eyeDsec auf XINGeyeDsec auf XING
eyeDsec auf kununueyeDsec auf kununu
Ihr Partner für IT-Sicherheit und Datenschutz
21.12.2018 | von: eyeDsec Redaktion

Am 26.11. öffnete die Industrie und Handelskammer in Nürnberg zum zweiten Mal ihre Pforten für den IT-Sicherheitstag Mittelfranken. Ein Grund für die eyeDsec GmbH, sich geschlossen auf den Weg zu machen. Einen ganzen Tag standen uns in Form von sechs Fachforen und einer begleitenden Ausstellung spannende Themen zur Verfügung, um unser Fachwissen aufzufrischen und unsere persönliche Einschätzung der Lage der Informationssicherheit in Deutschland zu überprüfen. Von der Informationssicherheit als Fundament für eine erfolgreiche Digitalisierung, die Sicherheit beim Cloud-Computing, bis hin zu Social Engineering und dem Risikofaktor Mensch, wurde ein flächendeckendes Programm für die Teilnehmer konzipiert.

Ob als Projektmanager oder Auditoren für Informationssicherheit, bestellte IT-Sicherheits- oder Datenschutzbeauftragte, die eyeDsec GmbH ist seit 2013 deutschlandweit für ihre Kunden im Einsatz. Aus diesem Grund war es uns wichtig, an diesem Tag in Nürnberg nicht zu fehlen, auch um Kunden und Partnern auf diesem Wege Neuigkeiten aus den beiden Fachgebieten berichten zu können. Außerdem trafen wir vor Ort auf andere Experten in der Informationssicherheit und im Bereich Datenschutz und hatten so die Möglichkeit uns untereinander zu vernetzen.

Die besten Vorträge kurz zusammengefasst

Mark Semmler, Keynote Speaker des IT-Sicherheitstages

Eine der einprägsamsten und beeindruckendsten Performances an diesem Tag, da waren wir uns alle einig, lieferte direkt zum Einstieg Diplom Informatiker Mark Semmler mit seiner Keynote „Cyber-Sicherheit und Digitalisierung“. Dort zeigte er dem gut besuchten Auditorium anschaulich und auf seine ganz eigene Art, wie einfach es ist, das nach wie vor gängige Industrieprotokoll „Modbus“ zu kompromittieren. Er übernahm die Steuerung eines Masterservers und hat somit vor den Augen seines Publikums die Kontrolle über eine fiktive Industriepumpe übernommen. Der Live-Angriff endete mit einem an der Pumpe zuvor befestigten platzenden rosa Luftballon.

Mark Semmler GmbH, der seit 25 Jahren weltweit als Experte für Informationssicherheit gilt und die Entwicklung der VdS-Richtlinien 3473 („Cyber-Security für KMU“) und VdS-Richtlinien 10010 („Umsetzung der DSGVO“) leitete, hält keine Powerpoint-Präsentationen, er bezieht das Publikum mit ein und sorgt dabei sowohl für betretene Gesichter, als auch den einen oder anderen Lacher.

Gemeinsamer Besuch des Forums „Social Engineering und Awareness“ am Nachmittag

Mit dem Vortrag „Sicherer Zahlungsverkehr in Zeiten von Cyber Crime“ von Rainer Schwab, Dipl. Bankbetriebswirt und Fachbetreuer der Commerzbank AG Firmenkunden, erhielten wir einen interessanten Einblick in die Erfahrungen von Kreditinstituten mit Betrugsszenarien aus der Praxis. Eine Vorgehensweise von Angreifern ist das sogenannte „Social Engineering“, bei der die Schwachstelle Mensch ausgenutzt wird. Hier werden gezielt Mitarbeiter eines Unternehmens anhand von Tricks dazu bewegt, „normale Sicherheitsvorkehrungen“ zu umgehen und zum Beispiel sensible Informationen preiszugeben.

Die in Deutschland verwendeten Zahlungsverkehrsprodukte weisen, so Herr Schwab im internationalen Vergleich doch ein recht hohes technisches Sicherheitsniveau auf, das es Angreifern erschwert sich Zugriff auf Systeme zu verschaffen. Deshalb zielen diese vermehrt auf die Täuschung der Mitarbeiter im Unternehmen ab und versuchen sie mit perfekt gefälschten Zahlungsaufforderungen dazu zu bringen, scheinbar rechtmäßige Zahlungen auszulösen. Oft mit Erfolg, wie uns Herr Schwab berichtet.

