Schedule | Zeitplan

Description | Beschreibung

Als Einleitung werden bekannte Security-Vorfälle bzw. Angriffe in der OT und deren Auswirkungen besprochen. Angriffsvektoren der Angriffe werden kurz analysiert und die Wichtigkeit technische und organisatorische Sicherheitsmaßnahmen zu implementieren (Defense-in-depth) hervorgehoben. Gängige OT-Architekturen werden auf Basis des Purdue Models näher gebracht, um die Unterschiede zur klassischen IT zu verdeutlichen und Herausforderungen bezüglich der Security im OT-Bereich herzuleiten. Verteidungskonzepte, basierend auf NISG (Netz- und Informationssicherheitsgesetz) und des Standards IEC 62443 werden diskutiert, um OT-Architekturen effektiv gesamtheitlich vor Angriffen zu schützen. Abschließend werden kurz die Forschungsprojekte des TÜV AUSTRIA #SafeSecLab vorgestellt.

Speaker | Sprecher

Name: Siegfried Hollerer
Affiliation | Affiliation : TÜV TRUST IT TÜV AUSTRIA GMBH / TU Wien
Aktuell bin ich sowohl als Senior Consultant bei TÜV TRUST IT als auch als Projektassistent an der TU Wien tätig. Ich verfüge über 5 Jahre Berufserfahrung und führe folgende Tätigkeiten durch:

• Penetration Testing (hauptsächlich Web-Applikationen, Infrastruktur-Überprüfungen). Personenzertifzierung OSCP (Offensive Security Certified Professional) wurde absolviert.
• Social Engineering Kampagnen
• Überprüfung von IT-Konzepten und Netzwerkplänen in Bezug auf Sicherheit
• Unterstützung bei der Einführung und Einhaltung von IT- und OT-Richtlinien (z.B.: ISA/IEC 62443)

An der TU Wien bin ich seit August 2020 im Zuge eines Doktoratsstudiums als Projektassistent tätig und arbeite an einem Forschungsprojekt, welches sich mit Safety und Security System- bzw. Threat Modeling beschäftigt. (nähere Infos im Projekt PhD1 unter https://safeseclab.tuwien.ac.at/projekte/).

Description | Beschreibung

Vernetzte Geräte sind mittlerweile Teil jedes größeren Industrie-Unternehmens. Von Fertigung bis Logistik müssen Abläufe präzise, automatisch und fehlerfrei funktionieren. Doch was, wenn plötzlich die Anlagen streiken und die Maschinen einen Erpresserbrief anzeigen? Kann diese Situation effektiv verhindert werden und wie können Sicherheitsprobleme frühzeitig erkannt werden?

Speaker | Sprecher

Name: Patrick Pongratz
Affiliation | Affiliation : Kapsch
Ich bin seit 5 Jahren im Bereich Penetrationstesting / IT-Security Audit tätig. Angefangen mit Hacking-Challenges bin ich jetzt für die Sicherheitsüberprüfung der Systeme und Netzwerke bei Kunden verantwortlich.

Description | Beschreibung

Durch die steigenden Anforderungen an die Digitalisierung von Abläufen, Produkten, Prozessen und Dienstleistungen sowie die steigende Anzahl der Schäden durch Hacker- und Cyber-Angriffe benötigen Unternehmen wirkungsvolle Ansätze, um die Informationssicherheit aufrechtzuerhalten.

Speaker | Sprecher

Name: Heinz Krippel.
Affiliation | Affiliation : IT-Sicherheitscluster e.V. (Bayern)
Heinz Krippel ist seit mehr als 25 Jahren erfolgreich in der Telekommunikation und Informationstechnologie tätig. Er ist Lehrbeauftragter an der Hochschule für angewandte Wissenschaften in Landshut mit den Themen IT-Service Management & Controlling und coacht und trainiert Firmen. Seit Dezember 2020 arbeitet er auch bei der deutschen Gesellschaft zur Zertifizierung von Managementsystemen in den Bereichen ISO/ IEC 27001, ISO/IEC 20000-1, ISIS-12, CISIS12, BSI-Kritis und EnWG §11 Abs 1a&b Leadauditor

