Informationen zu den angebotenen Workshops am 22. Juni 2017

 

 

 

Workshop 1 (Raum 33/1101): Privacy Engineering – Rechtliche Anforderungen ’smart‘ umsetzen

Moderation und Organisation:

  • Dr. Sibylle Gierschmann, LL.M. (Duke University), Partner TaylorWessing Rechtsanwälte – Juristin

 

Zusammenfassung:

Ab 25. Mai 2018 gilt für alle europäischen Mitgliedstaaten die sog. Datenschutz-Grundverordnung. Diese Verordnung schützt „personenbezogene Daten“, also Angaben zu natürlichen Personen, was nicht im klassischen Sinne Schutzziel der Informationssicherheit ist. Die Verordnung stellt einen Paradigmenwechsel dar und ihre Umsetzung ist für Unternehmen und Behörden eine große Herausforderung. Damit einher gehen erhöhte Anforderungen der Rechenschaftspflicht von Unternehmensführung/Behördenleitung. Erforderlich ist der Nachweis der Einhaltung von rechtlichen Vorgaben und die Überprüfung der Wirksamkeit von eingeleiteten Maßnahmen. Bei Nichteinhaltung drohen zukünftig empfindliche Bußgelder von bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes. 

Zahlreiche Vorschriften lassen sich nur im Zusammenspiel zwischen rechtlichen, betriebswirtschaftlichen und informationstechnischen Know-How umsetzen. Es kommt hinzu, dass einige der neu eingeführten Prinzipien noch sehr ausfüllungsbedürftig sind, was für die Normadressaten Risiko und Chance zugleich sein kann. Hier besteht ein großer Forschungsbedarf, um den Rechtsanwender mit Mitteln und Methoden auszustatten und gleichzeitig die Rechtsentwicklung mit zu gestalten. 

Im Rahmen des Workshops wird den Teilnehmern zunächst die Datenschutz-Grundverordnung und ihre wesentlichen Prinzipien im Überblick erläutert. Anschließend werden ausgewählte Problemfelder dargestellt, welche neuer Lösungsansätze bedürfen. Beispielsweise Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen („Privacy by Design“), Risikobeurteilung und Datenschutz-Folgenabschätzungen („Privacy Impact Assessment“) oder Konzepte zur Löschung oder Anonymisierung. 

Im Rahmen eines Workshops werden die Teilnehmer in Arbeitsgruppen möglichst interdisziplinär Lösungsansätze diskutieren. Anhand von geführten Fragen werden dabei die Teilnehmer ermitteln, ob es für die aufgeworfenen Problemfelder Forschungsbedarf gibt. Abschließend stellten die Arbeitsgruppen ihre Arbeitsergebnisse der Gesamtgruppe vor. 

 

Agenda: 

  • Teil I: Einführung zum rechtlichen Hintergrund (Datenschutz-Grundverordnung) 
  • Teil II: Aufriss der bestehenden Problemstellungen im Rahmen der Umsetzung der rechtlichen Anforderungen in die Praxis 
  • Teil III: Identifikation von Lösungsansätzen und potentiellen Forschungsfeldern (Gruppenarbeit) 
  • Teil IV: Vorstellung der Workshop-Ergebnisse, Wrap up 

 

Referenten: 

  • Dr. Sibylle Gierschmann, LL.M. (Duke University), Partner TaylorWessing Rechtsanwälte – Juristin 
  • Markus Gierschmann, atprivacy consulting – Wirtschaftsingenieur 

 

Workshop 2 (Raum 33/0231): Cyber Resilience Luftfahrt

Moderation und Organisation:

  • Dr. Tobias Kiesling, Industrieanlagen-Betriebsgesellschaft mbH (IABG) Dr. Tobias Uhlig, Universität der Bundeswehr München

 

Zusammenfassung:

Die Resilienz kritischer Infrastrukturen vor Cyber-Bedrohungen hat in den letzten Jahren enorm an Aufmerksamkeit gewonnen. Neben allgemeinen Grundlagen müssen dabei insbesondere auch domänenspezifische Aspekte berücksichtigt werden. Lufttransport ist dabei eine beispielhafte kritische Infrastruktur mit sehr spezifischen Eigenheiten, die sich insbesondere durch eine hohe Komplexität und den engen Vernetzungsgrad der beteiligten Organisationen auszeichnet. Der Workshop „Cyber-Resilienz in der Luftfahrt“ widmet sich der Identifikation und Analyse von Herausforderungen und Lösungsansätzen zur Sicherstellung der Widerstandsfähigkeit des Lufttransportsystems gegenüber heutigen und zukünftigen Cyber-Bedrohungen. Im Einzelnen werden dabei die folgenden Themen behandelt: 

  • Resilienzorientierte Bedrohungs- und Risikoanalyse 
  • Sicherheitsaspekte der Mensch-Maschine-Interaktion im Hinblick auf zunehmende Automatisierung 
  • Technische Aspekte der Kommunikationssicherheit und der Sicherheit eingebetteter Systeme in Luftfahrzeugen 
  • Kulturelle Aspekte der Sicherheit 

 