Ein weiteres häufiger auftretendes Szenario ist das Verschaffen von Zugriff auf den Arbeitsplatzrechner der Mitarbeiter über Fernwartungssoftware oder der sogenannte „Man in the Middle“. Hier bemerken Mitarbeiter, die ein Geschäft anbahnen nicht, wie sich über den Zeitraum der Kommunikation, beispielsweise per Mail mit dem Geschäftspartner auf einmal andere, ähnlich aussehende E-Mail-Adressen einschleichen. Hacker verändern dabei nur sehr wenige Inhalte der Original E-Mails, um nicht aufzufallen. So wird lange Zeit auch kein Verdacht geschöpft. Erst bei der Rechnungslegung wird manipulierend in die Bankdaten der Rechnung eingegriffen. Dass ein Betrug vorliegt, wird oft erst mit der Mahnung bemerkt oder wenn die bestellte Ware nicht ankommt. Wieder einmal werden wir daran erinnert, wie wichtig die stetige Sensibilisierung der Mitarbeiter und fachliche Weiterbildung in diesem Gebiet bleibt.

Die Ausstellung im Foyer der IHK Nürnberg

Das darf an einem IT-Sicherheitstag nicht fehlen: Das Live Hacking

Marco Di Filippo, im Internet besser bekannt als MadIFI, setzt bei seiner Vorführung ganz klar an der Schwachstelle an, die für jedes Unternehmen das größte Risiko darstellt: Der Mensch, sprich die Mitarbeiter des Unternehmens. Dies tut er in Form von Social Engineering Angriffen. Bei seiner Präsentation „Zielgerichtete Angriffstechniken auf IT-Infrastrukturen“ veranschaulichte er, wie einfach es ist, die Opfer für seine sogenannten Spear-Phishing-Attacken auszuwählen. Die dafür benötigten öffentlich verfügbaren Informationen liefert ihm hier beispielsweise Google und dessen Algorithmus zur Suchanfrage auf E-Mailadressen bestimmter Firmen oder auch geleakte Passwort-Datenbanken und Open Source Software. Seine Opfer ködert er anschließend mit täuschend echt aussehenden Websites auf denen sein eigener Schadcode, getarnt als verifizierte Software, zu finden ist. Die Chancen, dass diese durch den Mitarbeiter ausgeführt werden, beziffert er mit etwa 60%. Der Schaden kann für das Unternehmen jedoch existenzbedrohend sein.

Insgesamt war der Besuch des IT-Sicherheitstages für uns eine gute Möglichkeit uns wieder mal externen Input in unserem Fachbereich einzuholen. Die Bereitschaft für lebenslanges Lernen, sich als Berater und Unternehmer auf dem aktuellsten Stand zu halten ist nicht nur für uns ein absolutes Muss. Wir möchten diesen Rat auch dringend an alle Kunden und Partner weitergeben, die in der Verantwortung stehen, die Zukunftsfähigkeit ihres Unternehmens abzusichern.

Vielleicht informieren auch Sie sich über Fortbildungsprogramme, Fachvorträge oder andere Weiterbildungsangebote in Ihrer Region. Wir können dies nur mit Nachdruck empfehlen. Auch das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) möchte Unternehmen künftig noch besser unterstützen und hat deshalb in mehreren Regionen Deutschlands Verbindungspersonen entsandt. Durch die Entsendung dieses Fachpersonals wird das BSI für Länder, Bundesbehörden, nationale / internationale Organisationen und die Wirtschaft in Schlüsselregionen besser erreichbar. Ein regelmäßiger Besuch der Internetseiten und Angebote des BSI lohnt sich.

Für weitere Impressionen zum IT-Sicherheitstag dürfen wir auf die Internetseiten der Veranstalter verweisen.

Die eyeDsec bedankt sich herzlich bei den Organisator/innen der IHK Nürnberg für die gelungene Organisation und tolle Verpflegung. Ebenso möchten wir uns für das zur Verfügung stellen und die Einwilligung zur Veröffentlichung der in diesem Beitrag verwendeten Fotos bei der IHK und bei Herrn Mark Semmler bedanken.

Urheberhinweis Fotografien: IHK Nürnberg für Mittelfranken.