Messen und Kongresse, Vorbericht

Kein Vertrauen ohne Sicherheit

13. Deutscher IT-Sicherheitskongress des BSI

Informationssicherheit stärken Vertrauen in die Zukunft schaffen so lautet das Motto, unter dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) vom 14. bis 16. Mai 2013 seinen 13. Deutschen IT-Sicherheitskongress in der Stadthalle Bonn - Bad Godesberg ausrichtet.

Von Katrin Alberts, Bonn

Always on fast zu jeder Tages- und auch Nachtzeit sind PCs, Tablets und Smartphones von Nutzern heute mit dem Internet verbunden. Dank digitaler Technik existieren Möglichkeiten der wirtschaftlichen und gesellschaftlichen Vernetzung, die vor wenigen Jahren in ihrer derzeitigen Ausprägung noch nicht absehbar waren. Und das über jegliche Organisationsund Ländergrenzen hinweg. In Verwaltung und Wirtschaft hat sich der Einsatz von Informations- und Kommunikationstechnologie zum erfolgskritischen Faktor entwickelt: Bereits in jedem zweiten deutschen Unternehmen ist die Geschäftstätigkeit unmittelbar vom Internet abhängig. Das Internet selbst ist für über 80 Prozent der Bevölkerung zum selbstverständlichen Bestandteil ihres Alltags geworden; viele Nutzer kommunizieren mobil und sind in sozialen Netzwerken aktiv.

Den vielen Vorteilen der Vernetzung sowie der Erreichbarkeit zu jeder Zeit stehen jedoch auch Nachteile gegenüber, die besonders im Bereich der Sicherheit zu verorten sind. Wie können Unternehmens- und private Daten vor fremden Zugriffen geschützt werden? An welchen (Schnitt-) Stellen drohen Sicherheitsrisiken? Laut der Studie Vertrauen und Sicherheit im Netz (2012) des Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien) fühlen sich drei Viertel der Internetnutzer im Web bedroht. Die von Schadprogrammen ausgehende Gefahr für ihren Rechner halten die Befragten für am schwerwiegendsten (62 Prozent), ebenso fürchten 42 Prozent das Ausspähen oder den Missbrauch persönlicher Daten. Ganz ähnlich sieht es bei den befragten Unternehmen aus: 57 Prozent betrachten Angriffe auf ihre IT-Systeme als reale Gefahr. Sei es das Smartphone im privaten Gebrauch oder ein beruflich genutzter Tablet-PC: IT-Systeme sind Kommunikationsplattform und Datenspeicher zugleich. Eine stete Weiterentwicklung der Sicherheitsmaßnahmen und -mechanismen ist aufgrund der heutigen Vernetzung sowie Bedrohungslage unabdingbar.

: Der Deutsche IT-Sicherheitskongress ist mit über 550 Fachbesuchern eine feste Größe im Veranstaltungskalender der IT-Sicherheitsbranche

Der diesjährige BSI-Fachkongress wird daher unter dem Motto Informationssicherheit stärken Vertrauen in die Zukunft schaffen Lösungsansätze zum sicheren Einsatz unterschiedlichster Informationstechnik diskutieren und vorstellen. Zugleich spiegelt das Thema die aktuellen Herausforderungen wider, vor denen Verwaltung, Wirtschaft, Wissenschaft und Bevölkerung heute beim Einsatz von Informationstechnik stehen (vgl. Kasten Top-6-Cyberbedrohungen). In über 40 Fachvorträgen werden Experten aus Wissenschaft und Forschung, Unternehmen und Verwaltung zu zahlreichen Themen der Informationssicherheit neue Lösungsansätze und Ideen vor- und zur Diskussion stellen. Ausgewählt wurden die Vorträge von einem Programmbeirat, der über 180 eingereichte Papers zu bewerten hatte.

Mobile und Cloud

Eine Ursache für die wachsende Bedrohung im Cyber-Raum sieht das BSI in der zunehmenden Verbreitung mobiler Geräte wie Smartphones und Tablets. In jüngster Zeit erschweren unter anderem der sogenannte Consumerisation- Trend und die Nutzung von privater Hardware für berufliche Zwecke (Bring Your Own Device) die Durchsetzung einheitlicher Sicherheitsstandards. Die Mobilkommunikation steht damit beispielhaft für das dynamische Umfeld, in dem sich IT-Sicherheitsverantwortliche heute befinden. Diesem Thema ist daher eine Vortragssektion am ersten Kongresstag gewidmet.

