Die Regulierung Kritischer Infrastrukturen erweitert sich ab 2024 in Deutschland deutlich. Mit der Umsetzung der EU-Richtlinien NIS2 und RCE in deutsche KRITIS-Regulierung müssen zehntausende Unternehmen ihre Cybersecurity verbessern.

Die EU-Richtlinien NIS2 und RCE (CER) legen EU-weite Mindeststandards fest, die durch nationale Gesetze bis 2024 umgesetzt werden müssen – in Deutschland mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) und KRITIS-Dachgesetz.

Ein Großteil der deutschen Wirtschaft ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz und Bilanzsumme wird betroffen sein, von der Energieversorgung bis zum verarbeitenden Gewerbe. Die betroffenen Einrichtungen müssen wirksame Cybersecurity-Maßnahmen nach Stand der Technik umsetzen, Vorfälle melden und die Umsetzung teilweise sogar nachweisen.

Die Keynote fasst die wichtigsten Neuerungen von NIS2 und KRITIS-Dachgesetz für Unternehmen zusammen und zeigt eine klare Roadmap zum Umgang auf.

• EU-Direktiven und KRITIS in Deutschland
• KRITIS-Dachgesetz
• Umsetzung von NIS-2
• Auswirkungen auf Unternehmen

09:30 – 09:55 Keynote; Migration zur Post-Quanten-Kryptographie

10:00 – 10:25 So geht NIS2-, DORA- und DSGVO-konformer Umgang mit IT-Diagnose-Daten für KRITIS

-----------------------------

09:30 – 09:55 Keynote; Migration zur Post-Quanten-Kryptographie

Der Referent erläutert den Hintergrund der Post-Quanten-Kryptographie und beleuchtet dabei die Risiken des Quantencomputers für die IT sowie die damit verbundenen wettbewerblichen und regulatorischen Herausforderungen. Des Weiteren präsentiert er einen Überblick über den aktuellen Stand der Standardisierungen weltweit, einschließlich der Bemühungen von Organisationen wie ENISA, ETSI, BSI, NIST, NSA, NCSC, ANSSI, IETF, IEEE, ISO und anderen. Es wird auch auf die Bedeutung von Kryptoagilität eingegangen, ein Konzept, das darauf abzielt, die Handhabung kryptographischer Komponenten agil zu gestalten, und der aktuelle Stand der Technik wird diskutiert. Zusätzlich werden die verschiedenen Schritte eines Migrationsprozesses, wie Inventarisierung, Risikobewertung, strategische Planung und Umsetzung, detailliert erläutert.

Wasilij Beskorovajnov

10:00 – 10:25 So geht NIS2-, DORA- und DSGVO-konformer Umgang mit IT-Diagnose-Daten für KRITIS

In diesem Vortrag deckt Dr. Stephen Fedtke die Sicherheitsrisiken von IT-Diagnose-Daten auf, die oft vernachlässigt werden. Anhand des Crash-Dump-Hacks 2023 bei Microsoft illustriert er potenzielle Folgen. Im Hinblick auf NIS-2 und DORA werden risikoreduzierende, technische Maßnahmen für KRITIS nach "Stand der Technik" obligatorisch, auch aus Sicht der Cyber-Versicherungen. Seine Präsentation fokussiert sich darauf, wie diese Risiken durch automatisierte Anonymisierung vor dem Upload vermieden werden können. Er zeigt, wie Sie sensible Diagnose-Daten trotz unterschiedlicher Dateiformate präzise, automatisiert und sicher anonymisieren können, ohne ihren technischen Wert zu beeinträchtigen.
• Risikomanagement und Risikoanalyse IT-Diagnose-Daten unter Berücksichtigung des „Stand der Technik“
• KRITIS-Cyberangriff auf US-Regierung durch Schlüsseldiebstahl aus Crash-Dump bei Microsoft USA
• Geeignete und „verhältnismäßige technische, operative und organisatorische Maßnahmen“ zum Schutz der sensiblen und sicherheitskritischen Daten
• Maßnahmen auf einem „gefahrenübergreifenden Ansatz“
• Anforderungen an Dumps, Logs und Traces für NIS2, DORA und DSGVO erfüllen

