Veranstaltungsbericht Lena Leffer, Karin Potel in der JurPC Web-Dok. 133/2019 vom 23.10.2019
1. Teil: 14.00 bis 15.30 Uhr
Begrüßung und Moderation
Prof. Dr. Christoph Sorge
Inhaber der Professur für Rechtsinformatik
E‑Akte gehackt? – Die Bedeutung von IT-Sicherheit in der Justiz
Stefan Hessel, Diplom Jurist
Wissenschaftlicher Mitarbeiter und Doktorand bei der Professur für Rechtsinformatik sowie Geschäftsführer der Defendo GbR Hessel & Rebmann (www.defendo.it)
Die digitale Revolution hat längst nicht nur unsere Gesellschaft, sondern auch den Staat und damit die Justiz ergriffen. Neben der Einführung des elektronischen Rechtsverkehrs kommen auf die Justiz mit zunehmender Tendenz auch interne Digitalisierungsprojekte – etwa E‑Akte und strukturierter Parteivortrag – zu. Doch ohne die ausreichende Berücksichtigung von IT-Sicherheit droht die durch die Digitalisierung erhoffte Verbesserung und Vereinfachung der Verfahrensabläufe sowie die Schaffung eines bürgerfreundlichen Zugangs zur Justiz zu einer Büchse der Pandora voller möglicher Cyberangriffe zu werden.
Vor diesem Hintergrund nimmt der Vortrag Sie mit auf eine Reise durch verschiedene Bedrohungsszenarien, die sich aus der Digitalisierung der Justiz ergeben können und geht abschließend der Frage nach, ob die bisherigen Bemühungen zum Schutz der Justiz vor Cyberangriffen ausreichen.
Aktuelle Angriffsformen und was uns noch erwartet
Holger Junker
Referatsleiter im Bundesamt für Sicherheit in der Informationstechnik (BSI) im Bereich Detektion von Angriffen auf Regierungsnetze mit dem Schwerpunkt Fallbearbeitung und Signaturerstellung
Die Taktiken, Werkzeuge und Vorgehensweisen der Angreifer im Cyber-Raum unterliegen einem stetigen Wandel und zugleich einer zunehmenden Professionalisierung. Doch wie genau sehen die aktuellen Angriffe aus, bei denen sowohl technische Neuerungen als auch bewährte manipulative Vorgehensweisen zur Anwendung kommen? Welche Weiterentwicklungen werden uns schon bald vor neue Herausforderungen in der Detektion bzw. Abwehr von Cyberangriffen stellen? Wie müssen wir organisatorische und technische Maßnahmen gestalten, um mit dieser Entwicklung Schritt zu halten? Wie kann der Mensch als vermeintlich schwächstes Glied in der Sicherheitskette seinen Beitrag dazu leisten, ein hinreichendes Sicherheitsniveau zu erzielen? Lassen Sie uns gemeinsam einen Blick auf die aktuelle Sicherheitslage werfen und zugleich in die Glaskugel schauen.
Möglichkeiten und Grenzen von Hardware-Sicherheit
Stephanie Vogelgesang
Researcher am CISPA − Helmholtz Center for Information Security
Sicherheitslücken in Softwareprodukten sind in aller Munde. Doch was, wenn auch die beste Software chancenlos ist, weil die Elektronik des Gerätes bereits eine Sicherheitslücke enthält? Von Hardware-Keyloggern über “böse” Peripheriegeräte bis hin zu manipulierten Fernsehgeräten wird ein Überblick über das umfangreiche Gebiet der Hardware-Sicherheit gegeben. Anhand von interaktiven Beispielen werden die Grenzen bestehender Schutzmaßnahmen aufgezeigt und über den Kompromiss zwischen Sicherheit und Benutzbarkeit diskutiert.
15.30 bis 15.45 Uhr: Pause
2. Teil: 15.45 bis 17.00 Uhr:
„Sie haben ein iPhone gewonnen!“ — Sicherheit von Webseiten und Webbrowsern
Frederik Möllers, M.Sc
Executive bei Michael Backes Cybersecurity
Das Web feiert gerade seinen 30. Geburtstag. Und seit fast 20 Jahren stellt die Organisation OWASP eine Top-10-Liste der wichtigsten Sicherheitslücken im Web zusammen. Wie in allen Bereichen der IT-Sicherheit liefern sich Angreifer und Verteidiger faktisch seit Beginn ein Katz-und-Maus-Spiel im Versuch, immer neue Lücken zu finden bzw. zu schließen.
In diesem Vortrag werden gemeinsam einige der aktuellen Themen im Bereich der Web-Sicherheit betrachtet. Kann man Passwortmanager bedenkenlos verwenden (Antwort: Kann man nicht)? Wie werden Webseiten eigentlich „gehackt“? Was kann ich als Nutzer tun und was als Betreiber? Diese und weitere Fragen werden wir versuchen, mit anschaulichen Beispielen zu beantworten.
Drucker, Fax und Bürogeräte als Schwachstelle
Holger Junker
Referatsleiter im Bundesamt für Sicherheit in der Informationstechnik (BSI) im Bereich Detektion von Angriffen auf Regierungsnetze mit dem Schwerpunkt Fallbearbeitung und Signaturerstellung
Drucker, Faxgerät oder Multifunktionsgeräte gehören fest zum Büroalltag. Gerade das Faxgerät ist trotz fortschreitender Digitalisierung der Arbeitswelt immer noch ein Relikt, welches de facto in jedem Unternehmen zu finden ist. Dies bringt nicht nur unnötige und störende Medienbrüche, sondern birgt auch ein massives Sicherheitsrisiko nicht nur für die Daten, die auf dem Gerät verarbeitet werden, sondern für ganze Unternehmensnetze. Dies ist umso kritischer, wenn gleichzeitig Fehler in der Gestaltung des Unternehmensnetzes oder der flankierenden Sicherheitsmechanismen gemacht werden. So wird ein Drucker oder Faxgerät schnell zur Schaltzentrale für einen Angreifer, wenn er erst einmal einen Einfallsvektor in das interne Netz gefunden hat. Wie Sie auch morgen noch sicher drucken und scannen können, erfahren Sie in diesem Vortrag.
Kommunikation von IT-Sicherheit und Datenschutz – Vorfälle vermeiden, Auswirkungen minimieren
Andreas Rebmann
Wissenschaftlicher Mitarbeiter bei der Professur für Rechtsinformatik sowie Geschäftsführer der Defendo GbR – Hessel & Rebmann
Nicht erst seit Einführung der Datenschutzgrundverordnung sind Meldepflichten bei IT-Sicherheitsvorfällen geregelt. Doch auch darüber hinaus gibt es gute Gründe, sicherheitsrelevante Vorfälle nach Außen und Innen zu kommunizieren. Eine gute Kommunikation kann das Ausmaß eines Sicherheitsvorfalls beschränken und einen Reputationsverlust vermeiden. Darauf, dass IT-Sicherheitsvorfälle unentdeckt bleiben, kann und sollte sich niemand verlassen.
Oftmals übersehen werden hierbei die Möglichkeiten, den eigenen Mitarbeitern die Notwendigkeit und Sinnhaftigkeit von Datenschutz und IT-Sicherheit zu vermitteln, bevor etwas passiert, damit diesbezügliche Maßnahmen nicht nur als leidige Pflichtaufgaben verstanden werden, sondern als wichtiger Teil der eigenen Arbeit. Der Vortrag zeigt Beispiele von gelungener Kommunikation von IT-Sicherheit und gibt Tipps, wie sich diese erfolgreich umsetzen lässt.