Am 01.09.2016 war es wieder soweit. Der 6. Bremer IT-Sicherheitstag wurde mit zahlreichen interessanten Vorträgen rund um das Thema IT-Sicherheit veranstaltet. Das Thema Datenschutz kam dabei aber auch nicht zu kurz. Veranstaltet wurde dieser Tag von „heise“. Um diesen weiterhin relativ kostengünstig zu gestalten, fanden außer offizieller Fachvorträge auch Firmenvorträge von Unternehmen statt, die sich am Sponsoring beteiligt haben. Ich war dabei, am 6. IT-Sicherheitstag in Bremen und gebe ein kurzes inhaltliches Feedback.
Die Themen:
1. Byte trifft Bunker:
Unter dieser Headline stellte Andres Dickehut, Gesellschafter der ColocationIX GmbH vor, wie das Unternehmen derzeit in Bremen ein Rechenzentrum EN50600 konform, mit der höchsten Verfügbarkeitsklasse aufbaut. Interessant ist vor allem der vom Unternehmen ausgewählte Standort. Das Unternehmen kaufte vor ca. 6 Jahren einen Atom-Bunker in Bremen und baut diesen als Rechenzentrum aus. Das Rechenzentrum ist physisch geschützt durch 2 Meter dicke Außenwände, besitzt 5 Etagen die in sich gespiegelt aufgebaut sind, ist über mehrere Zutrittsebenen abgeschottet und besitzt darüber hinaus eine sehr gute Energieeffizienzklasse. Der Ausbau des Rechenzentrums ist noch nicht vollständig abgeschlossen. Die Eröffnung ist für Anfang 2017 geplant.
2. Die Umsetzung von IT-Sicherheit aus Sicht des operativen Datenschutzes
Martin Rost vom „Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein“ nahm in seinen Ausführungen Bezug auf das IT-Sicherheitsgesetz und die EU-Datenschutzgrundverordnung. Er kritisierte insbesondere das IT-Sicherheitsgesetz. Es sei nicht datenschutzkonform und greife somit in die Grundrechte der Bürgerinnen und Bürger ein. Verfügbarkeit, Vertraulichkeit und Integrität als definierte Schutzziele im IT-Sicherheitsgesetz reichen seiner Meinung nach nicht aus. Weiterführende Schutzziele fehlen ihm. Darunter fallen Nichtverkettbarkeit (z.B. Trennung von Systemen/Netzen), Transparenz (z.B. Protokollierung) und Intervenierbarkeit (z.B. Changemanagement). Datenschutz ist nicht gleich Datensicherheit. Datenschutz bedingt immer ein Abwägungsprozess zwischen den Schutzzielen, so Rost. In Konkurrenz stehen aus seiner Sicht demnach:
Verfügbarkeit <–> Vertraulichkeit, Integrität <–> Intervenierbarkeit und Transparenz <–> Nichtverkettbarkeit
Bsp. von Rost: Ein Dokument kann streng vertraulich sein. Demnach sollte es aber nicht ständig (24/7), sondern eher schwer verfügbar sein. (Abwägungsprozess: Verfügbarkeit <–> Vertraulichkeit)
3. Sicherheitsbetrachtung von SAP HANA (Firmenvortrag)
Dipl.- Geophys. Konstantin Gork von der IBS Schreiber GmbH stellte in seinem Vortrag die SAP HANA Datenbank (von SAP selbst gestrickt) vor und referierte über die zu bedenkenden Sicherheitsmerkmale welche bei der Installation, Administration und Modul-Entwicklung zu beachten sind. Angesprochen waren hier eher IT-Administratoren.
4. Cyber-Risiken: erkennen, bewerten, versichern?
Dirk Kalinowski von der AXA Versicherung AG bewies in seinen Ausführungen wieder einmal, dass erst etwas passieren muss bevor man Wert auf Sicherheit legt. Er berichtete in einem historischen Ausflug über die Entwicklung der Cyber-Versicherung. Einen Boom für derartige Versicherungen in Deutschland, grade auch in KUM’s, kam erst auf, als Locky auftauchte. Die Masse der direkt durch Locky und Co betroffenen Endanwender in Unternehmen sorgte gewissermaßen für ein Umdenken, da plötzlich jeder eine innere Eingebung erhielt und bemerkte, dass er persönlich angreifbar ist.
5. Auf einer sicheren Seite – Webseiten Schutz im Internet
Peter Meyer vom eco Verband der Internetwirtschaft e.V. referierte über eine gefährliche aber immer noch recht unbekannte Bedrohung. Die Bedrohung heißt „Malvertising“! Hierbei handelt es sich um Werbeanzeigen, die mit Schadsoftware behaftet sind. Ein weiteres Problem besteht darin, dass Webseiten-Anbieter kaum Einfluss auf die Werbeanzeigen haben.
6. Privileged Access Management – Spielen Sie kein VNC-Roulette (Firmenvortrag)
Elmar Albinger von der Firma Bomgar stellte eine Security-Appliance vor. Mit dieser sollen externe Remotezugriffe besser steuerbar und sicherer sein. Die Appliance dient quasi als zusätzliches Gateway über die die externe Autorisierung und Zugriffberechtigungen gesteuert werden können. Angesprochen waren hier eher IT-Administratoren.
7. Cybersicherheit für die Wirtschaft – Know-how-Diebstahl ist real
Jörg Peine-Paulsen vom Nds. Verfassungsschutz (Wirtschaftsschutz) hielt einen sehr interessanten Vortrag über Wirtschaftsspionage. Er betonte, dass dank Facebook und Co das Spionagegeschäft noch nie so einfach war. Er sprach von Informationsexhibitionismus! Er gab auch einen kurzen Einblick in die Arbeitsweise des Verfassungsschutzes. Maulwürfe sind auch heute noch in vielen Unternehmen unterwegs, die Social Engineering perfekt beherrschen. Insgesamt sensibilisierte er alle Teilnehmer und rief zur Vorsicht auf. Salopp formuliert meinte er, man solle doch ab und zu einfach mal die „Klappe“ halten.
8. Verschlüsselung nach BSI-Vorgaben (Firmenvortrag)
Martin Stengel von dacoso referierte über Verschlüsselung. Dicke Mauern von Serverräumen nützen nichts, wenn die zu übertragenen Daten teilweise unverschlüsselt sind. BSI zertifizierte Verschlüsslung ab Layer 1 Ebene ist gefragt.
9. Cross-Site Scripting: Seit über 16 Jahren mehr als nur ein alert(1)
Marcus Niemietz von der Hackmanit GmbH gab einen historischen Einblick in Cross-Site Scripting und demonstrierte kurz einige Vorgehensweisen.
Fazit: Es lohnt sich!
Der Bremer IT-Sicherheitstag war thematisch sehr aktuell und informativ. Es ist viel Stoff in wenig Zeit vermittelt worden. Informationssicherheit gewinnt immer mehr an Bedeutung und der Markt an IT-Sicherheitsdienstleistungen wächst stetig weiter. Der Bremer IT-Sicherheitstag ist meiner Einschätzung nach immer eine Reise wert.