Sicherheit und Vertraulichkeit sind auch für Nutzer und Anbieter von Cloud-Lösungen mit vielen offenen Fragen verbunden. Derzeit existiert noch keine international akzeptierte Sicherheitszertifizierung für Cloud-Angebote. Das BSI sieht hier dringenden Handlungsbedarf und hat sich das Ziel gesetzt, durch die Entwicklung von Mindeststandards die Informationssicherheit in der Cloud zu unterstützen und die Zusammenarbeit mit der Industrie zu verbessern. Experten aus Forschung und Industrie werden beim IT-Sicherheitskongress Lösungen zur Cloud-Computing-Sicherheit diskutieren.

: BSI-Experten werden beim Live-Hacking Schwachstellen aufzeigen.

Darüber hinaus beschäftigen sich eigene Panels mit der Sicherheit von Identitäten sowie mit Herausforderungen für die Cyber-Sicherheit. Herangehensweisen und Tools zum Information-Security-Management werden vorgestellt und erläutert, ebenso wie aktuelle Entwicklungen bei der Sicherheit von Plattformen. In weiteren Vorträgen stehen sichere Systeme in der Anwendung und Herausforderungen in der Kryptografie zur Diskussion. Die Themenbereiche IT-Sicherheit und Recht sowie Aufklärung und Sensibilisierung runden das Vortragsangebot ab.

Im Rahmen des Eröffnungsblocks am ersten Veranstaltungstag wird Cornelia Rogall-Grothe, Staatssekretärin im Bundesministerium des Innern und Beauftragte der Bundesregierung für Informationstechnik, Einblicke in aktuelle politische Weichenstellungen liefern. Welche Rolle nimmt der Staat im Moment zum Schutz sensitiver Daten ein? Welche Ansätze verfolgt er derzeit?

Dr. Thomas Kremer, Vorstand Datenschutz, Recht und Compliance bei der Deutschen Telekom, und Dr. Markus Kerber, Hauptgeschäftsführer und Mitglied des Präsidiums des Bundesverbandes der Deutschen Industrie e. V. (BDI), werden Aspekte der Cyber-Sicherheit aus Unternehmens- und Verbandsperspektive beleuchten. Kristin Lovejoy, General Manager Security Services IBM, wird Einblicke liefern, wie ein weltweit agierender Großkonzern sich gegen Hackerangriffe aufstellt.

Die Top-6-Cyberbedrohungen aus Sicht des BSI

DDoS-Angriffe mit Botnetzen, um die Erreichbarkeit von Webservern zu stören oder die Netzanbindung der betroffenen Institution zu unterbrechen.
Drive-by-Exploits zur breitflächigen Schadsoftware-Infiltration beim Surfen mit dem Ziel, die Kontrolle der betroffenen Rechner zu übernehmen.
Gezieltes Hacking von Webservern, um dort Schadsoftware zu platzieren oder weitergehende Spionageangriffe in angeschlossenen Netzen oder Datenbanken vorzubereiten.
Gezielte Schadsoftware-Infiltration per E-Mail und mithilfe von Social Engineering mit dem Ziel der Kontrollübernahme des betroffenen Rechners und anschließender Spionage.
Ungezielte Verteilung von Schadsoftware via Spam oder Drive-by- Exploits mit Fokus auf Identitätsdiebstahl.
Mehrstufige Angriffe, bei denen zum Beispiel zunächst Sicherheitsdienstleister oder zentrale Zertifizierungsstellen kompromittiert werden, um in weiteren Schritten dann die eigentlichen Ziele anzugreifen.

