Zum Hauptinhalt

Die Online-Konferenz zur secIT by Heise

Hacking for Security

Was Sicherheitstests für Unternehmen bringen!

9. Dezember 2021

SICHERHEITSTESTS SINNVOLL EINSETZEN

Pentesting, White Hacking, Red and Blue Teaming - Sicherheitstests in und für Unternehmen gibt es in allen möglichen Varianten und für die verschiedensten Bereiche der IT. Doch was bringen solche Tests wirklich? Wie aussagekräftig sind sie für die IT-Sicherheit einer Organisation? Und was muss ein Unternehmen im Vorfeld wissen und bedenken, wenn es Sicherheitstests durchführen lassen will?

AGENDA

  • 9:30 Uhr

    Begrüßung und Einführung

    Georg Schnurer, Heise Medien

    Wir heißen Sie herzlich willkommen zu unserer Online-Konferenz und geben Ihnen einen Ausblick auf den Tag.

  • 9:45 Uhr - 10:30 Uhr

    Cyberbedrohungen und Sicherheit der Internetinfrastruktur Deutschlands

    Dr. Haya Shulman, Fraunhofer-Institut für Sichere Informationstechnologie SIT

    Deutschland gehört zu den wichtigsten Zielen für Cyberangreifer in Europa. Dies betrifft Unternehmen ebenso wie öffentliche Einrichtungen, und Angriffe durch Cyberkriminelle ebenso wie Angriffe durch staatlich unterstütze Gruppen. Wir beschreiben, wie bekannte APT-Gruppen vorgehen und welche Angriffsvektoren sie typischerweise ausnutzen. Davon ausgehend stellen wir zunächst einige aktuelle Ergebnisse aus unserer Forschung vor, wie die Sicherheitssituation vis-a-vis solcher Angriffsvektoren in bestimmten internet-basierten Infrastrukturen oder auch internetweit erhoben werden kann. Abschließend diskutieren wir, wie die gefundenen Probleme praktisch angegangen werden können.

  • 10:35 Uhr - 11:35 Uhr

    Allheilmittel Pentest? Ein Blick hinter die Kulissen

    Inès Atug, HiSolutions AG

    Penetrationstests können in unterschiedlichen Vorgehensweisen durchgeführt werden. Das beginnt bereits bei den Informationen, die der Auftraggeber bereitstellt und geht weiter über den Ausgangspunkt, von dem aus der Penetrationstest startet, bis hin zu den Techniken und Methoden, die während eines solchen Tests angewendet werden dürfen.

    In diesem Vortrag werden verschiedene Penetrationstest-Ausprägungen vorgestellt, zusammen mit den Szenarien, in denen sie sinnvoll zur Anwendung kommen können. Des Weiteren werden die Vor- und Nachteile der jeweiligen Testkriterien sowie generelle Grenzen von Penetrationstests besprochen. Die Erfahrung und das Wissen eines Penetrationstesters sind essentiell, daher sieht das BSI eine Zertifizierung vor, die in diesem Vortrag ebenfalls thematisiert wird.

  • 11:40 Uhr - 12:10 Uhr

    Breakout Session: Stoppen Sie Lateral Movement mit einer Zero-Trust-Architektur

    Frank-Michael Bickel, Sonic Wall GmbH

  • 11:40 Uhr - 12:10 Uhr

    Breakout Session: Rundum sicher vor Cyberangriffen – mit dem 24/7 Managed Detection and Response Service von Sophos

    Martin Weiß, Sophos Technology GmbH

  • 12:15 Uhr - 12:45 Uhr

    Breakout Session: Security-Awareness from Scratch | Von der grünen Wiese zum teilautomatisierten, auditfähigen Security Awareness Management (SAM) Prozess

    Hannes Hartung, Nicolai Oberthür, Increase Your Skills GmbH

  • 12:15 Uhr - 12:45 Uhr

    Breakout Session: SIEM, SOC & Co. – Die großen Versprechen der (Managed) Security-Industrie

