Intensiver Informationsaustausch ist in Sachen IT-Sicherheit unabdingbar. Deshalb bietet Heise Medien mit einem neuen Veranstaltungsformat Security-Experten eine professionelle Plattform, auf der persönliche Kontakte im Vordergrund stehen.
„Hannover, März, IT-Veranstaltung – das ist seit 30 Jahren einfach gelernt“, sagt Jörg Mühle, Vice President Sales und Mitglied der Geschäftsleitung von Heise Medien. Und bislang funktionierte das Mantra auch perfekt: Die IT-Welt versammelte sich regelmäßig im Frühjahr auf der CeBIT. Doch der neue Ausrichtungstermin der weltweit größten IT-Messe im Juni hinterlässt in vielen Terminkalendern einen weißen Fleck. Keine Lücke in der Jahresplanung gibt es hingegen für IT-Sicherheitsexperten, denn in diesem Jahr öffnen sich die Pforten der Niedersachsenhalle für eine brandneue Security-Veranstaltung: Am 6. und 7. März 2018 treffen sich Security-Anwender und -Anbieter auf der secIT Hannover.
Von Experten für Experten
Das frisch entwickelte Veranstaltungsformat richtet sich an ein Fachpublikum aus IT-Verantwortlichen, Admins, Datenschutzbeauftragten und Entscheidern bzw. Mitentscheidern. Ihren Besuchern will die secIT eine professionelle Austauschplattform zum Thema Sicherheitsstrategien bieten. Um ein mindestens ebenbürtiges Pendant zur bisherigen CeBIT Security Plaza anbieten zu können, setzten die Organisatoren noch stärker auf Interaktion und Thementransfer zwischen Anbietern und Anwendern.
Die Chancen stehen gut dafür, dass die secIT großen Zulauf erhalten wird, denn auf der Agenda stehen topaktuelle Schwerpunktthemen, allen voran Herausforderungen und Problemlösungen bei der Umsetzung der neuen europäischen Datenschutz-Grundverordnung (DSGVO) und bei der Steuerung von Pentests in Großunternehmen. Daneben geht es unter anderem auch um die Sicherheit im IoT, Industrie 4.0, Forensik, Incident Response und Threat Management. Dabei soll jedoch nicht allein die technische Perspektive vorherrschen, auch wirtschaftliche Aspekte wie etwa Konzepte zur Vereinfachung der IT-Infrastruktur und Lösungen zur Senkung von IT-Kosten werden ausreichend Beachtung finden.
IT-Security und DSGVO
Ein zentrales Thema bei den mehr als 25 überwiegend herstellerunabhängigen Vorträgen, vertiefenden Workshops und Expert Talks wird das neue europäische Datenschutzrecht sein. Einerlei, für wie sinnvoll oder praxisnah man die DSGVO-Neuerungen hält, um eine rechtzeitige Umsetzung der Vorgaben kommt letztlich niemand herum. Das gilt gerade auch für IT-Verantwortliche, denn weitaus mehr als bisher wird die IT-Sicherheit elementarer Bestandteil des Datenschutzes. Es entstehen neue Anforderungen vor allem an den Schutz sensibler Daten, aber auch Dokumentations- und Meldepflichten. Und mit den technischen Anforderungen können zugleich die potenziellen Bußgeldzahlungen enorm steigen. Jeder IT-ler ist also gut beraten, sich auf die anstehenden Änderungen vorzubereiten.
Wie das im Einzelnen aussehen kann, erläutert Joerg Heidrich, Justiziar und Datenschutzbeauftragter bei Heise Medien, in seinem Vortrag „Anforderungen der DSGVO an die IT-Sicherheit“. Dass gerade auf Websites Datenschutzverstöße von unliebsamen Konkurrenten und Datenschutzbehörden leicht zu identifizieren sind und damit Abmahnungen und drakonische Bußgelder drohen, betont Heise-Rechtsanwalt und Syndikus Nicolas Maekeler. In seinem Vortrag zeigt er Websitebetreibern, was sie auf der Zielgeraden zum neuen Datenschutzrecht aus juristischer Sicht noch umsetzen müssen.
Im Workshop „Fit für die DSGVO: Was ist zu tun und wo liegen die Risiken?“ vertieft der IT-Rechtsexperte Prof. Dr. Marcus Helfrich noch einmal das Thema. Der Workshop ist wie eine Checkliste angelegt, unter anderem zu den Punkten Accountability, Recht auf Vergessenwerden, Datenschutzfolgenabschätzung und Risikobewältigung durch technische und organisatorische Maßnahmen, internationale Regelungen sowie Outsourcing, Auftragsverarbeitung und Joint Controllership.