Description | Beschreibung

Cyberangriffe sind ein wachsendes Problem für Wirtschaft und Gesellschaft. Der Aufbau und die Weiterentwicklung von Kapazitäten im essentiellen Bereich der Cybersicherheit ist für Österreich und Europa daher sehr wichtig. Das EU Cybersicherheits Kompetenzzentrum und Netzwerk Nationaler Koordinierungszentren soll unsere Wirtschaft und Gesellschaft vor Cyberangriffen schützen, Exzellenz auf dem Gebiet Forschung sichern und fördern sowie die Industrie der EU in diesem Bereich konkurrenzfähig machen.

Speaker | Sprecher

Name: Matthias Grabner
Affiliation | Affiliation : Österreichische Forschungsförderungsgesellschaft (FFG)
Programmmanager Nationales Koordinierungszentrum Cybersicherheit (NCC-AT) bei der FFG.

Description | Beschreibung

Das IOT ist in großen Teilen “Neuland” (FUSSNOTE UNTEN) und damit weitgehend unreguliert, denn es hat sich noch nicht DER einzig gültige Standard herausgebildet, auf den sich alle Beteiligten einigen können oder auch wollen. Auch wenn das Neuland Zitat der ehemaligen Bundeskanzlerin Merkel in Nerdkreisen immer wieder für einen Lacher gut ist, hat es einen wahren Kern. Denn, obwohl die Technik selbst noch in der Findungsphase ist, greift sie bereits tief in unseren Alltag ein, ändert das Alltagshandeln und ändert den Umgang mit Kulturtechniken. Und das meist ohne Technikfolgenabschätzung. Für einzelne Standards mag es TFAs als Leuchtturmprojekte geben, aber für das Gesamtkonzept IOT existiert bis heute keine Überwachungsgesamtrechnung oder eine umfängliche Folgenabschätzung, erst recht nicht, wenn man die gesellschaftlichen Konsequenzen mitdenkt.

Geräte, Protokolle und User*innen werfen mit Daten nur so um sich. Spezialisierte Datenbroker und Diebe freut das - mit noch unabsehbaren Stolperfallen für die Zukunft. Die Datenerhebung durch das IOT ist nah, wie sie näher nicht sein könnte. Die Privatsphäre rückt dafür umso weiter in die Ferne, obwohl sie ein Menschenrecht ist und und als notwendiges gesellschaftliches Konstrukt erfunden wurde. Oft ist sie unter Druck geraten, wurde aber von der Zivilgesellschaft immer wieder als schützenswert verteidigt. Seit dem Siegeszug der Socialnetworks und dem User-Generated-Content ist ein Teil davon, mit bereits heute spürbaren Konsequenzen, passe`. Mit dem IOT verlieren wir nicht nur die übrigen Fragmente der Privatsphäre, sondern den letzten Rest der Intimsphäre und die vorerst letzte aller Grenzen: unsere Hoheit und Kontrolle über unseren Körper. Dieser Körper ist per Sensorik und Analysetechnik im Visier, an der Vermessung unserer Emotionen wird bereits gearbeitet. Es ist nur noch eine Frage der Zeit, bis unsere Seele auch beziffert und klassifiziert wird.

Neu ist die allumfängliche Verfügbarkeit dieser Technologie außerhalb der Forschung und das Versprechen für ein “smarteres” Leben, das heute nicht mehr unerschwingliche Investitionen in Technik voraussetzt. Das IOT ist der neue Fernseher, alle können sich einen leisten, wer keinen hat, wirkt ausgegrenzt. Man könnte nun ein sehr düsteres Bild malen, welche Grenzüberschreitungen unserer Persönlichkeitssphäre welche gesellschaftlichen Folgen nach sich ziehen und in ein Lamento über die Probleme der Digitalisierung verfallen. Aber da wir hier alle technikbegeistert sind und lieber die Zukunft gestalten, möchte ich statt dessen für eine Verbesserung der Technik plädieren, wo wir mit den Möglichkeiten und der Verbreitung des IOT noch nahezu am Anfang stehen und wo wir uns (noch) auf eine geschickte Planung des Codes verständigen können, anstatt im Nachhinein immer nur den Bugfixes einer nicht zu Ende gedachten Technik hinter her laufen zu müssen.

