Die Online-Konferenz zur secIT by Heise
Hacking for Security
Was Sicherheitstests für Unternehmen bringen!
9. Dezember 2021
SICHERHEITSTESTS SINNVOLL EINSETZEN
Pentesting, White Hacking, Red and Blue Teaming - Sicherheitstests in und für Unternehmen gibt es in allen möglichen Varianten und für die verschiedensten Bereiche der IT. Doch was bringen solche Tests wirklich? Wie aussagekräftig sind sie für die IT-Sicherheit einer Organisation? Und was muss ein Unternehmen im Vorfeld wissen und bedenken, wenn es Sicherheitstests durchführen lassen will?
AGENDA
9:30 Uhr
Begrüßung und Einführung
Georg Schnurer, Heise Medien
Wir heißen Sie herzlich willkommen zu unserer Online-Konferenz und geben Ihnen einen Ausblick auf den Tag.
9:45 Uhr - 10:30 Uhr
Cyberbedrohungen und Sicherheit der Internetinfrastruktur Deutschlands
Dr. Haya Shulman, Fraunhofer-Institut für Sichere Informationstechnologie SIT
Deutschland gehört zu den wichtigsten Zielen für Cyberangreifer in Europa. Dies betrifft Unternehmen ebenso wie öffentliche Einrichtungen, und Angriffe durch Cyberkriminelle ebenso wie Angriffe durch staatlich unterstütze Gruppen. Wir beschreiben, wie bekannte APT-Gruppen vorgehen und welche Angriffsvektoren sie typischerweise ausnutzen. Davon ausgehend stellen wir zunächst einige aktuelle Ergebnisse aus unserer Forschung vor, wie die Sicherheitssituation vis-a-vis solcher Angriffsvektoren in bestimmten internet-basierten Infrastrukturen oder auch internetweit erhoben werden kann. Abschließend diskutieren wir, wie die gefundenen Probleme praktisch angegangen werden können.
10:35 Uhr - 11:35 Uhr
Allheilmittel Pentest? Ein Blick hinter die Kulissen
Inès Atug, HiSolutions AG
Penetrationstests können in unterschiedlichen Vorgehensweisen durchgeführt werden. Das beginnt bereits bei den Informationen, die der Auftraggeber bereitstellt und geht weiter über den Ausgangspunkt, von dem aus der Penetrationstest startet, bis hin zu den Techniken und Methoden, die während eines solchen Tests angewendet werden dürfen.
In diesem Vortrag werden verschiedene Penetrationstest-Ausprägungen vorgestellt, zusammen mit den Szenarien, in denen sie sinnvoll zur Anwendung kommen können. Des Weiteren werden die Vor- und Nachteile der jeweiligen Testkriterien sowie generelle Grenzen von Penetrationstests besprochen. Die Erfahrung und das Wissen eines Penetrationstesters sind essentiell, daher sieht das BSI eine Zertifizierung vor, die in diesem Vortrag ebenfalls thematisiert wird.
11:40 Uhr - 12:10 Uhr
Breakout Session: Stoppen Sie Lateral Movement mit einer Zero-Trust-Architektur
Frank-Michael Bickel, Sonic Wall GmbH
11:40 Uhr - 12:10 Uhr
Breakout Session: Rundum sicher vor Cyberangriffen – mit dem 24/7 Managed Detection and Response Service von Sophos
Martin Weiß, Sophos Technology GmbH
12:15 Uhr - 12:45 Uhr
Breakout Session: Security-Awareness from Scratch | Von der grünen Wiese zum teilautomatisierten, auditfähigen Security Awareness Management (SAM) Prozess
Hannes Hartung, Nicolai Oberthür, Increase Your Skills GmbH
12:15 Uhr - 12:45 Uhr
Breakout Session: SIEM, SOC & Co. – Die großen Versprechen der (Managed) Security-Industrie
Christian Landström, G DATA Advanced Analytics GmbH
13:50 Uhr - 14:50 Uhr
Live Hack - Wie Angreifer Ihre Cloud übernehmen und Unternehmen infiltrieren
Rafael Fedler, NSIDE ATTACK LOGIC GmbH
Cloud-Infrastrukturen spielen für immer mehr Unternehmen eine immer größer werdende Rolle. Ferner steigt der Verzahnungsgrad von Unternehmensnetzen und Cloud-Infrastrukturen beständig. Doch dies birgt auch Gefahren: Die Cloud bietet eine große, zusätzliche Angriffsfläche und teils komplexe Verwaltungsmechanismen. Beides kann von fähigen Angreifern ausgenutzt werden. In diesem Vortrag erläutert Rafel Fedler die Theorie solcher Angriffe und zeigt einen in der Praxis: Zuerst wird eine Cloud-Infrastruktur attackiert, dann dringt der Angreifer von dort aus erfolgreich ins Unternehmensnetz ein.
