Menü
heise-Angebot iX Magazin

Internet Security Days 2018: IT-Sicherheit im Unternehmensalltag praktizieren

Das Programm für die diesjährige Sicherheitskonferenz steht: Viele Praxistipps und Workshops sollen helfen, das IT-Sicherheitsniveau im Unternehmen zu erhöhen.

Von
vorlesen Drucken Kommentare lesen 1 Beitrag
Internet Security Days 2018: IT-Sicherheit im Unternehmensalltag praktizieren

Die von iX, heise events und eco veranstalteten Internet Security Days 2018 finden am 20. und 21. September im Phantasialand Brühl bei Köln statt. Nun ist das Programm der Sicherheitskonferenz online. Ein besonderer Schwerpunkt liegt in diesem Jahr auf der praktischen Umsetzung von Maßnahmen, die Unternehmen helfen können, ein höheres Sicherheitsniveau zu erreichen.

Oft sind es schon kleine Maßnahmen und Tricks im Alltag, die aber viel bewirken können. So beschäftigt sich Michael Ströder in seinem Beitrag mit SSH-Benutzerschlüsseln. Dieses an sich sinnvolle Sicherheitsinstrument birgt viele Risiken, angefangen bei der unsicheren Speicherung über Mehrfachnutzung, fehlende Nachweise der Authentizität bis hin zur Entfernung obsoleter Schlüssel von den Zielsystemen. Der Referent stellt ein Konzept zur Nutzung kurzzeitig gültiger SSH-Schlüsselzertifikate samt einer Implementierung vor und erläutert, weshalb Alternativen wie Smartcards nicht in jedem Fall sinnvoll sind.

Mit Krypto-Fails beschäftigt sich Inés Atug. Denn nicht erst seit den jüngst entdeckten Sicherheitslücken rund um Efail ist klar, dass die Wirksamkeit von Verschlüsselung mit der Implementierung steht und fällt. Ein Algorithmus kann noch so unangreifbar sein, aber wenn unsichere Methoden zum Schlüsselaustausch eingesetzt werden, schützt er keine Kommunikation und keine vertraulichen Transaktionen. Auch im Umfeld von Datenbankverschlüsselungen gibt es gute Strategien und schlechte Umsetzungen. Und unverzichtbar schließlich ist der Einsatz von Kryptografie in Cloud-Umgebungen, hier erhalten Teilnehmer nützliche Hinweise.

In weiteren Vorträgen erläutert Christian Schneider, wie und mit welchen Opensource-Werkzeugen man seine Webanwendungen testen kann (Web Application Pentesting), David Kelm stellt Methoden zur Awareness-Messung vor und Judith Nink verrät Hinweise und Tricks zum Einhalten der Informationspflichten nach DSGVO. Wer noch tiefer in spezielle Sicherheitsthemen einsteigen möchte, kann im Ticketshop zusätzliche Praxisworkshops buchen.

Mit neuen Zukunftstechnologien beschäftigt sich ein weiterer Vortragstrack. Hier wägt Krypto-Experte Klaus Schmeh ab, ob die Blockchain eine PKI ersetzen kann. Das Dilemma, dass keine Instanz mehr die Zuordnung eines Schlüssels zu einer Person prüft, wird verschieden angegangen - vom Einbinden einer vertrauenswürdigen Instanz bis zum kompletten Verzicht auf eine Prüfung. Das bleibt nicht folgenlos: Es ergeben sich teils Nachteile und neue Risiken, in anderen Fällen sind bestimmte PKI-Anwendungen nicht mehr möglich.

Zahlreiche neue Regulierungen und Rechtsrahmen zwingen Unternehmen zum Absichern ihrer IT - die DSGVO ist nur eine davon. Diese Gesetze sind nicht nur Last, sondern verhelfen Unternehmen auch zu handfesten Vorteilen. Etwa das neue Geheimisschutzgesetz. Eine Tücke gibt es allerdings doch, wie Tobias Haar in seinem Vortrag erläutert: Bevor ein Unternehmen seine "Kronjuwelen" geschützt wissen kann, gilt es erst einmal, durch Gebühren, Registrierungen et cetera in Vorleistung zu treten. Mit der DSGVO beschäftigt sich unter anderem eine prominent besetzte Podiumsrunde: Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar und weitere Experten liefern erste Erfahrungsberichte in Sachen DSGVO-Umsetzung, Handhabung und Sanktionen.

Karten für die Konferenz sind noch bis einschließlich 8. August mit Frühbucherrabatt im Ticketshop zu erwerben. Dort gibt es auch die Zusatztickets für die Praxisworkshops. (ur)