Tag 1
Umgang mit zielgerichteten Angriffen
Dr. Simon Hoff, ComConsult GmbH
- Wie zielgerichtete Angriffe bzw. Advanced Persistent Threats (APTs) funktionieren und welche Bedrohungen davon ausgehen.
- Welche Angriffsmethoden werden genutzt und wie sieht ein typischer Werkzeugkasten eines Angreifers aus?
- Analyse von bekannten Angriffen: Warum sind system-und anwendungsübergreifende Strategien notwendig?
- Wie können Symptome von Angriffen erkannt werden und welche Rolle spielen Protokollierung, Next-Gen SIEM und Big Data?
- Sicherheitsgateways im Netzwerk zur Abwehr von Angriffen
- Notwendigkeit einer effektiven und effizienten operativen Informationssicherheit
- Entscheidende Grundlage: Security by Design
- Bedeutung eines Information Security Management System (ISMS) für den Umgang mit zielgerichteten Angriffen
- Sensibilisierung der Nutzer und Administratoren
Elemente der operativen Informationssicherheit
Dr. Simon Hoff, ComConsult GmbH
- Anforderungen in Standards: ISO 27001 und BSI IT-Grundschutz-Kompendium
- Wie unterscheiden sich spezielle Bereiche wie z.B. Industrial IT und gibt es besondere Anforderungen für Kritis-Bereiche?
- Absicherung von Administration und Monitoring der IT
- Privileged Access Management (PAM): Kontrolle und Protokollierung administrativer Zugriffe
- Aufbau eines Security Operation Center (SOC)
- Prozesse der operativen Informationssicherheit
- Systematisches Schwachstellen-Management und zugehöriger Werkzeugkasten
- Security by Design: Integration der operativen Informationssicherheit in den Lebenszyklus von IT-Komponenten
- Security Testing und Penetration Testing
- Welche Anforderungen an Security Tests gibt es in Standards zur Informationssicherheit und zur Softwareentwicklung?
- Kernelement Security Incident Management / Prozess zur Behandlung von Sicherheitsvorfällen
- Von Change Management über das Incident Management bis zum Notfallmanagement: Schnittstellen zu IT-Prozessen
- Ohne Risikomanagement geht es nicht
Tag 2
Schwachstellen-Scanner und andere Testwerkzeuge
Dr. Markus Ermes
- Wie Schwachstellen-Scanner funktionieren und welche Möglichkeiten sie bieten
- Scanning auf Netzwerk-, Betriebssystem- und Anwendungsebene
- Scanning und Security Testing von Web-Anwendungen und Web-Services
- Produktbeispiele: Nessus, OpenVAS, Burp, ZAP und andere Werkzeuge
- Automatisiertes Schwachstellen-Scanning
- Integration von Schwachstellen-Scannern in internes Netz und in den DMZ-Bereich
- Werkzeuge und Vorgehensweisen für Penetration Tests
- Risiken beim Schwachstellen-Scanning und Penetration Testing
- Elemente eines Konzepts für Schwachstellen-Scanning, Security Testing und Penetration Testing
- Festlegung von Scan-Zielen und Vorgaben zu Scan-Methode, Testtiefe, Testfrequenz
- Auswertung von Scan- bzw. Testergebnissen und zugehöriges Berichtswesen
Security Information and Event Management (SIEM)
Simon Oberem, ComConsult GmbH
- Architektur, Funktionsweise von SIEM-Lösungen und Abgrenzung zu Log Management
- Welchen Mehrwert bietet ein SIEM für den Nutzer?
- Typische Anforderungen an eine SIEM-Lösung
- Wie funktioniert die Anbindung der IT an ein SIEM?
- Schnittstellen zu Ticketing-Systemen und Systemen der operativen Informationssicherheit
- Wie funktioniert eine anwendungs- und systemübergreifende Erkennung von Anomalien und Angriffen?
- Besondere Bedeutung von Künstlicher Intelligenz
- Forensische Analyse: Warum das Gedächtnis eines SIEM durchaus mehr als nur ein paar Monate umfassen sollte und welche Storage-Anforderungen sich hieraus ergeben.
- Welche Produkte sind am Markt verfügbar und was leisten sie?
- Ist ein SIEM nur passiv oder könnte auch aktiv und selbständig ein Sicherheitsvorfall beseitigt werden?
- Ausschreibung, Planung und Einführung eines SIEM
- SIEM as a Service und Managed SIEM: Betriebsformen, Möglichkeiten und Grenzen des Outsourcing
- Prozesse, typische Organisationsformen und notwendige Kompetenzen für Betrieb und Nutzung eines SIEM
- False Positives und andere Risiken: Worauf ist beim Betrieb eines SIEM zu achten?
Automatisierte Abwehr von Angriffen und anderen Sicherheitsvorfällen
Simon Oberem, Daniel Prinzen, ComConsult GmbH
- Network Access Control (NAC): Einsatz von Profiling-Techniken
- Next Generation NAC und Compliance Checks
- Dynamische Netzsegmentierung: SDN-basierte Konzepte, Mikrosegmentierung mit VMware NSX und Cisco SDA
- Interaktion zwischen Sicherheitskomponenten zur Erkennung und Abwehr von Angriffen
- User and Entity Behavior Analytics in Verbindung mit dynamischen Policies auf Sicherheitskomponenten
- Auslösen von Aktionen auf Sicherheitskomponenten durch ein SIEM
Praxisdemonstrationen
Dr. Markus Ermes, Daniel Prinzen, ComConsult GmbH
Tag 3
Rechtliche Aspekte und Datenschutz in der operativen Informationssicherheit
Ulrich Emmert, esb Rechtsanwälte
- Welche Elemente der operativen Informationssicherheit leiten sich aus dem IT-Sicherheitsgesetz ab und welche Vorgaben müssen Betreiber kritischer Infrastrukturen hier beachten?
- Schwachstellen-Scanning, Penetration Testing und andere ggf. destruktive Tests: Haftungsrisiken, wenn tatsächlich etwas kaputtgeht
- Welche Auswirkungen hat die DSGVO auf das Security Testing und welche anderen gesetzlichen Rahmenbedingungen sind hier zu berücksichtigen?
- Wann ist Security Testing eine Auftragsverarbeitung und welche technischen und organisatorischen Maßnahmen sind zu empfehlen?
- Log Management und SIEM: Wie sollte hier mit protokollierten Personendaten umgegangen werden und wann ist Protokollierung eine Auftragsverarbeitung?
- Welche anderen gesetzlichen Rahmenbedingungen sind bei Log Management und SIEM zu beachten?
- Unterschiede Pseudonymisierung und Anynomisierung
- Warum bei Log Management und SIEM Anonymisierung nicht sinnvoll ist und dagegen eine Pseusdonymisierung notwendig ist.
- Pflichten zur Verwendung von Pseudonymisierung und Verschlüsselung
- Kriterien für Pseudonymisierung und Depseudonymisierung von Logdaten
- Überwachung bei Einsatz von Datenverschlüsselung
- Welche Zusatzmaßnahmen bei einer Pseudonymisierung erforderlich sind.
- Protokollierung von (administrativen) Zugriffen aus der Perspektive von Betriebsrat und Personalrat
- Automatisierung in der operativen Informationssicherheit: Was ist zulässig und wann ist ein menschliches Korrektiv erforderlich?