Dr. Stephen Fedtke, CTO, Enterprise-IT-Security.Com

09:30 – 09:55 Keynote: Zero Trust: Allheilmittel oder fauler Zauber?
10:00 – 10:25 Zero Trust in SAP – nicht ohne Transportkontrollen!
10:30 – 10:55 Zertifikats- und Credential Management als Grundpfeiler von Zero-Trust
11:00 – 11:25 Zero Trust, Total Security: Volle Zugriffskontrolle mit PAM
-----------------------------
09:30 – 09:55 Keynote Zero Trust: Allheilmittel oder fauler Zauber?
Beim Zero Trust-Prinzip wird nichts und niemandem vertraut, weder dem IT-System noch einem Nutzer, IT-Dienst, Netzwerk und ebenfalls weder IT-Anwendungen noch IT-Prozessen, IT-Infrastruktur – allgemein IT-Entität – innerhalb oder außerhalb des „eigenen Netzwerks“.
Das bedeutet, sämtliche Kommunikation zwischen den IT-Entitäten wird kontrolliert, reglementiert sowie auf Angriffsversuche untersucht. Zudem werden alle IT-Entitäten robust aufgebaut und müssen sich gegenseitig authentifizieren. Dazu ist es notwendig, dass alle IT-Entitäten eine eindeutige digitale Identität haben.
Auf der Basis von verschiedenen, aber ineinander wirkenden IT-Sicherheits- und Vertrauenswürdigkeitsmechanismen soll durch Zero Trust die Angriffsfläche der eigenen IT-Landschaft so klein wie möglich gehalten und die Robustheit der IT-Systeme deutlich größer werden.
• Lage der IT-Sicherheit
• Perimeter-Sicherheit: Traditionelles Sicherheitsmodell
• Zero Trust: Das Sicherheitsmodell der Zukunft
• Robustheit von IT-Systemen
• Herausforderungen für die Zukunft

Prof. Dr. Norbert Pohlmann

10:00 – 10:25 Zero Trust in SAP – nicht ohne Transportkontrollen!

Die Präsentation zeigt, wie Zero Trust-Prinzipien in SAP-Umgebungen, insbesondere in den Bereichen Transportkontrollen und Echtzeitüberwachung, effektiv umgesetzt werden können.

Die Referenten erklären, welche Gefahren entstehen, wenn Datenpakete in SAP-Systemen zwischen Entwicklung und Produktivumgebung unkontrolliert übertragen werden. Sie zeigen auf, wie einfach es für Angreifer ist, umfassende Zugriffsrechte zu erhalten und sogar Passwörter zu überschreiben. Mithilfe von bewährten Methoden und einer Live-Demo von Pathlock Transport Control wird veranschaulicht, wie Unternehmen ihre SAP-Sicherheit verbessern, Risiken minimieren und auf Sicherheitsverletzungen reagieren können. Ein besonderer Fokus liegt auf dem Konzept "Nie vertrauen, immer verifizieren", das SAP-Systemen einen erweiterten Schutz vor internen und externen Bedrohungen bietet.

• Welches die besten Strategien und Werkzeuge zur Identifizierung und Minimierung von Sicherheitsrisiken in SAP-Umgebungen sind.
• Warum das Konzept 'Nie vertrauen, immer verifizieren' die Sicherheitsstrategie von SAP-Systemen verbessert.
• Wie Transportkontrollen in SAP eingerichtet werden können, um Datenbewegungen sicher zu gestalten.
• Warum es eine Echtzeitüberwachung von SAP-Systemen braucht, um potenzielle Sicherheitsbedrohungen sofort zu identifizieren.
• Welche Verfahren und Best Practices für eine schnelle und effektive Reaktion auf Sicherheitsvorfälle sorgen.