Die GDPR/DSGVO hat uns allen gezeigt, wie wichtig Bürger*innenrechte in der Digitalisierung sind und welch schützenswertes Gut die Möglichkeit der Entscheidung ist.

Oft gefürchtet, steht die DSGVO heute für ein erfolgreiches Modell der Datenminimierung, der Datenhoheit und der Notwendigkeit, die Folgen abzuschätzen. Auch wenn nach knapp vier Jahren noch immer kleinere Anpassungen in der DSGVO notwendig sind, wurde sie bereits mehrmals kopiert und mit dem DSA ist bereits die nächste große Regulierung auf dem Weg, um die Digitalisierung in Europa in den Rahmen zu setzen, der uns Europäer*innen wichtig sein sollte.

Ich plädiere für ein IOT, das nicht beobachtet, wenn die User*innen es nicht möchten. Ein IOT, das uns nicht zwingt, Daten unter Anerkenntnis von AGBs in Buchlänge wegzugeben, damit Dinge überhaupt funktionieren. Ich plädiere dafür, dass User*innen nicht halbe Programmierer*innen sein müssen, um für sich selbst Folgen von Technik zu minimieren, geschweige denn die Auswirkungen zu erkennen. Und zuletzt möchte ich Geheimnisse, die ich nicht preisgeben möchte, nicht zwangsweise oder heimlich teilen müssen, wenn ich im Beisein des IOT private, intime Zeit verbringe.
Darüber möchte ich heute mit Ihnen sprechen. Mein Plädoyer richtet sich an Sie als Teilnehmer*innen oder Securityexpert*innen im Umfeld dieser Konferenz. Ich möchte Ihnen anhand von einigen Beispielen den Vorteil des Datenschutzes für die Sicherheit im IOT näher bringen. Wie er geplant, umgesetzt und mitgedacht werden kann und was für Vorteile er letztlich uns allen bietet.

FUSSNOTE:
“Das Internet ist für uns alle Neuland, und es ermöglicht auch Feinden und Gegnern unserer demokratischen Grundordnung, mit völlig neuen Möglichkeiten und völlig neuen Herangehensweisen unsere Art zu leben in Gefahr zu bringen.” Angela Merkel, Quelle: auf einer Pressekonferenz mit US-Präsident Barack Obama am 19. Juni 2013, in Zeit Online

Speaker | Sprecher

Name: Petra Schmidt
Affiliation | Affiliation : epicenter.works
Petra Schmidt ist M.A. der Kulturwissenschaft mit langer Nerdexpertise aus Berlin. Sie spricht Python, beschäftigt sich schon seit den 90ern professionell mit Computern, berät seit 2018 Verbände und KMUs zum Datenschutz und entwickelt mit ihnen Digitalisierungsstrategien. Sie gibt Fortbildungen zur digitalen Sicherheit und spricht auf Konferenzen zum Thema Datenschutz, Datensicherheit und über die Notwendigkeit der Privatsphäre. Seit 2021 ist sie Communication Managerin bei epicenter.works - Plattform Grundrechtspolitik und leitet dort Projekte wie zuletzt “ethicsinapps”, in dem ein Manifest für ethische Apps erarbeitet wurde.

Description | Beschreibung

The implementation of the strategic initiative Industry 4.0 and the gradual adoption of the Industrial Internet of Things (IIoT) significantly expand the attack surface of industrial control systems (ICSs) and create new entry points for adversaries. Given the critical nature of these systems and the severe consequences of cyber-physical attacks, it is vital to manage security risks along the entire lifecycle of ICSs. However, security is often still an afterthought in the design and engineering of ICSs. This talk will give a brief overview of various ICS-targeting attacks and show how cyber-physical risk can be addressed in the early stages of the ICS lifecycle.