14:55 Uhr - 15:55 Uhr
Open Source Intelligence - Angriffsunterstützende Informationsbeschaffung aus öffentlichen Quellen
Christian Titze, Secorvo Security Consulting GmbH
Ein wichtiger Bestandteil eines jeden Penetrationstests ist die Informationsbeschaffung. Denn: Um ein System oder ein Unternehmen erfolgreich zu infiltrieren, muss ein Angreifer zuerst verstehen, welche Schnittstellen ihm zur Verfügung stehen und wie er diese ausnutzen kann. Meist sind die Schnittstellen technischer oder menschlicher Natur - unterstützend hinzu kommen öffentlich einsehbare Daten aus unterschiedlichsten Quellen. Im Rahmen eines klassischen Penetrationstests beschränkt sich die initiale Informationsbeschaffung in der Regel auf technische Details der vom Auftraggeber benannten Systeme.
Einem echten Angreifer ergibt sich jedoch ein anderes und unter Umständen viel umfassenderes Lagebild: Er beschränkt sich nicht auf explizit benannte Systeme oder Netze, findet gegebenenfalls die in Vergessenheit geratenen oder ausgelagerten Entwicklungs- und Testsysteme und er wird auch mittels Social-Engineering-Taktiken versuchen, Mitarbeiter über ihren Digital Footprint gezielt anzugreifen. Die Ergänzung eines Penetrationstests um ein speziell auf Informationsbeschaffung ausgelegten Moduls kann dabei helfen, das Unternehmen durch die Augen eines Angreifers zu sehen und so die Angriffsoberfläche gezielt zu reduzieren. Im Rahmen dieses Vortrags lernen Interessierte das Thema Open Source Intelligence sowie dessen Grenzen und Einschränkungen aus der Perspektive eines Penetrationstesters kennen.
16:00 Uhr - 16:45 Uhr Podiumsdiskussion
Trügerische Sicherheit durch Hacking & Co.? Qualitätsaspekte bei Penetrationstests
Inés Atug, Rafael Fedler, Christian Titze, Special Guest: Tobias Glemser, BSI-zertifizierter Pentester
Dass Sicherheitstests in verschiedensten Ausprägungen eine wichtige Rolle in der Security-Strategie eines Unternehmens spielen, ist unbestritten. Doch nicht jede Form ist für jedes Unternehmen notwendig oder gar sinnvoll - im Gegenteil, unter falschen Voraussetzungen durchgeführt, können Sicherheitstests sogar nach hinten losgehen und mehr Schaden als Nutzen bringen. Die Podiumsdiskussion soll Licht ins Dunkel bringen und Vor- und Nachteile der verschiedenen Testarten ausloten.
16:45 Uhr - 17:00 Uhr
Abschlussrunde
Wir hoffen, Sie haben viel gelernt und nutzen den restlichen Abend für Austausch und Networking.
