Der Anlass

Aktuelle IT-Sicherheitsvorfälle deu­ten an, wie ver­wund­bar die ver­netz­te Gesellschaft ist.

Sei es ein Angriff auf ver­netz­te Heimelektronik, der im Dezember unbe­ab­sich­tigt hun­dert­tau­sen­de Telekomrouter lahm­leg­te oder ein 16 Jahre alter Bug in Windowssystemen, der das Einfallstor war, um im Mai welt­weit hun­dert­tau­sen­de Rechner zu ver­schlüs­seln.

Experten spre­chen von Warnschüssen, die wach­rüt­teln soll­ten.

Mittlerweile setzt sich auf brei­ter Ebene die Erkenntnis durch, dass IT-Sicherheit nichts ist, das mög­lichst unsicht­bar sein soll­te und die aus­schließ­li­che Angelegenheit von IT-Abteilungen ist. Technische und orga­ni­sa­to­ri­sche Schutzmechanismen kön­nen umgan­gen wer­den, Personen wer­den direkt zum Ziel von Angriffen. So wie jeder Einzelne von uns sei­nen Teil zum siche­ren Straßenverkehr oder zum Umweltschutz bei­trägt, ist auch jeder auf­ge­ru­fen, sei­nen Teil zur Wahrung der Informationssicherheit bei­zu­tra­gen.

Rückblick

Die Veranstaltung beleuch­te­te das Thema ‘Achtsamkeit für Informationssicherheit’ aus unter­schied­li­chen Perspektiven. Das Stadion An der Alten Försterei in Berlin lie­fer­te eine wun­der­ba­re Kulisse. Werfen Sie mit uns einen Blick zurück.

Die Speaker

Dr. Carsten Gottert

Geschäftsführer eto­mer GmbH
Sinnstiftende Kommunikation in Organisationen

Compliance in Unternehmen und Organisationen her­zu­stel­len ist eine gro­ße Herausforderung. Mit der Errichtung von ent­spre­chen­den orga­ni­sa­to­ri­schen Maßnahmen ist es allein nicht getan. Diese Maßnahmen wer­den zei­gen nur Wirkung, wenn sie gut ver­mit­telt wer­den und das Denken und Handeln der Organisationsmitglieder unter­stüt­zen. Dr. Carsten Gottert stellt Forschungsergebnisse vor, die erläu­tern wie Kommunikation in Organisationen sinn­bil­dend und sinn­stif­tend wir­ken kann.

Dr. Carsten Gottert ist Geschäftsführer der eto­mer GmbH und ver­ant­wor­te­te zuvor meh­re­re Positionen im Bereich der Personalentwicklung und Erwachsenenbildung. Zuletzt lei­te­te er bei Sun Microsystems den Bereich „Learning Consulting Services“ und ver­ant­wor­te­te das kun­den­spe­zi­fi­sche Trainingsgeschäft von Sun in Deutschland. In sei­ner Promotion wid­me­te er sich der Fragestellung, wie Kommunikation in kom­ple­xen IT-Projekten zum Erfolg bei­tra­gen kann.

Ausschnitt aus dem Vortrag “Wie wir vom ‘Ich muss’ zum ‘Ich möch­te’ kom­men”

Dr. Ulf Buermeyer

Mitarbeiter Verfassungsgerichtshof Berlin
Sachverständiger im Rechtsausschuss des Bundestages zum Gesetzentwurf zur Online-Durchsuchung

Selbst bei sehr guter Qualitätssicherung von Programmiercode sind Fehler nicht zu ver­mei­den. Selbst bei idea­ler Softwarequalität fin­det sich min­des­tens in jeder 40.000ten Zeile ein Bug. Dieser kann sicher­heits­re­le­vant sein und soll­te mög­lichst schnell nach dem Finden bekannt gemacht und geschlos­sen wer­den. Derzeit ver­hin­dern ungüns­ti­ge Anreize oft, dass Sicherheitslücken nach­hal­tig und zeit­nah geschlos­sen wer­den. Der Vortrag beleuch­te­te, wie bes­se­re Anreizstrukturen aus­se­hen könn­ten, sodass sich IT-Security auch loh­nen wür­de.

Dr. Ulf Buermeyer ist Mitarbeiter des Berliner Verfassungsgerichtshofs sowie Gründungsmitglied der Gesellschaft für Freiheitsrechte. Im Rahmen des Gesetzgebungsverfahrens, in des­sen Ergebnis der Einsatz eines „Staatstrojaners“ legi­ti­miert wur­de, hat er als Sachverständiger im Rechtsausschuss des Bundestages kri­tisch Stellung zum Gesetzentwurf genom­men.

Ausschnitt aus dem Vortrag “Wieso wir mit Sicherheitslücken leben müs­sen – und wie wir sie trotz­dem mini­mie­ren kön­nen”

Michael Willer

Human Hacker
Experte für Social Engineering und psy­cho­lo­gi­sche Manipulation

Während auf der einen Seite der Mensch als wich­tigs­ter Teil für eine hohe Informationssicherheit benannt wird ist er zugleich das schwächs­te Glied in der Sicherheitskette. In die­sem Spannungsfeld agiert Social Engineering. Dabei han­delt es sich um Methoden zur psy­cho­lo­gi­schen Manipulation von Menschen. Diese zu ken­nen, ist ein wich­ti­ger Schritt für mehr Achtsamkeit. Dieser Vortrag erläu­tert erfolg­rei­che Vorgehensweisen und belegt die­se an kon­kre­ten „human hacks“.

