Praktische IT-Sicherheit 2011
Auf dem Weg zur sicheren Cloud

am 14.09 - 15.09.2011, FIDUCIA IT AG in Karlsruhe
"Rheinlandtreffen 2011"

Fraunhofer INT

Aktuelles

Die 21. Jahreskonferenz zur praktischen IT-Sicherheit
findet am 14.09 und 15.09.2011 auf Einladung der FIDUCIA IT AG in Karlsruhe statt.



Auf dem Weg zur sicheren Cloud

Cloud Computing beschreibt den gegenwärtigen Trend auf IT-Infrastrukturen (z. B. Rechner, Speicher, Netze) und Software je nach Bedarf über Netzwerke zugreifen zu können. Ein sicheres Cloud Computing kann nur dann gewährleistet werden, wenn alle Komponenten selber und das Zusammenwirken der Komponenten sicher ist, d.h. von der sicheren Netzwerk-Kommunikation über das verwendete Identitätsmanagement bis hin zu sicheren Infrastrukturen und Software. Was hier genau unter „sicher“ zu verstehen ist, definiert dabei der Nutzer durch seinen Anwendungsbereich.

Die wesentliche Herausforderung liegt dabei in der geänderten Sichtweise der Beziehung zwischen IT-Sicherheit und Vernetzung. In der Vergangenheit konnte die IT-Sicherheit einfach dadurch erhöht werden, dass gleichzeitig der Grad der Vernetzung reduziert wurde (eingeschränkte oder keine Verbindung zum Internet, Intranet etc.). Dabei galt: ein einfach strukturiertes System mit wenig Schnittstellen nach außen lässt sich optimal sichern. Da Cloud Computing sich über eine komplex-strukturierte Vernetzung definiert, ist die bisherige Vorgehensweise zur Erhöhung der IT-Sicherheit nicht mehr erfolgversprechend und muss durch neue Ansätze abgelöst werden.

Die Konferenzreihe „Praktische IT-Sicherheit“ beschäftigt sich seit vielen Jahren mit der Sicherheit in den o.g. Bereichen. Im Rahmen der diesjährigen 21. Jahreskonferenz zur praktischen IT-Sicherheit sollen diese Betrachtungen unter dem Dach des Cloud Computing zusammengefasst werden:

  • Die sichere Kommunikation über Netzwerke war in den vergangenen Jahren immer wieder Schwerpunkt-Thema der Konferenzreihe, wobei uns eine Reihe von Lösungsmöglichkeiten präsentiert wurde. In diesem Jahr wird der IT-Leiter der Fiducia IT AG mit uns die Möglichkeiten eines sicheren Datentransfers diskutieren. Von Palo Alto Networks - Networks werden wir erfahren, was technisch hinter der neuesten Generation von Firewalls steckt und welcher Sicherheitsgewinn dadurch zu erwarten ist. ReCoBS, ein zusammen mit dem BSI entwickeltes Konzept zum sicheren Websurfen bei normal bis hohem Schutzbedarf, wird uns m-privacy GmbH erklären.
  • Ein – für diese Konferenzreihe - neuer Themenbereich stellt das Identitätsmanagement dar. Hierzu wird uns Cyber-Ark Software Tipps und Hinweise geben.
  • In verschiedenen Vorträgen der letzten Konferenzen wurde auf Sicherheitslücken in der IT-Infrastruktur und bei Software hingewiesen, die man üblicher Weise heute im IT-Umfeld einsetzt. Dabei wurden interessante Lösungsmöglichkeiten aufgezeigt, wie die kostengünstige Identifizierung von Sicherheitslücken über Fuzzing, also Bombardieren von Anwendungen mit automatisch generierten fehlerhaften Daten. Dass auch die IT-Infrastruktur und Software in der Cloud Sicherheitslücken aufweist und wie man geeignete Lösungen findet z.B. um (Betriebssystem-) unabhängigem Programme in der Cloud sicher ausführen zu können, wird im Vortrag der FernUni Hagen verdeutlicht.

IT ist kein Selbstzweck, sondern sollte immer nur im Zusammenhang mit dem Nutzerbedarf (Anwendungsbereich) betrachtet werden. Die Definition der geforderten IT-Sicherheit hängt daher vor allen vom jeweiligen Anwendungsbereich ab. Ein Schwerpunktthema der Konferenz in den letzten Jahren war die IT-Bearbeitung von Dokumenten, die dem staatlichen Geheimschutz unterliegen. Hier wurde deutlich, dass die Definition der IT-Sicherheit im Wesentlichen von einer Vielzahl gesetzlicher Rahmenbedingen abhängt. In diesem Jahr sind wir Gäste eines großen IT-Dienstleister im Bankenumfeld, die Fiducia IT AG, dessen Geschäftsmodell natürlich u.a. auf das Anbieten von sicheren IT-Finanzdienstleistungen basiert. Wir werden von der Fiducia IT AG einen Eindruck von der Vielzahl an Gesetzen und Vorschriften erhalten, die im Bankenbereich für die IT-Sicherheit definieren.

Neben den anwendungsabhängigen Regularien sind allgemein rechtliche Fragestellungen bei Inanspruchnahme von Cloud-Diensten Dritter zu berücksichtigen. Diese werden in einem Vortrag von der Hochschule für Telekommunikation Leipzig vorgestellt.

Eine Entscheidungsunterstützung, welche Dienste einer Cloud für den eigenen Sicherheitsbedarf geeignet sind wird die T-Systems, einer der größten Anbieter von Cloud-Services, geben.



Zielsetzung der Konferenz:

Die Praktische IT-Sicherheit ist eine jährlich seit 1991 in Deutschland stattfindende Industrie- und wissenschaftliche Konferenz zum Thema IT-Sicherheit. Die Ergebnisse der Konferenz (Identifizierte IT-Sicherheits-Fragestellungen und Lösungsansätze) werden zum einen wissenschafts-politisch und zum anderen industrieseitig genutzt. Die wissenschafts-politische Umsetzung erfolgt durch die Fachgruppe Betrieb von Informations- und Kommunikationssystemen (BIK) der Gesellschaft für Informatik (GI). Industrieseitig werden die Ergebnisse durch die Hersteller von IT-Sicherheits Hard- und Software zur Produktverbesserung genutzt.

Ziel dieser Konferenz ist es eine ganzheitliche Sicht auf das Thema IT-Sicherheit zu bieten. Es werden Fragestellungen identifiziert, Lösungsideen aus Wissenschaft und Industrie vorgestellt und auf unterschiedlichen Abstraktionsebenen diskutiert. Dabei werden Erfahrungen und Informationen aus technischer, juristischer und strategischer Sicht ausgetauscht. Im Ergebnis sollen alle am Prozess der IT-Sicherheit Beteiligten einen praktischen Nutzen für ihre Arbeit mitnehmen können.