Raphael Kelbert, Product Manager - Clemens Gütter, Product Manager

10:30 – 10:55 Zertifikats- und Credential Management als Grundpfeiler von Zero-Trust
In diesem Vortrag wird über die Bedeutung sicherer Identitäten, Faktoren und Zertifikate sowie insbesondere ihr Management im Rahmen eines Zero-Trust-Konzepts gesprochen. Es wird darüber diskutiert, ob ein Zertifikat unbedingt mit einer SmartCard oder einem FIDO2-Token verbunden sein muss. Anhand eines Beispiels einer Bank wird gezeigt, wie der gesamte Lebenszyklus von Zertifikaten effizient und benutzerfreundlich mit Lösungen von CRYPTAS und Intercede MyID umgesetzt werden kann.
• Warum sind Zertifikats- und Credential Management Grundpfeiler von Zero-Trust?
• Welche Rolle spielt die 2-Faktor Authentifizierung im Kontext von NIS2 und DORA?
• Bedeutet Zertifikat automatisch SmartCard?
• Wie mit Lösungen von CRYPTAS und Intercede myID die Sicherheit, Effizienz, Effektivität, Nutzerfreundlichkeit und Wirtschaftlichkeit gesteigert werden kann

DI (FH) Stefan Bumerl, Gründer und CEO der CRYPTAS Gruppe

11:00 – 11:25 Zero Trust, Total Security: Volle Zugriffskontrolle mit PAM
Laut einem Bericht des Beratungshauses Forrester basieren etwa 80% der in den Medien vorkommenden Cyber-Angriffe heutzutage in gewisser Weise auf dem Diebstahl privilegierter Anmeldeinformationen. Dies liegt daran, dass für Cyberkriminelle der Zugang über privilegierte Konten der einfachste und schnellste Weg in ein IT-System ist, um sensible Daten zu stehlen.

Privilegierte Nutzer haben in der Regel umfassende Administrator- und Root-Rechte, die für Aufgaben wie System-Updates und Wartung notwendig sind. Allerdings ermöglichen diese Privilegien auch, bestehende Sicherheitsprotokolle zu umgehen. Das ist die Schwachstelle, die bösartige Akteure ausnutzen, um unerlaubte Systemänderungen vorzunehmen, auf gesperrte Daten zuzugreifen und/oder ihre Handlungen zu verschleiern. Traditionelle Sicherheitslösungen bieten in dieser Hinsicht keinen Schutz.

Erfahren Sie in diesem Vortrag:

• warum Privileged Access Management (PAM) für die Sicherheit so entscheidend ist,
• wie man mit PAM eine Zero-Trust-Sicherheitskonzept umsetzen kann,
• welche Funktionen in den Technologien des „Access Management“ enthalten sind und
• welche Rolle die Zugriffskontrolle in Compliance-Standards spielt.
• Warum priviligierte Accounts im Fokus von Cyberkriminellen sind,
• Die Rolle von PAM für die IT-Sicherheit in Unternehmen
• Zero-Trust mit PAM
• Der Funktionsumfang von Access Management
• Welche Rolle spielt Zugriffskontrolle in Compliance-Standards

Sascha Schantz, Enterprise Account Manager

13:30 - 13:55 Keynote: Der Pentest ist tot - lang lebe der Pentest

14:00 - 14:25 Vom Pentesting zum Red Teaming

-----------------------------

13:30 - 13:55 Keynote: Der Pentest ist tot - lang lebe der Pentest
Mit der Keynote wird eine Einführung in den Themenkomplex „Penetrationstest“ gegeben. Penetrationstests sind wichtige Komponente einer erfolgreichen Informationssicherheits- bzw. Cybersecurity-Strategie des Unternehmens. Mit Hilfe eines Penetrationstest können Unternehmen prüfen, ob und inwieweit die Sicherheit der IT-Systeme durch Bedrohungen im Bereich Cybercrime gefährdet sind und anhand der Ergebnisse entsprechende Härtungsmaßnahmen zielgerichtet implementieren.
Die Keynote führt ausgehend von aktuellen Schlagzeilen und Statistiken in das Thema Penetrationstest ein. Neben der Definition von Penetrationstest wird auf die Ziele von Penetrationstests in den Bereichen Informationssicherheit und Cloudsicherheit eingegangen. Anhand der verschiedenen Formen eines Penetrationstest wird auf die Herausforderung bei der Durchführung sowie die Auswahl eines geeigneten Dienstleisters eingegangen. Insbesondere wird im Rahmen der Keynote ausgeführt, warum Unternehmen Penetrationstest durchführen sollten.
• Was sind Penetrationstests?
• Welche Herausforderungen bestehen bei der Durchführung von Penetrationstests?
• Warum sollten Organisationen Penetrationstest durchführen? Welche Unterschiede bestehen zum einem internen Audit bspw. durch die Revision?
• Welche Formen von Penetrationstests bestehen und welche Kriterien sollten sie erfüllen?
• Welche Herausforderungen bestehen bei der Auswahl eines Dienstleisters zur Durchführung von erfolgreichen Penetrationstests?

