Am 28.06.22 fand in Berlin wieder die jährliche Konferenz des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) statt. Die Veranstaltung setzte sich mit den zentralen Themen in der IT-Sicherheit auseinander: IT-Sicherheitspolitik, IT-Sicherheitsstrategien und operative IT-Sicherheit.
Nach einer Begrüßung durch den TeleTrusT-Vorstandsvorsitzenden Prof. Dr. Norbert Pohlmann (Institut für Internet-Sicherheit if(is)), bot Andreas Könen (Bundesministerium des Inneren und für Heimat (BMI)) in seinem Vortrag einen Einstieg in die derzeitige IT-Sicherheitslage aus politischer Sicht. Deutlich wurde, dass viele Cyberangriffe durch eine Umsetzung von Basisanforderungen an die Informationssicherheit die kritischen Auswirkungen darauf schon verhindern könnten, da zwar eine Zunahme von Angriffen, aber nicht unbedingt in allen Fällen eine Weiterentwicklung der Angriffsformen stattgefunden hat. Für die Zukunft sieht der Referent den Weg zur Zero-Trust-Architektur (Netze sind per se nicht vertrauenswürdig, Zugriffe sind nur mit Authentifizierung möglich) als den richtigen Weg an. Zudem müsse IT für kritische Bereiche ausschließlich aus vertrauenswürdigen Quellen stammen. Mit einer kurz vor der Veröffentlichung stehenden Cybersicherheits-Agenda will das BMI in Kürze eine Grundlage schaffen, um IT-Sicherheit auf operativer Ebene zu stärken. Aus Sicht des Referenten müsse außerdem die Kommunikation der einzelnen Akteure untereinander verbessert und zudem die rechtlichen Voraussetzungen geschaffen werden, damit das BSI auch auf Länderebene aktiv werden kann. Die vom Publikum zum Teil geäußerte Notwendigkeit und der Wunsch nach strengeren gesetzlichen Vorgaben für die operative Vorgehensweise von Unternehmen wurde hingegen nicht geteilt.
Im anschließenden Impulsvortrag von Prof. Pohlmann betonte dieser, dass die heute vorhandenen Maßnahmen die Risiken nicht immer angemessen reduzieren und insbesondere Perimetersicherungen allein nicht mehr ausreichen. Zudem müssten die Budgets für IT-Sicherheit deutlich steigen. Im Sinne des von Prof. Pohlmann gebotenen Impulses „Die IT-Sicherheitsstrategie sollte gemeinsam mit allen Stakeholdern definiert und umgesetzt werden“, sprach sodann Dr. Regine Grienberger (Auswärtiges Amt) als Beauftragte für Cyberaußen- und Cybersicherheitspolitik über den Mythos Cyberwar und legte u. a. die bestehende Gefahr aufgrund moderner Kriegsführung dar. Abgeschlossen wurde der erste Themenschwerpunkt durch einen Vortrag von Julia Schütze (Stiftung Neue Verantwortung), welche die Schwierigkeiten der deutschen Cybersicherheitsarchitektur aufzeigte. Eine Visualisierung der staatlichen Cybersicherheitsarchitektur über die Vernetzung von Akteuren auf Landes-, nationaler und internationaler Ebene der Stiftung Neue Verantwortung kann hier abgerufen werden. Die anschließende Diskussion verstärkte den Eindruck, dass ein hohes Bedürfnis an besserer Vernetzung, Vereinheitlichung und einheitlicher Regulierung der Informationssicherheit von öffentlichen Stellen und Unternehmen besteht.
IT-Sicherheitsstrategien waren das zweite Schwerpunktthema der Konferenz. Hierzu wurde eingangs von Dr. André Kudra (esatus, TeleTrusT-Vorstand) die Frage aufgeworfen, wieso wir uns eigentlich mit einer unzureichenden IT-Sicherheit abfinden. Daraus ergab sich die interessante Überlegung, inwieweit eigentlich nur noch nachweisbar sicher einsetzbare IT verkauft werden dürfte und welche weiteren Strategien helfen könnten bzw. zur Verbesserung der Ausgangslage notwendig wären. Dies diente als Einstieg in die weiteren Vorträge, bei denen zunächst von Manuel Kamp (Telekom) die Möglichkeit zur Abwehr von Advanced Ransomware dargestellt wurde. Im Anschluss stellte Dirk große Osterhues (Deutsche Bahn) zunächst das Problem des Reputationsverlustes bei Sicherheitsvorfällen sowie die Schwierigkeit des Schutzes neuer Anwendungsebenen mithilfe der Cloud-Angebote vor, bevor dann Good Practice von Zero-Trust-Ansätzen vorgestellt wurden. Stefan Schlosser (Bundeskanzleramt) bot in seinem Vortrag einen Überblick darüber, was sich in der letzten Legislaturperiode zum Thema Digitalisierung entwickelt hat, bevor er dann noch einen Ausblick für die aktuelle Legislaturperiode gab. Hier standen „Digitale Identitäten“ und der Austausch dazu mit einigen beteiligten Akteuren im Fokus.
Am Nachmittag wurde von Dr. Kim Nguyen (D-Trust, TeleTrusT-Vorstand) zunächst in das Thema der operativen IT-Sicherheit und der Notwendigkeit des Vorhandenseins einer Akzeptanz von Sicherheitsmaßnahmen hingewiesen, ergänzt durch die Vorträge von Marnix Dekker (ENISA) zur NIS Directive, mit der u. a. der Adressatenkreis erweitert und unterschiedliche Anforderungen an die IT-Sicherheit vereinheitlicht werden sollen. Danach folgte ein Beitrag von Dirk Balfanz (Google), der einen spannenden Vortrag zu FIDO Passkeys hielt und u. a. darstellte, warum eine Mehrfaktor-Authentisierung nicht unbedingt zu einer „Phishing-Resistenz“ führt.
Im Anschluss wurde der TeleTrusT-Innovationspreis 2022 für die Lösung „PHYSEC SEAL“ von der PHYSEC GmbH verliehen, mit der durch einen Chip verschiedene Hardware Manipulationen erkannt werden sollen.
Nach der Nachmittagspause folgte von Harmen Zell (Meta) eine Einführung in die Funktionen und Inhalte des Metaverse, bei der die Themen Datenschutz und Informationssicherheit kurz aufgegriffen wurden. Abgeschlossen wurde die Veranstaltung mit einem guten Überblick und sehr kurzweiligen Beitrag von Karsten U. Bartels (HK2 Rechtsanwälte, stellvertretender TeleTrusT-Vorstandsvorsitzender) zu den zurzeit für Deutschland bzw. Europa relevanten IT-Sicherheitsgesetzen.
Alles in allem handelte es sich um einen fachlich sehr interessanten Tag, welcher eine gute Gelegenheit zum Austausch und zur Vernetzung untereinander bot. Das Programm und die verfügbaren Präsentationen der Vortragenden finden Sie hier: TeleTrusT-Konferenz 2022