Die heise Security Tour 2013

Heise Zeitschriften Verlag GmbH & Co.KG

Gastwerk Hotel Hamburg

Beginn: Mittwoch, 29.05.2013 um 08:00

Ende: Donnerstag, 13.06.2013 um 18:00

    Agenda
     
     
    08:00 - 09:30 Uhr

    Registrierung der Teilnehmer
    __________________________________________________________________________
     
    08:15 - 09:15 Uhr                                                                      Mehr Info hier
     
    Websense Business Breakfast (optional)
    __________________________________________________________________________
     
    09:30 - 09:40 Uhr

    Eröffnung der Konferenz und Begrüßung
    Christoph Wegener, Programmleiter der Konferenz
    __________________________________________________________________________
     
    09:40 - 10:25 Uhr
     
    Beyond MDM: Ein Blick über den Tellerrand
    Christoph Wegener, wecon.it-consulting, freiberuflicher Berater
     
    Nachdem gerade im Jahr 2012 viele Unternehmen dem Hype zum Thema "Bring Your Own Device (BYOD)" gefolgt sind, lassen sich die Mitarbeiter-eigenen oder zumindest selbst ausgesuchten Geräte aus dem Unternehmensalltag nicht mehr wegdenken. Den damit einhergehenden Risiken und Gefahren bzgl. der Informationssicherheit begegnen die Unternehmen, wenn überhaupt, meist durch Einführung und Einsatz eines Mobile Device Management (MDM) und fühlen sich damit gut aufgestellt.

    Aber auch dann sind weitere Probleme und Risiken zu betrachten, die nach und bei Einführung eines MDM fort bestehen. Der Vortrag führt kurz in die Themen des Tages ein und zeigt zudem Risiken auf, die bei der Nutzung von SMS und QR-Codes bestehen. Zugleich werden den Teilnehmern Lösungsvorschläge an die Hand gegeben, die helfen, Risiken adäquat zu managen.
     
    Der Vortragsinhalt in Kürze:
     
    • Generelle Risikobetrachtungen von BYOD
    • Typische Schwachstellen eines MDM
    • Paging der 2. Generation oder: Wo ist meine SMS geblieben?
    • Gescannt und abgephisht: Angriffe per QR-Code
    • Vorstellung der Themen des Tages
    __________________________________________________________________________
     
    10:30 - 11:15 Uhr
     
    Alle Jahre wieder: (Un)sicherheit mobiler Apps
    Andreas Kurtz, NESO Security Labs GmbH, Geschäftsführer, Dozent
     
    Apples Mobilgeräte, wie das iPhone und das iPad, sind aus dem Unternehmensalltag längst nicht mehr wegzudenken. Vor allem aufgrund der Sensitivität, der in diesem Umfeld auf den Geräten verarbeiteten Daten, ergeben sich hohe Sicherheitsanforderungen an das iOS-Betriebssystem und nicht zuletzt auch an die darauf betriebenen Apps. Während sich Sicherheitsüberlegungen früher meist auf die Integration und Pflege der mobilen Endgeräte in der Unternehmensinfrastruktur beschränkten, wurde die Sicherheit der darauf betriebenen Apps meist sträflich vernachlässigt.

    Im Rahmen dieses Vortrags werden zahlreiche Sicherheits- und Datenschutzprobleme mobiler Apps am Beispiel von Apples iOS demonstriert. Anhand einiger identifizierter Schwachstellen in weit verbreiteten und populären Apps, werden praxisnah häufige Programmier- und Designfehler erläutert, die immer wieder zu gravierenden Sicherheitsproblemen führen. Zudem wird diskutiert,
    inwieweit Antimalware bzw. Jailbreak-Erkennungen tatsächlich helfen und ob bzw. wie Apps im Vorfeld auf sicherheitskritische Funktionen getestet werden können.
     