Tobias Baader

14:00 - 14:25  Vom Pentesting zum Red Teaming
Was ist eigentlich der Unterschied zwischen einem Pentest und einem Red Teaming? Und wann taugt was? In diesem Vortrag werden beide Konzepte einander gegenübergestellt und Unterschiede mit Erzählungen aus echten Projekten greifbar gemacht. Aha-Momente garantiert.

Abschließend stellen MindBytes ihr neues Programm „attack&secure“ vor, das alle anspricht, die in den Startlöchern zu mehr Sicherheit in ihrem Active Directory stehen und Fortbildung mit erstem Pentest verknüpfen möchten.
• Was die Unterschiede zwischen Pentests und Red Teamings sind
• Wann welche Art von Test geeignet ist
• Wie ein Red Teaming ablaufen kann (Beispielerzählung)
• Wie das Ergebnis eines Red Teamings aussieht
• Wie man erste Schritte selbst gehen kann
Nina Wagner, Geschäftsführerin & Pentesterin, Christian Stehle, Geschäftsführer & Pentester

13:30 – 13:55 Keynote: Scheinriese Angriffserkennung - Wie hoch ist der Aufwand für Planung und Umsetzung?
14:00 – 14:25 Erkennung und Abwehr von Cyber-Angriffen dank Managed Security Service
14:30 – 14:55 Angriffserkennung im Einsatz: die Top 10 OT-Risiken aus einem Jahr Risikoanalyse
15:00 – 15:25 Erkennen von Insider Angriffen mit Scheinzielen (Deception)

-----------------------------

13:30 – 13:55 Keynote: Scheinriese Angriffserkennung - Wie hoch ist der Aufwand für Planung und Umsetzung?

Angriffserkennung ist der prozessuale Trigger für die Maßnahmen der Abwehr und ruft damit die Themen der Cybersecurity überhaupt erst auf den Plan: Wir wissen nicht, was wir nicht wissen. Und wir können nichts tun, ohne zu wissen worum es geht!
Jedenfalls ist damit der Rahmen für eine flexible und dynamische Strategie der Cyberorganisation gelegt. Diese bewegt sich in den Grenzen der Regulierung mit Angemessenheitsgebot und Übermaßverbot. Die Keynote fasst dann die wichtigsten Strukturen für Planung und Budget zusammen und legt so den Scheinriesen auf den Tisch.
• Gesetze und Grenzen der Messbarkeit
• Rechtsgrundlagen für Maßnahmen der Angriffserkennung
• Der Plan, die vielen leckeren Produkte und ohne Moos nix los!
Björn Holland, LL.M. IT & Telecommunications Law (Cassini Consulting AG || Strategic Advisor Security & Privacy)

14:00 – 14:25 Erkennung und Abwehr von Cyber-Angriffen dank Managed Security Service
Kritische Infrastrukturen, Kritis- und Non-Kritis-Unternehmen sowie Behörden erleiden oft Online-Attacken, verfügen aber oft über kein Cyber-Frühwarnsystem. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass heute mindestens jedes international aufgestellte Unternehmen in Deutschland ein potenzielles Ziel für fortgeschrittene Cyber-Attacken ("Advanced Persistent Threats", kurz APTs) ist. Die Vernetzung verschiedener IT- und OT-Infrastrukturen sowie die Vielzahl der internen und externen Prozesse macht eine Überwachung der Kommunikationsdaten auf Angriffe notwendig. Bedrohungen müssen frühzeitig erkannt und darauf reagiert werden, um die Verfügbarkeit der Geschäftsprozesse sicherzustellen. EnBW Cyber Security GmbH bietet daher eine Managed Threat Monitoring Lösung um Anwendungen und Infrastruktur zu schützen

• Schnellere Reaktionszeit
• Flexibilität und Skalierbarkeit
• Kontinuierliche Überwachung
• Compliance und Regelkonformität
• Kosteneffizienz
• Aktuelle Technologie und Tools