    Christian Landström, G DATA Advanced Analytics GmbH

  • 13:50 Uhr - 14:50 Uhr

    Live Hack - Wie Angreifer Ihre Cloud übernehmen und Unternehmen infiltrieren

    Rafael Fedler, NSIDE ATTACK LOGIC GmbH

    Cloud-Infrastrukturen spielen für immer mehr Unternehmen eine immer größer werdende Rolle. Ferner steigt der Verzahnungsgrad von Unternehmensnetzen und Cloud-Infrastrukturen beständig. Doch dies birgt auch Gefahren: Die Cloud bietet eine große, zusätzliche Angriffsfläche und teils komplexe Verwaltungsmechanismen. Beides kann von fähigen Angreifern ausgenutzt werden. In diesem Vortrag erläutert Rafel Fedler die Theorie solcher Angriffe und zeigt einen in der Praxis: Zuerst wird eine Cloud-Infrastruktur attackiert, dann dringt der Angreifer von dort aus erfolgreich ins Unternehmensnetz ein.

  • 14:55 Uhr - 15:55 Uhr

    Open Source Intelligence - Angriffsunterstützende Informationsbeschaffung aus öffentlichen Quellen

    Christian Titze, Secorvo Security Consulting GmbH

    Ein wichtiger Bestandteil eines jeden Penetrationstests ist die Informationsbeschaffung. Denn: Um ein System oder ein Unternehmen erfolgreich zu infiltrieren, muss ein Angreifer zuerst verstehen, welche Schnittstellen ihm zur Verfügung stehen und wie er diese ausnutzen kann. Meist sind die Schnittstellen technischer oder menschlicher Natur - unterstützend hinzu kommen öffentlich einsehbare Daten aus unterschiedlichsten Quellen. Im Rahmen eines klassischen Penetrationstests beschränkt sich die initiale Informationsbeschaffung in der Regel auf technische Details der vom Auftraggeber benannten Systeme.

    Einem echten Angreifer ergibt sich jedoch ein anderes und unter Umständen viel umfassenderes Lagebild: Er beschränkt sich nicht auf explizit benannte Systeme oder Netze, findet gegebenenfalls die in Vergessenheit geratenen oder ausgelagerten Entwicklungs- und Testsysteme und er wird auch mittels Social-Engineering-Taktiken versuchen, Mitarbeiter über ihren Digital Footprint gezielt anzugreifen. Die Ergänzung eines Penetrationstests um ein speziell auf Informationsbeschaffung ausgelegten Moduls kann dabei helfen, das Unternehmen durch die Augen eines Angreifers zu sehen und so die Angriffsoberfläche gezielt zu reduzieren. Im Rahmen dieses Vortrags lernen Interessierte das Thema Open Source Intelligence sowie dessen Grenzen und Einschränkungen aus der Perspektive eines Penetrationstesters kennen.

  • 16:00 Uhr - 16:45 Uhr Podiumsdiskussion

    Trügerische Sicherheit durch Hacking & Co.? Qualitätsaspekte bei Penetrationstests

    Inés Atug, Rafael Fedler, Christian Titze, Special Guest: Tobias Glemser, BSI-zertifizierter Pentester

    Dass Sicherheitstests in verschiedensten Ausprägungen eine wichtige Rolle in der Security-Strategie eines Unternehmens spielen, ist unbestritten. Doch nicht jede Form ist für jedes Unternehmen notwendig oder gar sinnvoll - im Gegenteil, unter falschen Voraussetzungen durchgeführt, können Sicherheitstests sogar nach hinten losgehen und mehr Schaden als Nutzen bringen. Die Podiumsdiskussion soll Licht ins Dunkel bringen und Vor- und Nachteile der verschiedenen Testarten ausloten.

  • 16:45 Uhr - 17:00 Uhr

    Abschlussrunde

    Wir hoffen, Sie haben viel gelernt und nutzen den restlichen Abend für Austausch und Networking.

IHRE EXPERTEN

  • Haya Shulman

    Dr. Haya Shulman

    Dr. Haya Shulman zählt international zu den führenden Wissenschaftlern in Cybersicherheit. Sie studierte Informatik in Israel und kam nach der Promotion 2014 nach Deutschland. Am Fraunhofer-Institut für Sichere Informationstechnologie SIT leitet sie die wissenschaftliche Abteilung Cybersecurity Analytics and Defences und ist Mitglied im Direktorium von ATHENE, dem Nationalen Forschungszentrums für angewandte Cybersicherheit. Sie ist zugleich Gastprofessorin an der Hebräischen Universität in Jerusalem, wo sie das Fraunhofer-Projektzentrum für Cybersicherheit leitet.