Quelle: Allianz für Cyber-Sicherheit

Industrie 4.0

Ein hochkarätig besetztes Podium wird sich am zweiten Kongresstag mit dem Spannungsfeld zwischen Industrie 4.0 und Cyber-Sicherheit befassen. Denn die Informatisierung der Industrie wirft zahlreiche neue Fragestellungen gerade für Sicherheitsaspekte auf. Neue Automatisierungskonzepte sind durch eine verstärkte autonome Steuerung von Produktionsprozessen und -anlagen gekennzeichnet. Im Zentrum des Interesses steht die Frage, wie man derartige Netzwerke gegen Spionage und Hackerangriffe sichern kann. Günstige Chips und die zunehmende Vernetzung tragen schon heute dazu bei, dass in Fabriken zentrale Steuerung künftig überfl üssig wird. Experten erwarten in den Einsatzfeldern Gesundheit, Mobilität und Energie hohe Wachstumsraten. Laut einer Bitkom-Umfrage sehen 81 Prozent der IT-Unternehmen in der Industrie 4.0 in den kommenden Jahren ein wichtiges Geschäftsfeld. Für fast jedes dritte IT-Unternehmen besitzt dieses Thema bereits heute eine große Bedeutung. Doch wie hat sich drei Jahre nach Stuxnet die IT-und Cyber-Sicherheitskultur in der Industrie verändert? Sind Produktionsanlagen genügend geschützt? Ist die Bedrohung auf der Managementebene angekommen? Was bedeutet Industrie 4.0 für die Sicherheit kritischer Infrastrukturen?

Begleitende Ausstellung

Auch auf dem 13. Deutschen IT-Sicherheitskongress wird es wieder eine begleitende Ausstellung geben, in der 22 Unternehmen ihre Produkte und Dienstleistungen zur Informationssicherheit präsentieren.

[Standplan der Ausstellung zum BSI-Kongress]

Dr. Ralf Müller-Schmid, Programmleiter Deutschland Radio Wissen, wird diese und weitere Fragen zur Diskussion stellen. Der Vorsitzende der Geschäftsführung von Microsoft Deutschland, Dr. Christian P. Illek, wird neben Rainer Glatz, Geschäftsführung Arbeitsgemeinschaft Produktpiraterie, Verband Deutscher Maschinen- und Anlagenbau e.V., und Dr. Reinhold Achatz, Leiter Forschung Thyssen Krupp, an diesem Gespräch teilnehmen. Während Martin Schallbruch, IT-Direktor im Bundesministerium des Innern, und BSI-Präsident Michael Hange die sicherheitspolitisch-strategische Perspektive einnehmen können, wird Thomas Tschersich, Group Cyber & Data Security CISSP Senior Vice President Deutsche Telekom AG, die Sichtweise eines Großkonzerns vertreten.

Seit dem IT-Sicherheitskongress vor zwei Jahren sind einige schwerwiegende Schadprogramme bekannt geworden, die neben dem Schaden, den sie bei Unternehmen und Behörden angerichtet haben, auch medial in den Fokus der breiten Öffentlichkeit gerückt sind. 2012 wurden die Spionagesoftware Flame und das Trojanische Pferd Gauss entdeckt. Gauss hat vermutlich im Nahen Osten zehntausende Rechner befallen. Neben Kennwörtern und Browserverlauf zeichnete das Schadprogramm auch Banktransaktionen auf. Die Gefahr, dass sensitive Daten aus Unternehmensnetzwerken abgefangen und gegebenenfalls weiterverkauft werden können, stellt Unternehmen, ganz gleich ob es sich um einen Weltkonzern oder um einen mittelständischen Betrieb handelt, vor immense Herausforderungen in ihrem Sicherheits- Management. Die Bedeutung der IT- und Datensicherheit scheint bei der Wirtschaft in den letzten Jahren noch stärker in den Fokus des Unternehmensinteresses gerückt zu sein. Doch wie lässt sich angesichts der sich weiter verschärfenden Gefährdungslage ein effektiver und effizienter Schutz vor Cyber-Angriffen erreichen? Ziel ist ein Risiko, das, nach umfassender Abschätzung, tragfähig ist. Nach BSI-Erkenntnissen lassen sich über 80 Prozent der bekannten Angriffe mit gängigen Standardschutzmaßnahmen abwehren. Selbst bei diesen besteht jedoch bei einigen Unternehmen noch Nachholbedarf. Das Ziel nachhaltiger Sicherheit ist nur durch ein kooperatives Vorgehen aller Akteure zu realisieren: Wirtschaft, Wissenschaft und Staat müssen dazu kontinuierlich alle Maßnahmen zur Prävention anpassen, zu einer realistischen Gefährdungseinschätzung gelangen und eine entsprechende Reaktionsfähigkeit bereitstellen. Mit dem 13. Deutschen IT-Sicherheitskongress möchte das BSI dazu beitragen.