IHRE EXPERTEN
Dr. Haya Shulman
Dr. Haya Shulman zählt international zu den führenden Wissenschaftlern in Cybersicherheit. Sie studierte Informatik in Israel und kam nach der Promotion 2014 nach Deutschland. Am Fraunhofer-Institut für Sichere Informationstechnologie SIT leitet sie die wissenschaftliche Abteilung Cybersecurity Analytics and Defences und ist Mitglied im Direktorium von ATHENE, dem Nationalen Forschungszentrums für angewandte Cybersicherheit. Sie ist zugleich Gastprofessorin an der Hebräischen Universität in Jerusalem, wo sie das Fraunhofer-Projektzentrum für Cybersicherheit leitet.
Sie organisiert zudem den German Israeli Partnership Accelerator GIPA, der junge deutsche und israelische Cybersicherheitsexpertinnen und -experten zusammenbringt. Haya Shulman publiziert regelmäßig auf wissenschaftlichen Spitzenkonferenzen und erhielt für ihre Arbeiten mehrere Preise, zuletzt mit dem „Deutschen IT-Sicherheitspreis“ der Horst Görtz-Stiftung den höchstdotierten Preis für Cybersicherheit in Deutschland.
Inès Atug
Inés Atug ist Senior Expert bei der HiSolutions AG, verfügt über langjährige Erfahrung in IT-Grundschutz, technische Sicherheitsanalysen und Secure Cloud Computing. Sie berät und begleitet Unternehmen bei der Einführung von Informationssicherheitsmanagement-Systemen und ist Prüferin für Kritische Infrastrukturen. Sie ist GIAC Penetration Tester (GPEN), hält die ISMS Lead Auditor ISO 27001, CISSP, BSI IT-Grundschutz Praktiker und ist zertifizierte Datenschutzbeauftragte.
Rafael Fedler
Rafael Fedler ist seit 2011 in der IT-Sicherheit tätig, davon seit 2015 bei NSIDE. Sein Hintergrund liegt in der IT-Sicherheits-Forschung. Herr Fedler hat am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (Fraunhofer AISEC) federführend mehrere Forschungsprojekte durchgeführt und als Hauptautor auf renommierten Konferenzen der Wissenschaftsorganisationen ACM und IEEE veröffentlicht. Seit Anfang 2015 ist er als Penetration Tester bei der NSIDE Attack Logic angestellt und führt technische sowie Social Engineering-Angriffe auf Organisationen und ihre Systeme durch, um deren Sicherheit zu testen und zu verbessern.
Christian Titze
Christian Titze, Master of Science (M.Sc.), studierte Informatik mit Spezialisierung im Bereich der IT-Sicherheit an der Hochschule Mannheim und dem Karlsruher Institut für Technologie (KIT). In seiner im August 2018 veröffentlichten Masterarbeit führte er eine sicherheitsorientierte Performance-Analyse des Zeek Network Security Monitor durch und entdeckte dabei verschiedene Schwachstellen, die für gezielte Denial-of-Service (DoS) Angriffe ausgenutzt werden können. Im Laufe seines Studiums erlangte er umfassende Kenntnisse in den Bereichen Anwendungssicherheit, sichere Softwareentwicklung, Penetrationstests sowie Reverse Engineering. Seit November 2018 ist er als Security Consultant und Penetrationstester bei der Secorvo Security Consulting GmbH in Karlsruhe tätig.
Tobias Glemser
Tobias Glemser, Geschäftsführer der secuvera, ist BSI-zertifizierter Penetrationstester und Technischer Leiter für Penetrationstests. Herr Glemser ist Autor mehrerer Fachartikel u.a. in den Zeitschriften c’t und iX und Referent bei Seminaren und Kongressen (z. B. OWASP AppSec Germany, DevSec, secIT, Internet Security Days, it-sa). Er hat diverse Security Advisories für selbst gefundene Schwachstellen, z. B. in Webanwendungen und IoT-Geräten veröffentlicht. Herr Glemser ist Chapterlead des German Chapters des Open Web Application Security Project (OWASP).