Speaker | Sprecher

Name: Matthias Eckhart & Edgar Weippl
Affiliation | Affiliation : SBA Research and University of Vienna
Matthias Eckhart is a researcher with SBA Research and the Christian Doppler Laboratory for Security and Quality Improvement in the Production System Lifecycle (CDL-SQI). Edgar Weippl is full professor with the University of Vienna, co-founder and research director of SBA Research, and the head of the Christian Doppler Laboratory for Security and Quality Improvement in the Production System Lifecycle (CDL-SQI).

Description | Beschreibung

The CoAP protocol, which is a centerpiece of the IETF's stack for constrained devices, has been supporting proxies from the start. Unlike application gateways, proxies are not essential in a general-purpose network with full-featured nodes, and can be implemented as general components rather than in an application specific way. In this presentation, we explore services a CoAP proxy can provide, from adjustments to network properties to secure access and DoS mitigation. Comparing these features to those provided by application gateways, it is demonstrated how CoAP proxies can enable secure applications that otherwise require bespoke solutions.

Speaker | Sprecher

Name: Christian Amsüss
Affiliation | Affiliation : independent
Christian Amsüss has been an active member of different Free Software communities since 2005, and working independently in the areas of software development, network architecture and IoT consulting since 2011. Implementing the work of the CoRE group got him involved in the IETF, where he found like-minded people to collaborate with on an Internet of Things were interoperability can be expected, the user is in control, and which is secure by default.

Description | Beschreibung

What happens when an adversary locks 100's of KNX controllers and actuators in a building management system (BMS)? If you ask the BMS vendor and integrator and vendor they say return to factory, they are bricked. In this session you will see how incident response dug in and used some insecure by design and cleverness to recover without rip and replacing.

Speaker | Sprecher

Name: Peter Panholzer
Affiliation | Affiliation : Limes Security GmbH
Peter Panholzer is founder, general manager and principal OT security consultant at Limes Security. He was security consultant at the Siemens CERT in Munich for several years, focusing on security analysis of industrial products and research and development in the field of secure product development processes. He used to be an excellent (OT) penetration tester in the field but now focuses on attack strategies, risk assessments and architectures.

Description | Beschreibung

Warum ist Ransomware so erfolgreich? Wie funktioniert Ransomware? Ransomware in österreichischen Unternehmen Welches Risiko geht von Schwachstellen in IoT Systemen aus, wie werden diese ausgenutzt und welche Maßnahmen dagegen kann man ergreifen?

Speaker | Sprecher

Name: Herbert Dirnberger
Affiliation | Affiliation : IKARUS Security Software GmbH
Herbert Dirnberger ist als führender Industrial Cyber Security Experte über 25 Jahre für die österreichische Industrie im Bereich Industrial IOT (Automatisierungstechnik, Gebäudetechnik und OT) tätig. Ergänzend gibt er als Lektor an FH St. Pölten im Studiengang Smart Engineering aktiv Wissen zu Industrial Cyber Security und Industrial IT Architekturen weiter. Durch seine zahlreichen Fachpublikationen und -vorträge im Rahmen seiner ehrenamtlichen Tätigkeit bei der Cyber Security Austria schafft er Bewusstsein und Verständnis für Industrial Cyber Security und zeigt Wege auf wie man die künftigen komplexen Herausforderungen der Digitalisierung meistert.

Description | Beschreibung

Smarte Geräte“ finden sich überall, von der Industriesteuerung bis hin zur Heizungssteuerung. Diese Systeme sind schwer zu verwalten geschweige denn auf dem neuesten Stand zu halten, nachdem sie für eine lange Lebensdauer ausgelegt sind. Also ein security-technisches Horrorszenario. Welche Maßnahmen müssen getroffen werden um sich keinen Gefahren auszusetzen?

Speaker | Sprecher

Name: Patrick Fetter
Affiliation | Affiliation : Check Point Software Technologies Austria GmbH
Patrick Fetter unterstützt seit 7 Jahren als Check Point Security Consultant viele Unternehmen und IT System Provider bei der Erstellung von Security Konzepten. Durch die Arbeit mit unterschiedlichen Industriezweigen an einer Vielzahl von Projekten kann er einen Einblick in das Sicherheitsbewusstsein von Unternehmen geben und aufzeigen, wie mittels den richtigen Schutzmaßnahmen die Kronjuwelen von Firmen geschützt werden können.

