken und Systeme.


Agenda
13.30 Welcome, Prof. Walter Kriha

13.35 "Secure SDLC@1&1: Was alles 1&1 während den einzelnen
Entwicklungsphasen bzgl. Security macht um mit sicheren Produkten an den
Markt zu gehen.", Daniel Kefer, 1&1 Security
Die Folien zu diesem Vortrag finden Sie unter: 
http://de.slideshare.net/1und1/secure-software-development-lifecycle

14.40  Hacking UMTS,  Prof. Dr. Roland Schmitz, Medieninformatik, HdM
Stuttgart

15.15 IT-Sicherheitsvorfälle erkennen und abwehren, Moritz Seltmann,
Christoph Alscher, Bosch Security

16.30 IT-Security am Ende? - Wege aus der Krise der kritischen
Infrastrukturen, Prof. Walter Kriha,
Computer Science and Media, HdM Stuttgart, Dr. Franz Hein, mpc Esslingen

17.30 Ende der Veranstaltung

Der Security Day findet am 16.1.2015 in der Nobelstrasse 10, Stuttgart,
im Raum 056 in der Hochschule der Medien statt. Die Veranstaltung ist
wie immer kostenlos und offen für alle Interessierten. Ein live-stream
und eine Chat-Möglichkeit ist unter http://events.mi.hdm-stuttgart.de
verfügbar.
Bei Fragen können Sie sich gerne an Prof. Kriha unter
kriha@hdm-stuttgart.de wenden.