Workshop 3 (Raum 33/0131): Systemhärtung durch Pentesting

Moderation und Organisation:

  • Dr. Robert Koch, Universität der Bundeswehr München und Führungsunterstützungskommando der Bundeswehr
  • Markus Maybaum, Zentrum für Cyber-Sicherheit der Bundeswehr

 

Zusammenfassung:

Penetrationstests stellen ein probates Mittel dar, um Systeme durch gezielte Angriffe auf ihre Robustheit zu überprüfen. In herkömmlichen IT-Landschaften sind Penetrationstests bereits etabliert und stellen einen wichtigen Beitrag zur Verbesserung der IT-Sicherheit in ihrer Gesamtheit dar. Doch wie sieht es mit der Anwendung dieser Verfahren im Bereich von Waffensystemen und Munition aus? Können etablierte Verfahren der Industrie auch hier zur Anwendung kommen bzw. welche besonderen Herausforderungen sind im militärischen Bereich zu beachten? Welche technischen, rechtlichen oder praktischen Herausforderungen muss sich eine Bundeswehr auf dem Weg in den Cyberraum stellen? Wie werden Penetrationstests vor diesem Hintergrund in der Zukunft aussehen? 

Diese Fragestellungen sollen auf dem Workshop „SYSTEMHÄRTUNG DURCH PENETRATIONSTESTS“ im Detail erörtert werden. Hierzu werden zunächst sowohl bereits gewonnene Erfahrungen im militärischen Bereich als auch zukünftige Herausforderungen aus wissenschaftlicher Sicht erörtert. Im zweiten Teil des Workshops wollen wir diskutieren, welche besonderen Herausforderungen das Militär bei der Entwicklung von „Pen-Testing-Capybilities“ zu meistern hat und welche Schritte hierzu notwendig sind. Wie könnte die Bundeswehr vorgehen, um Penetrationstests in ihren Systemen zu betreiben? Mit welchen zukünftigen Fragen wird sich die Forschung in diesem Bereich beschäftigen müssen? 

Zielgruppe des Workshops sind neben der Bundeswehr und den zivilen Ressorts der Bundes- und Landesregierungen insbesondere der Forschungsbereich sowie IT-Security-Practicioner aus Wirtschaft und Industrie. Der Workshop ist interaktiv ausgerichtet, d. h. zusätzlich zu einer Diskussion zwischen Rednern und dem Publikum sollen auch Fragestellungen in Gruppenarbeit gelöst sowie Ergebnisse vorgetragen werden.

 

Agenda: 

  • 14:00: Begrüßung und Einleitung durch die Moderatoren 
  • 14:15: Michael Pfister, Bundesheer (AUT): Erfahrungsbericht – Pen-Testing im Bundesheer 
  • 14:30: Holger Fastenrath, Betriebszentrum IT-System der Bundeswehr: Fallbeispiel: Ressortübergreifendes kooperatives Pen-Testing am Beispiel „BROMRUM“ 
  • 14:45: Martin Clauß, Fraunhofer FKIE: Aus der Forschung: Herausforderungen an Penetrationstests – Heute und Morgen 
  • 15:00: Markus Maybaum, ZCSBw: Pen-Testing Kooperation: Community-Building und Aufbau einer kooperativen Pen-Testing Information Sharing Platform 
  • 15:15: Dr. Bernd Eßer, BWI Informationstechnik GmbH: Ausblick: Red/Blue Teaming – zukunftsfähige Cyber Defence in der BWI 
  • 15:30: Kaffeepause 
  • 16:00: Lion Nagenrauft, it-cube: State-of-the-art Pen-Testing, wo steht die Industrie 
  • 16:15: Christian Behling, ZCSBw: Pen-Testling Live-Cycle – Ein Modell für die Praxis? 
  • 16:30: Gruppenarbeit: Herausforderungen für das Militär bei der Entwicklung einer Pen-Testing Capability. (Dr. Robert Koch, Markus Maybaum, Christian Behling) 
  • 17:00: Dr. Robert Koch, FüUstgKdo: Pen-Testing in der Bundeswehr, quo vadis!? 
  • 17:15: Hot Wrap Up Arbeitsergebnisse und „way ahead“ (Moderatoren)

 

Workshop 4 (Raum 1131): Cyberrisiken und Finanzstabilität

Moderation und Organisation:

  • Prof. Dr. Gabi Dreo, Forschungsinstitut CODE, Universität der Bundeswehr München
  • Christian Schläger, Giesecke + Devrient Jens Seiler, Deutsche Bundesbank

 

Zusammenfassung:

Der Schutz kritischer Infrastrukturen, vor allem des Finanzsektors, ist nicht nur technisch anspruchsvoll und organisatorisch herausfordernd, sondern mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) auch komplexen rechtlichen Rahmenbedingungen unterworfen. Nach Impulsvorträgen ausgewählter Experten zu den Fragestellungen

  • Welche Bedeutung haben Cyberrisiken für die Finanzstabilität? 
  • Ist unser Finanzsystem ausreichend gegen Cyberangriffe geschützt? 
  • Welche Maßnahmen müssen als nächstes in die Wege geleitet werden? 

werden in einer Panel-Diskussion mit den Workshop-Teilnehmern gemeinsame Handlungsfelder und Kollaborationsmöglichkeiten identifiziert, um eine aktive Zusammenarbeit zum Schutz des Finanzwesens vor Cyberrisiken zu stimulieren.