    Der Vortragsinhalt in Kürze:
     
    • Anforderungen an sichere mobile Betriebssysteme und mobile Apps
    • Demonstration häufiger Sicherheits- und Datenschutzprobleme
    • Prüfung sicherheitskritischer Funktionen
    • Gegenmaßnahmen zur Absicherung mobiler Apps
    • Wirksamkeit von Jailbreak-Erkennung

    __________________________________________________________________________

    11:15 - 11:45 Uhr

    Kaffeepause
     
    Möglichkeit zum Besuch der Sponsoren-Stände
    __________________________________________________________________________
     
    11:45 - 12:30 Uhr
     
    Auf fremden Geräten: BYOD und MDM rechtssicher umsetzen
    Joerg Heidrich, Heise Zeitschriften Verlag, Justitiar, Datenschutzbeauftragter
     
    Die Nutzung privater Geräte für den Zugriff auf Unternehmensdaten ist in vielen Unternehmen längst Realität. Aus juristischer Sicht ist BYOD jedoch höchst problematisch. So muss insbesondere eine strenge Trennung zwischen privaten und geschäftlichen Unterlagen sichergestellt werden. Datenschutzrechtliche Unsicherheiten ergeben sich auch bei Fragen des Remote-Zugriffs oder des Monitorings der Mitarbeitergeräte. Schließlich stellt sich nicht zuletzt die Frage, wer für den Verlust des Gerätes oder der Daten eigentlich haften muss. Der Vortrag bietet einen Überblick über die dringendsten juristischen Probleme und zeigt praxisnahe Lösungen auf.
     
    Der Vortragsinhalt in Kürze:
     
    • Rechtliche Probleme bei der Einführung von BYOD
    • Trennung privater und geschäftlicher Daten
    • Regelung von Remote-Zugriffen und Löschungen
    • Monitoringtools & Datenschutz
    • Haftungsrechtliche Aspekte bei Verlust und Zerstörung des Geräts

    __________________________________________________________________________

    12:30 - 13:45 Uhr

    Gemeinsames Mittagessen
    __________________________________________________________________________
     
    12:30 - 13:00 Uhr                                                                              Mehr Info hier
     
    Aruba Networks
    Business Lunch (optional)
     
    __________________________________________________________________________
     
    13:45 - 14:30 Uhr
     
    Aktuelle Trends und Gefahren
    Jürgen Schmidt, Heise Zeitschriften Verlag, Chefredakteur heise Security
     
    heise Security Chefredakteur Jürgen Schmidt berichtet über aktuelle Ereignisse und deren Hintergründe. Er analysiert die akuten Bedrohungen, weist auf konkrete Gefahren hin und entlarvt typische Missverständnisse.
     
    Der Vortragsinhalt in Kürze:
     
    • Das steckt hinter der Trojaner-Schwemme
    • Welche Schwachstellen werden tatsächlich ausgenutzt und warum?
    • Wie können sich Unternehmen schützen?
    __________________________________________________________________________
     
    14:35 – 15:20 Uhr
     
    Enterprise Mobile Management
    Volker Weber, freiberuflicher Systemarchitekt und Fachautor
     
    Mobile Device Management (MDM) wird von vielen Unternehmen eingesetzt, um die Smartphones der Mitarbeiter abzusichern. Ein vierstelliger PIN-Code und das Versprechen, verloren gegangene Geräte löschen zu können, gelten heute als das Minimum. Bei maximalen Sicherheitsanforderungen dagegen wird aus einem potenten Smartphone ein simples Email-Gerät. Dabei leisten aktuelle Lösungen viel mehr, bis zur Trennung privater von geschäftlichen Daten und Anwendungen.
     
    Der Vortragsinhalt in Kürze:
     
    • Was Mobile Device Management leistet
    • Von iPhone bis BlackBerry 10, ein Blick über den Rand des Tellers
    • BYOD, COPE und was das mit MDM zu tun hat
    __________________________________________________________________________
     
    15:20 - 15:50 Uhr

    Kaffeepause
    __________________________________________________________________________
     
    15:50 - 16:35 Uhr
     
    Tapjacking - per Touch-Geste zum Betrug
    Marcus Niemietz
     
    Seit langem ist bekannt, dass transparente Elemente innerhalb eines Webbrowsers eine Gefahr für Benutzer darstellen: Ein Opfer kann auf ein solches Element klicken, ohne zu sehen, dass dadurch ein Klick auf eine andere Schaltfläche erfolgt ("Clickjacking"). Dabei hat ein Angreifer die Möglichkeit, ohne Wissen des Opfers Zugriff auf die Kamera oder das Mikrofon zu erhalten. Seit 2008 hat sich eine Vielfalt von auf Clickjacking-basierenden Angriffen etabliert, die man unter dem Stichwort "UI-Redressing" zusammenfasst.