Harald Krimmel, Senior Cyber Security Expert

14:30 – 14:55 Angriffserkennung im Einsatz: die Top 10 OT-Risiken aus einem Jahr Risikoanalyse
Die Präsentation analysiert anhand echter Daten die Risiken in OT-Netzwerken, insbesondere die Sicherheits- und Verfügbarkeitsrisiken, die in der Leit- und Fernwirktechnik kritischer Infrastrukturen am häufigsten auftreten. Dabei wird "Industrial Protector" von Rhebo vorgestellt, ein System zur Angriffserkennung für industrielle Netzwerke.

Des Weiteren wird erklärt, wie auch KRITIS-Unternehmen binnen kürzester Zeit ihre OT auf Risiken abklopfen und ein System zur Angriffserkennung in Betrieb nehmen können.

.
• Welche Sicherheitsrisiken finden sich in OT-Netzen am häufigsten?
• Welche weiteren versteckten Risiken gefährden die Verfügbarkeit von OT-Netzen?
• Warum in der Leittechnik Sichtbarkeit vor Sicherheit kommt
• Wie ein wirksamer Schutz vor diesen Cyberrisiken aussieht.
• Wie sich in Verteilnetzen und Umspannwerken ein System zur Angriffserkennung in weniger als drei Monaten umsetzen lässt

Dr. Frank Stummer, Business Development

15:00 – 15:25 Erkennen von Insider Angriffen mit Scheinzielen (Deception)

Last Line of Defense - Wirtschaftliche Erkennung von Bedrohungen abseits von Firewall und EndpunktIm Rahmen einer Security Strategie gibt es viele wichtige Bausteine und Empfehlungen um Risiken zu reduzieren und Unternehmungen zu schützen. Viele Einrichtungen stellen sich trotz umfassender Maßnahmen Fragen: Woher weiß ich, wen ich in den Tiefen meiner Infrastruktur habe? Kann ich mich auch umfassend gegen unbewusste oder bewusste Angriffe von Innen schützen?
Der Vortrag informiert dazu, wie sich auch lautlose Angriffe oder Insider-Attacken erkennen und isolieren lassen, und die Cybersecurity entsprechend angepasst werden kann. Dabei können erprobte Taktiken aus Natur und Militär helfen, die letzten Lücken zu schließen und Insider zu überführen.

Wilhelm Klemm

Der Fachkräftemangel in der IT-Sicherheit ist ein weit verbreitetes Problem, das viele Unternehmen betrifft. Die Ursachen sind vielfältig, darunter die steigende Nachfrage nach IT-Sicherheitsexperten aufgrund der fortschreitenden Digitalisierung und Vernetzung sowie der demografische Wandel und begrenzte Ausbildungs- und Studienmöglichkeiten. Die Auswirkungen des Mangels sind vielseitig und betreffen sowohl Unternehmen als auch die Gesellschaft insgesamt. Die Rekrutierung und Bindung von IT-Sicherheitsexperten stellen Unternehmen vor große Herausforderungen, da der Wettbewerb um qualifizierte Fachkräfte hoch ist und es schwierig ist, sie langfristig zu binden. Um den Fachkräftemangel zu bewältigen, sind verschiedene Strategien erforderlich, darunter die Förderung von Bildungs- und Ausbildungsprogrammen für IT-Sicherheitsberufe sowie die Verbesserung der Arbeitsbedingungen und Karrieremöglichkeiten in Unternehmen. Eine enge Zusammenarbeit mit Hochschulen und Forschungseinrichtungen zur Förderung des Nachwuchses ist ebenfalls entscheidend.
• Ursachen für den Fachkräftemangel in der IT-Sicherheit
• Konsequenzen des Fachkräftemangels für Firmen und die Gesellschaft
• Herausforderungen bei der Rekrutierung und Bindung von IT-Sicherheitsfachkräften
• Strategien zur Bewältigung des Fachkräftemangels in der IT-Sicherheit
• Förderung von Bildungs- und Ausbildungsmaßnahmen für IT-Sicherheitsberufe

Markus Limbach: Partner | Consulting – Cyber Security KPMG
Sascha Glemser: Partner | Consulting – Value Chain Transformation KPMG