11:00-13.00 | Vorstellung der Arbeitsgruppen 1 bis 3 (3x5 Min.), anschl. parallel: Manfred Schneider, Datenschutz- & Datensicherheitsberatung proDS: Die Datenschutzaufsichtsbehörde kommt - was tun? Die Nutzung von Datenverarbeitungssystemen ist für Unternehmen in der heutigen Zeit unumgänglich. Neben betriebswirtschaftlichen Daten werden umfänglich auch personenbezogene Informationen über Kunden und Mitarbeiter gespeichert. Seit über dreißig Jahren sind dabei datenschutzrechtliche Bestimmungen, u.a. die des Bundesdatenschutzgesetzes (BDSG), zu beachten, und zwar unabhängig davon, ob personenbezogene Daten in DV-Systemen oder manuell verarbeitet werden. Trotz der langen Vorlaufzeit wird vielen Unternehmen erst durch die Ankündigung der Behörde, die Einhaltung der Vorschriften vor Ort überprüfen zu wollen, bewusst, dass datenschutzrechtliche Versäumnisse bestehen. Im Laufe des Workshops wird über Befugnisse und Anforderungen der Aufsichtsbehörde informiert und dargestellt, wie Unternehmen sich auf eine solche Prüfung erfolgreich vorbereiten können. Fabian Henniges, economore GmbH & Co KG, Rainer Funke, Institut für Informatik: Sicherheit in VoIP-Anlagen VoIP verspricht Kostenreduktionen durch die Substitution separater Vermittlungstechniken mit IP Netzwerken. Es werden nicht nur Sicherheitsrisiken der IP Technik direkt auf die Sprachkommunikation übertragen, sondern es entstehen durch neue Protokolle auch neue Angriffsszenarien. In dem Workshop werden Bedrohungen diskutiert, Angriffe demonstriert sowie Gegenmaßnahmen vorgestellt. Thomas Hübner, Sagem Orga: Elektronische Unterschrift in der Praxis Im Workshop werden zunächst die grundlegenden Prinzipien elektronischer Signaturen vermittelt und die notwendige Infrastruktur dargestellt. Dies beinhaltet technische, organisatorische und rechtliche Voraussetzungen sowie die benötigte Hard- und Software. Insbesondere wird auf die Chipkarte als sichere Signaturerstellungseinheit nach den Vorgaben des Gesetzgebers eingegangen. Hierzu werden rechtliche Grundlagen (z.B. Signaturgesetzgebung, Zertifizierungsprozesse) und technische Sicherheitsmechanismen dargestellt. |
13:40-16:00 | Vorstellung der Arbeitsgruppen 4 bis 5 (2x5 Min.), anschl. parallel: Michael Förtsch, Bundesamt für Sicherheit in der Informationstechnik, Bonn Jan-PeterSchulz, neam IT-Services GmbH, Paderborn: IT-Sicherheits-Management in der Praxis – Effektive Nutzung des GSTOOL des BSI bei Erstellung von IT-Sicherheitskonzepten Mit dem GSTOOL vertreibt das BSI seit nunmehr fast 10 Jahren eine Software, die alle diejenigen unterstützen soll, die mit der Konzeption, Erstellung oder Fortschreibung von IT-Sicherheitskonzepten nach IT-Grundschutz betraut sind. Das GSTOOL ist eine einfach zu nutzende Datenbankanwendung mit grafischer Benutzeroberfläche, die eine effiziente und intelligente Datenhaltung aller benötigter Daten im Netz ermöglichen soll. In dieser Arbeitsgruppe wird zunächst der zuständige Projektleiter im BSI die Software und deren (Erfolgs-)Geschichte vorstellen sowie einen Ausblick auf die Zukunft des GSTOOLs geben. Der Geschäftsfeldleiter Security der neam IT-Services GmbH wird anhand eines konkreten Projektes über die Möglichkeiten und Grenzen der Nutzung des GSTOOLs bei Erstellung und Realisierung eines IT-Sicherheitskonzeptes berichten. Im Sinne eines Erfahrungsaustausches haben die Teilnehmer und Teilnehmerinnen dieses Workshops die Möglichkeit mit den anderen Teilnehmern und den beiden Vortragenden in Diskussion zu treten. Prof. Dr. Johannes Blömer, Universität Paderborn: Verschlüsselung im täglichen Einsatz - geschützte Kommunikation und sichere Datenspeicherung Im heutigen Zeitalter der globalen Vernetzung werden Serviceangebote wie z. B. E-Mail gerne verwendet, um alle Arten von Daten, u .a. auch sensible Daten, mit autorisierten Personen auszutauschen. Wie einfach das Abhören dieser Kommunikation für unbefugte Dritte sein kann, ist in den Medien immer wieder zu sehen; Stichwort Industriespionage. Auch werden immer öfter sensible Unternehmens- oder Kundendaten von Mitarbeitern auf Laptops um die ganze Welt getragen. Wird der Laptop gestohlen, können existenzbedrohende Schäden für das Unternehmen entstehen. Trotz derartiger Gefahren ist der Anteil der Unternehmen, die diese Problematik aktiv angehen, relativ gering. Ein Ansatz zum Lösen derartiger Probleme ist der Einsatz von Kryptographie. Kryptographie ist ein wirksames Mittel, um die Sicherheit von sensiblen Daten zu gewährleisten. Es existiert eine Vielzahl kryptographischer Verfahren und Protokolle für nahezu jeden Anwendungsfall. Allerdings benötigt die Etablierung von Kryptographie im Unternehmen eine gewisse Vorbereitung und vor allem Know-how, um die angestrebten Ziele wie z.B. Vertraulichkeit von Daten oder Authentisierung von Kommunikationspartnern sicherzustellen. Hier können Schnellschüsse unter dem Motto “Viel hilft viel” mehr Probleme erzeugen als lösen. In diesem Workshop möchten wir einige typische Anwendungsfälle behandeln, in denen die Kryptographie die Sicherheit von Unternehmensdaten entscheidend verbessern kann. Wir werden zunächst die Bedrohung, die von der jeweiligen Art der Datenverarbeitung ausgeht untersuchen. Im Anschluss daran stellen wir Lösungsansätze vor. |