 

Referenten und Panelteilnehmer: 

  • Dr. Frank Amandi, Allianz Global Corporate & Specialty 
  • Frank Fischer, Deutsche Börse, CISO 
  • Florian Kellermann, F-Secure 
  • Jens Obermöller, Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) 

 

Workshop 5 (Raum 0101): Data Science für Cybersicherheit

Moderation und Organisation:

  • Martin Löffler, Global Account Manager, SAP Deutschland SE & Co. KG Alfred Saal, Leiter Geschäftsentwicklung Cyber Security und Defense Innovation, IBM Deutschland 

 

Zusammenfassung:

Im Workshop Data Science für Cybersicherheit werden in Impulsvorträgen durch ausgewählte Referenten und in einer daran anschließenden Podiumsdiskussion mit den Referenten und den Teilnehmern des Workshops folgende Themen und Fragestellungen adressiert: 

Einführung in das Thema Data Science aus wissenschaftlicher Sicht. 

Korrelative Auswertungen vieler verschiedenartiger Daten, mit dem Ziel neue Zusammenhänge und Erkenntnisse zu gewinnen; wie z.B. durch Muster-/Anomalie-Erkennung, strukturierte und unstrukturierte Daten-/Text-Analyse, Korrelation unterschiedlicher Daten/Signale; wie z.B. Kennzahlen und Umweltdaten (Geo-Daten, Geolokation), Vorausschauende Analysen und Simulation komplexer Zusammenhänge etc. 

Welchen Einfluss hat die zunehmende Digitalisierung auf Unternehmen, Forschung und Lehre, militärische Organisationen und auf unsere Gesellschaft? 

Was sind die technischen und organisatorischen Voraussetzungen, um ‚Data Science‘ gewinnbringend zu nutzen, Stichworte sind hier beispielsweise die Qualität, Verfügbarkeit und Vertrauenswürdigkeit der Daten sowie deren sicheren Umgang (Cyber-/IT-Schutz)? 

Erkenntnisse aus Datenanalysen als Stellgrößen für die Automatisierung von Prozessen (Wirkketten) und zur Verbesserung von Abläufen, Agilere Entscheidungsfindung und Führungsprozesse, gerade im Hinblick auf IT-Sicherheit. 

Anwendungsbeispiel Cybersecurity : wie können cognitive Methoden zur Erkennung von Angriffen genutzt werden (inkl. Demo) 

 

Referenten und Panelteilnehmer: 

  • Frank Irnich, SAP Deutschland SE & Co. KG 
  • Achim Müller, Erster Direktor im Zentrum für Geoinformationswesen der Bundeswehr 
  • Gerd Rademann, IBM Deutschland 
  • Prof. Dr. Thomas Seidl,Ludwig-Maximilians-Universität München 

 

Workshop 6 (Raum 3201): Serious Games for Cyber Security

Moderation und Organisation:

  • Dr. Marko Hofmann, Forschungsinstitut CODE, Universität der Bundeswehr München Demosthenes Ikonomou, ENISA 

 

Abstract:

We are living in a world where the cyber security threat landscape is rapidly evolving, giving less and less time for organizations to adapt and effectively protect their assets. In this light, it has been suggested that the gamification of training and education for cyber security will be beneficial. It is proven that the strongest cyber security systems cannot provide effective protection against cyber attacks because 70% of cyber security breaches occur due to the human factor or the ‘insider threat’. Personnel training is the key to reducing the human error factor and improving general organizational cyber security. More than half of the reported breaches are caused by unintentional mistakes made by the employees. 

Thus, it is argued that serious games and gamification could be used in order to simulate customizable real life situations in which an individual can be digitally attacked and respond. It is then possible in a contained yet realistic and fun environment to identify what can go wrong and which tools or procedures need to be improved in order to stay safe or minimize the damage for an organization. 

This is leading to a growing consensus – in government and in the private sector – that more training and education are needed as these lead to more responsible behavior. Visionary companies are moving from a reactive, defensive mode to a more pro-active approach, linking information security back to business strategy and putting in place mechanisms to ensure it. 

The CODE Serious Games Session will provide insights of large scale gamified exercises, training platforms and cyber wargames that can be used to improve the cyber security posture of any organization against the ever growing cyber security threat landscape. 

 

Session Outline: 

  • PD Dr. Marko Hofmann, Universität der Bundeswehr München: Introduction to Serious Games (20 min) 
  • Alexandros Zacharis ENISA: Design and implementation of large scale Cyber Exercises (30-45min) 
  • Alexandros Zacharis ENISA: Gamifying an Incident Response Training Platform (30 min) 
  • Prof. Dr. Ulrike Lechner, Universität der Bundeswehr München: Cyber Wargames (30 min) 
  • Short panel discussion among the speakers with open questions for the audience