Description | Beschreibung

Wie intelligent ist mittlerweile ein Gebäude? Wie schnell kann ich vom Strom Konsument zum Strom Erzeuger werden? Sehen Sie in dem Workshop welche Gedanken man sich schon in der Produktentwicklung machen sollte.
Vorraussetzungen:

• BYOD – Jedes Gerät das Chrome / FireFox / Edge Chromium unterstützt (bevorzugt Chrome).
• Die Workshopteilnehmer*innen müssen nur über den Browser auf die Demo Umgebung einsteigen.
• Eventuell Rechte um eine Terminalserver Verbindung aufbauen zu können.

Vorkenntnisse (empfohlen):

• Basic Windows / IT Kenntnisse.
• Keine Security Erfahrung notwendig.
• Basic IT-Security/Angriffs/Hacking Know-How von Vorteil aber nicht zwingend nötig

Speaker | Sprecher

Name: Patrick Fetter, Roland Strubinsky
Affiliation | Affiliation : Check Point Software Technologies Austria GmbH
Patrick Fetter unterstützt seit 7 Jahren als Check Point Security Consultant viele Unternehmen und IT System Provider bei der Erstellung von Security Konzepten. Durch die Arbeit mit unterschiedlichen Industriezweigen an einer Vielzahl von Projekten kann er einen Einblick in das Sicherheitsbewusstsein von Unternehmen geben und aufzeigen, wie mittels den richtigen Schutzmaßnahmen die Kronjuwelen von Firmen geschützt werden können.

Description | Beschreibung

Das Hacking-Lab ist eine Übungs- und Wettbewerbsumgebung für IT-Security-Begeisterte. Als Online-Plattform ist sie leicht zugänglich und jederzeit verfügbar. Im Rahmen des Workshops werden die grundlegenden Funktionen des Hacking-Labs erklärt und praktische Security-Challenges selbstständig bearbeitet. Security-Spezialisten begleiten die Teilnehmer und stellen das nötige technische Hintergrundwissen bereit.
Vorraussetzungen:

• BYOD - eigenes Notebook mitbringen.

Vorkenntnisse (empfohlen):

• Sie sollten bereits ein grundlegendes Wissen der IT-Security haben, um mit uns aktiv technische Beispiele zu bearbeiten.

Speaker | Sprecher

Name: Daniel Marth, Manuel Reinsperger
Affiliation | Affiliation : Cyber Security Austria
Daniel Marth ist langjähriger Teilnehmer und mehrmaliger Sieger der Austrian Cyber Security Challenge sowie der European Cyber Security Challenge. Als Security Spezialist bei RISE und als Trainer des österreichischen Nationalteams greift er auf ein breites und detailliertes Wissen über IT-Security zurück.
Manuel Reinsperger ist diesjähriger Captain des österreichischen Nationalteams für die European Cyber Security Challenge und Penetration Tester bei der A1 Digital. Seine Spezialitäten sind Physical Pentests, Phishing und die Entwicklung von Security Werkzeugen.

Description | Beschreibung

Ein sehr präsentes Thema in der heutigen Zeit "Incident Response", doch was bedeutet dieses Buzz-Word überhaupt? Was wird hier gemacht? Wie kann ich Dinge auf einem System finden um die Antworten auf die brennenden Fragen zu liefern? Was ist überhaupt ein „Incident“? Du willst wissen wie ein Angreifer vorgeht und die Gute Seite der Macht kennen lernen um ihnen das Handwerk zu legen? Dann bist du HIER genau richtig – this is the way! Nicht alles was glänzt muss direkt verdächtig sein, zu wissen welche Informationen das System liefert um entsprechende Fragen zu beantworten gehören hier zu den Basics. Dies und mehr wird theoretisch als auch mit praktischen Hands-On Beispielen in diesem Workshop näher gebracht.
Vorraussetzungen:

• BYOD – Win 10 – Administrative Rechte (kein Linux/Unix/MAC etc).
• Notebook mit mindestens 8 GB Ram sowie 5 GB Speicherplatz.
• Installierung von Forensik Tools muss auf diesem Gerät erlaubt sein.