    Der Vortrag zeigt, welche Angriffsformen und Gegenmaßnahmen sich auf das Betriebssystem Android übertragen lassen. Ein Schwerpunkt liegt dabei auf Clickjacking-ähnliche Angriffsmethoden namens "Tapjacking", diese benötigen keinen Webbrowser mehr, sondern funktionieren auch in anderen Umgebungen. Ein Angreifer kann so mit einer Applikation, die bspw. keine Rechte zum telefonieren hat, mit nur einer Touch-Geste eine beliebige und vom Angreifer definierte Telefonnummer anrufen. Ergänzend wird auf mögliche Gegenmaßnahmen und die Wirksamkeit von Antimalware-Komponenten eingegangen.

     
    Der Vortragsinhalt in Kürze:
     
    • Einführung in die Angriffstechnik Clickjacking
    • Clickjacking für Android
    • Tapjacking: Per Touch-Geste zum Betrug
    • Erläuterung und Wirksamkeit von Gegenmaßnahmen
    __________________________________________________________________________
     
    16:40 - 17:25 Uhr
     
    Sesam öffne Dich! - Zur Sicherheit bei Zutrittskontrollen per Funk
    Timo Kasper/David Oswald,
    Sicherheitsspezialisten, Horst Görtz Institut für IT-Sicherheit, Kasper & Oswald GmbH
     
    Passives RFID, kontaktlose Karten und aktive Funktüröffner, öffnen Türen und dienen zu Identifikations- und Authentifizierungszwecken (z.B. Mitarbeiterausweise, nPA, ePass). Im Gegensatz zu mechanischen Schlüsseln oder kontaktbehafteten Lösungen werden über eine kontaktlose Schnittstelle (teils private) Daten ausgetauscht, die per Lauschangriff oft aus mehreren hundert Metern ausgespäht werden können. Ebenso ist eine unbemerkte Modifikation von auf Funkchips gespeicherten Daten aus der Entfernung möglich.

    Der Vortrag fasst den aktuellen Stand der Sicherheit für Zugangskontrollen per RFID und Funk zusammen und stellt Werkzeuge zur Sicherheitsanalyse vor. Dabei wird aufgezeigt, dass in vielen kommerziellen Produkten der kryptografische Schutz nicht dem Stand der Technik entspricht und ausgehebelt werden kann – mit oft dramatischen Konsequenzen für die Sicherheit des Gesamtsystems. Exemplarisch werden die Schwachstellen verschiedener kommerzieller Systeme (u.A. KeeLoq, Mifare Karten) aufgezeigt, die Auswirkungen anhand praktische Angriffe illustriert und mögliche Gegenmaßnahmen erläutert.
     
    Der Vortragsinhalt in Kürze:
     
    • Hintergründe zur Authentifikation per RFID und Funk
    • Angriffe auf die Datenübertragung per Funk
    • Schwachstellen realer Systeme: KeeLoq und Mifare
    • Sicherheitsempfehlungen und Gegenmaßnahmen
    __________________________________________________________________________
     
    17:25 – 17:30 Uhr

    Ende des Konferenzprogramms und Beginn des Get-Togethers
     
     
    Zur Eventübersicht
    gelangen Sie hier
     
    _______________________
     
    Termine

    29. Mai, Hamburg
     
    04. Juni, Köln
     
    11. Juni, Stuttgart
     
    13. Juni, München
        ________________________
     

    Automatisch besser informiert: Der heise Events Newsletter

    Sie möchten regelmäßig das Neueste zu unseren Angeboten erfahren? Dann melden Sie sich hier für unseren kostenlosen, monatlich erscheinenden Newsletter an.

powered by amiando

Veranstalter dieses Events: Heise Zeitschriften Verlag GmbH & Co.KG
Konferenz - Online Event Management mit der Ticketing-Lösung von XING Events

Impressum