Schwachstellen auf der Spur
Ein zweiter Themenfokus widmet sich der Organisation von Penetrationstests im laufenden Betrieb. Wie sich Pentests von Webanwendungen nach gängigen Methodiken durchführen lassen, erklärt Dr. Safuat Hamdy von Secorvo Security Consulting. Mittlerweile haben insbesondere Großunternehmen den Penetrationstest als strategisches Kontroll- und Messinstrument etabliert. Im Workshop „Steuerung von Pentests in Großunternehmen“ erfahren die Teilnehmer von Sebastian Schreiber, Geschäftsführer der SySS GmbH, mehr über situative und turnusmäßige Tests, die Nachverfolgung von Schwachstellen und die Wahl der Prüfszenarien. Auch auf das Kosten-Nutzenverhältnis bei der Vergabe von Pentests sowie die neuesten Trends bei Testverfahren wird im Workshop eingegangen. Und als Brückenschlag zum Themenschwerpunkt DSGVO erklärt Sebastian Schreiber anhand von praktischen Tipps für den Umgang mit rechtlichen und ethischen Aspekten, welchen Stellenwert Pentests auch bei der Umsetzung der neuen Datenschutzvorgaben haben.
Abwehr von Cyberattacken
Ob Großkonzern oder mittelständischer Betrieb – vor Wirtschaftsspionage ist kein Unternehmen sicher. Dabei sind die Bedrohungsszenarien breit gestreut, wie Jörg Peine-Paulsen vom niedersächsischen Verfassungsschutz unterstreicht. Im Workshop „Wirtschaftsspionage – bin ich betroffen?“ will er deshalb die Teilnehmer anhand aktueller Fälle aus dem Wirtschaftsschutz für die Techniken und Strategien der Cyberagenten sensibilisieren und sie mit effektiver Awareness-Vermittlung und Notfallplanung vertraut machen.
Dem Thema Awareness widmen sich auch die Social-Engineering-Spezialisten Thomas Krauss und Marco di Filippo. Im Vortrag „Piraten 4.0 – Datenleck Mensch und Maschine“ zeigen sie, welche Rolle neben den Lücken in der technischen Infrastruktur besonders auch menschliche Schwächen spielen. Passend dazu gesteht Ivano Somaini von der Compass Security Schweiz AG seine „10 biggest mistakes“ als Social Engineer ein. Aus seiner praktischen Erfahrung weiß er, was beim Aufbau einer nachhaltigen Awareness-Kampagne wirklich zählt.
Doch was wäre eine IT-Security-Veranstaltung ohne Live-Hacking-Sessions? Weil die Menschen letztlich nur glauben,was sie mit den eigenen Augen sehen, demonstrieren die Analysten von Nside Attack Logic, wie leicht es ist, Schwachstellen in Unternehmensnetzwerken und Systemen aufzuspüren. Und Patrick Münch (SVA) zeigt in einem weiteren Live-Hack, aus welchen guten Gründen der Titel seines Vortrags „Wir steuern Ihre IoT-Geräte und nicht Sie!“ lautet.
Intensiver Erfahrungsaustausch
Bei der secIT soll es es vorrangig darum gehen, neben der Problemerkennung auch Lösungsansätze aufzuzeigen. So bekommen die Besucher auch in den weiteren Vorträgen, etwa zum Thema Threat Intelligence oder zur Erstellung belastbarer IT-Gutachten, und in Workshops mit Live-Demos von DDoS-Angriffen und Use Cases von Anwendern für Anwender während der zwei Veranstaltungstage eine Vielzahl praktischer Informationen und Lösungsvorschläge in die Hand. Doch bei aller Fachprosa wird natürlich auch genügend Zeit und Raum für entspanntes Netzwerken und ausgiebige persönliche Gespräche bleiben. Und die secIT-Party am Abend des ersten Tages sorgt für einen heißen niedersächsischen Frühlingsabend – mit Kickerturnier und sicherlich reichlich guter Laune.
Weitere Informationen zum laufend aktualisierten Programm der secIT und zu Partnern sowie den Ticketshop gibt es auf der Website des Veranstalters.
Nützliche Links
Jetzt Ticket reservieren
Sie sind IT-Experte und auf Sicherheit bedacht? Dann dürfen Sie die secIT keinesfalls verpassen. Tickets gibts ab 59 Euro.