Michael Willer ist Geschäftsführer der Human Risk Consulting GmbH, hat lang­jäh­ri­ge Erfahrungen im mili­tä­ri­schen Nachrichtenwesen der Bundeswehr und ist seit Jahren Spezialist für Social Engineering. Er kann aus sei­nem gro­ßen Erfahrungsschatz berich­ten, wie Angreifer agie­ren und wel­che Erfahrungen er bei sozia­len Penetrationstests gewinnt.

Ausschnitt aus dem Vortrag “Schwachstelle Mensch – Erfahrungen aus dem Leben eines Social Hackers”

Oliver Pyka

Leitender Berater Oracle Datenbanken
Co-Autor “Der DOAG Security Guide”

Systemadministratoren sind die Personen, die per­ma­nent mit sen­si­blen Informationen umge­hen und Zugriff auf Daten mit sehr hohem Schutzbedarf haben. Es ist eine Herausforderung, damit ein­her­ge­hen­de Verantwortung sich jeden Tag erneut ins Bewusstsein zu rufen. Wie es gelin­gen kann, die­se Achtsamkeit dau­er­haft auf einem hohen Level zu hal­ten und wel­che Erfahrungen exis­tie­ren, wenn dies nicht geschieht oder die pas­sen­den Rahmenbedingungen feh­len, erläu­tert die­ser Vortrag.

Oliver Pyka ist stell­ver­tre­ten­der Leiter der Datenbank Community der Deutschen Oracle Anwendergruppe (DOAG) und hat in die­ser Rolle unter ande­rem maß­geb­lich am DOAG-Dokument “Der DOAG Security Guide“ mit­ge­wirkt. Dieses Dokument trägt dem Umstand Rechnung, dass Datenbankadministratoren auf­grund ihrer Tätigkeit eine beson­de­re Verantwortung für den Datenschutz und die Datensicherheit haben.
Herr Pyka ist SECUTAIN-Botschafter.

Ausschnitt aus dem Vortrag “Compliance und Sensibilität aus Sicht der IT-Administration”

David Scribane

Head of SECUTAIN
Achtsamkeit für Informationssicherheit ist so wich­tig wie ein Virenscanner

Aktuelle Studien zei­gen, wie schwie­rig das Thema Informationssicherheit in Organisationen sein kann. Komfort, Möglichkeiten, die Teilhabe an Trends wer­den einer höhe­ren Sicherheit geop­fert. Dies führt zu einem Nachteil von Arbeitgebern beim Kampf um die Talente. Zudem ist Informationssicherheit ein unglaub­lich tro­cke­nes Thema, das ger­ne mit spit­zen Fingern ange­fasst wird.

David Scribane kann ein Jahrzehnt Erfahrung Betriebsverantwortung für kom­ple­xe IT-Infrastrukturen vor­wei­sen. Diese Zeit ver­deut­lich­te, wie wich­tig gut infor­mier­te und auf­merk­sa­me Mitarbeiter für die Wahrung von Informationssicherheit sind. Diese Erfahrung bringt David Scribane in das neue eto­mer-Produkt SECUTAIN ein. SECUTAIN hilft Organisationen, Informationssicherheit ver­ständ­lich, anschluss­fä­hig und unter­halt­sam zu ver­mit­teln.

Ausschnitt aus dem Vortrag “Die Schaffung von Achtsamkeit für Informationssicherheit ist so wich­tig wie ein aktu­el­ler Virenscanner”

Michael Willer

Human Hacker

Am Ende des Programms wur­de das Geheimnis gelüf­tet, dass die Veranstaltung selbst das Ziel einer geplan­ten Social Hacking-Attacke war, deren Ziel es war, mög­lichst vie­le Identitäten und Informationen der Teilnehmer zu sam­meln. In dem geschütz­ten Rahmen der Veranstaltung soll­te ein­mal ver­deut­licht wer­den, wie ein­fach es ist, an Informationen zu gelan­gen, die genutzt wer­den kön­nen, um eine Beziehungsebene mit mög­li­chen Opfern her­zu­stel­len — sogar bei einem Publikum, das dem Thema Awareness für Informationssicherheit zuge­neigt ist. Es wur­de außer­dem ver­deut­licht, wie nächs­te Schritte aus­se­hen wür­den, die Angreifer mit den auf der Veranstaltung gewon­nen Informationen voll­zie­hen wür­den.

Ziel die­ser Aktion war es, dass nicht ein­zel­ne Teilnehmer vor­ge­führt wer­den son­dern zu ver­deut­li­chen, dass es Situationen geben kann, in denen man zu viel Informationen den fal­schen Personen preis gibt. Durch Awarenesstrainings kann erreicht wer­den, dass die­se Situationen bes­ser erkannt wer­den und Personen ent­spre­chend beson­ne­ner reagie­ren kön­nen. Ist man den­noch ein­mal auf solch eine Situation her­ein­ge­fal­len, wur­den Hinweise gege­ben, wie im Nachgang erkannt wer­den kann, dass es sich um eine Social Enigneering-Attacke gehan­delt haben könn­te, so dass die Kommunikation mit der angrei­fen­den Person ent­spre­chend ange­passt wer­den kann.

Ausschnitt aus der Auflösung der Aktion

Rahmenprogramm

Stadion An der Alten Försterei — Berlins größ­tes (vie­le sagen auch schöns­tes) rei­nes Fußballstadion. Nach dem Abschluss des inhalt­li­chen Teils der Veranstaltung wur­den alle Teilnehmerinnen und Teilnehmer zu einer Tour durch das Stadion ein­ge­la­den, die gespickt war mit kurio­sen Anekdoten aus knapp 100 Jahren, in denen an dem Standort Fußball gespielt wur­de.