    Sie organisiert zudem den German Israeli Partnership Accelerator GIPA, der junge deutsche und israelische Cybersicherheitsexpertinnen und -experten zusammenbringt. Haya Shulman publiziert regelmäßig auf wissenschaftlichen Spitzenkonferenzen und erhielt für ihre Arbeiten mehrere Preise, zuletzt mit dem „Deutschen IT-Sicherheitspreis“ der Horst Görtz-Stiftung den höchstdotierten Preis für Cybersicherheit in Deutschland.

  • Inés Atug

    Inès Atug

    Senior Expert, HiSolutions AG

    Inés Atug ist Senior Expert bei der HiSolutions AG, verfügt über langjährige Erfahrung in IT-Grundschutz, technische Sicherheitsanalysen und Secure Cloud Computing. Sie berät und begleitet Unternehmen bei der Einführung von Informationssicherheitsmanagement-Systemen und ist Prüferin für Kritische Infrastrukturen. Sie ist GIAC Penetration Tester (GPEN), hält die ISMS Lead Auditor ISO 27001, CISSP, BSI IT-Grundschutz Praktiker und ist zertifizierte Datenschutzbeauftragte.

  • Rafael Fedler

    Penetration Tester, NSIDE ATTACK LOGIC GmbH

    Rafael Fedler ist seit 2011 in der IT-Sicherheit tätig, davon seit 2015 bei NSIDE. Sein Hintergrund liegt in der IT-Sicherheits-Forschung. Herr Fedler hat am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (Fraunhofer AISEC) federführend mehrere Forschungsprojekte durchgeführt und als Hauptautor auf renommierten Konferenzen der Wissenschaftsorganisationen ACM und IEEE veröffentlicht. Seit Anfang 2015 ist er als Penetration Tester bei der NSIDE Attack Logic angestellt und führt technische sowie Social Engineering-Angriffe auf Organisationen und ihre Systeme durch, um deren Sicherheit zu testen und zu verbessern.

  • Christian Titze

    Christian Titze

    Security Consultant und Penetrationstester, Secorvo Security Consulting GmbH

    Christian Titze, Master of Science (M.Sc.), studierte Informatik mit Spezialisierung im Bereich der IT-Sicherheit an der Hochschule Mannheim und dem Karlsruher Institut für Technologie (KIT). In seiner im August 2018 veröffentlichten Masterarbeit führte er eine sicherheitsorientierte Performance-Analyse des Zeek Network Security Monitor durch und entdeckte dabei verschiedene Schwachstellen, die für gezielte Denial-of-Service (DoS) Angriffe ausgenutzt werden können. Im Laufe seines Studiums erlangte er umfassende Kenntnisse in den Bereichen Anwendungssicherheit, sichere Softwareentwicklung, Penetrationstests sowie Reverse Engineering. Seit November 2018 ist er als Security Consultant und Penetrationstester bei der Secorvo Security Consulting GmbH in Karlsruhe tätig.

  • Tobias Glemser

    Tobias Glemser

    BSI-zertifizierter Penetrationstester und Technischer Leiter für Penetrationstests, Geschäftsführer secuvera GmbH

    Tobias Glemser, Geschäftsführer der secuvera, ist BSI-zertifizierter Penetrationstester und Technischer Leiter für Penetrationstests. Herr Glemser ist Autor mehrerer Fachartikel u.a. in den Zeitschriften c’t und iX und Referent bei Seminaren und Kongressen (z. B. OWASP AppSec Germany, DevSec, secIT, Internet Security Days, it-sa). Er hat diverse Security Advisories für selbst gefundene Schwachstellen, z. B. in Webanwendungen und IoT-Geräten veröffentlicht. Herr Glemser ist Chapterlead des German Chapters des Open Web Application Security Project (OWASP).