Vorkenntnisse (empfohlen):

• Basic Windows / IT Kenntnisse.
• Keine forensische Vorerfahrung nötig.
• Basic IT-Security/Angriffs/Hacking Know-How von Vorteil aber nicht zwingend nötig.

Speaker | Sprecher

Name: Nina Azimikhah, Gideon Teubert
Affiliation | Affiliation : Kapsch
Nina Azimikhah hat ihr Bachelorstudium IT und Telekommunikation und das Masterstudium IT Securiy am FH Campus Wien absolviert. Sie hat sich im Bereich der Digitalen Forensik und Incident Reponse spezialisiert, ist seit 2020 GIAC Certified Forensic Analyst und seit 2021 GIAC Network Forensics Analyst. Seit 2019 ist sie als Senior Cyber Security Analystin bei der Kapsch BusinessCom AG im Cyber Defense Center tätig und Lektor für Digitale Forensik an der FH Technikum Wien. Zuvor arbeitete sie als Computer-Forensikerin für Strafverfolgungsbehörden.

Gideon Teubert hat sein Bachelorstudium IT und Telekommunikation und das Masterstudium IT Securiy an der FH Campus Wien absolviert. Er hat sich auf den Bereich des Blue Teamings spezialisiert, ist seit 2017 GIAC Certified Forensic Analyst und seit 2019 GIAC Certified Forensic Examiner. Seit 2017 ist er als Senior Cyber Security Analyst bei der Kapsch BusinessCom AG im Cyber Defense Center tätig. Zuvor arbeitete als als Security Engineer und IT Security Consultant.

Description | Beschreibung

The Cold Boot Attack belongs to the so-called side-channel attacks, in which security measures can be overcome by rather unconventional means. In this workshop, you will learn what can happen when physical access to a computer system is given, either through unattended access or even after disposal. Questions like whether a strong login password can protect the system's confidentiality and data, or if local data encryption solves all problems? There are different ways to gain unauthorized access to generic personal devices, demonstrated during the workshop with hands-on examples. The cold-boot attack is one of those means, which can then be used in given scenarios, in which the hardware is frozen down to subsequently extract encryption keys, bypassing most security measures. This more advanced attack and other introductory examples include modifying the device's firmware and other physical tampering methods.

Speaker | Sprecher

Name: Pol Hölzmer
Affiliation | Affiliation : FH Campus Wien
IT-Security and Privacy ethusiast with roots in Lëtzebuerg (Luxembourg). Versatile in humanoid and android languages. Currently, working for the Competence Center for IT-Security, and IT-Security Master student, both at the FH Campus Wien. Developer of this very webpage (its-now.science), and contributor to the Embedded Lab Vienna for IoT and Security (elvis.science). Join me at the IT-S NOW and Letz make it happen

Description | Beschreibung

Ein leichtfüßiges Informationssicherheitsmanagementsystem (ISMS) in 12 Schritten, wie geht das? Welche Chancen bringt ein Informationssicherheitsmanagement und welche Voraussetzungen müssen geben sein, um ISMS zu planen, zu betreiben zu überwachen und weiterzuentwickeln.
Vorraussetzungen:

• n/a

Vorkenntnisse (empfohlen):

• n/a

Speaker | Sprecher

Name: Heinz Krippel
Affiliation | Affiliation : IT-Sicherheitscluster e. V. (Regensburg, DE)
Heinz Krippel ist seit mehr als 25 Jahren erfolgreich in der Telekommunikation und Informationstechnologie tätig. Er ist Lehrbeauftragter an der Hochschule für angewandte Wissenschaften in Landshut mit den Themen IT-Service Management & Controlling und coacht und trainiert Firmen. Seit Dezember 2020 arbeitet er auch bei der deutschen Gesellschaft zur Zertifizierung von Managementsystemen in den Bereichen ISO/ IEC 27001, ISO/IEC 20000-1, ISIS-12, CISIS12, BSI-Kritis und EnWG §11 Abs 1a&b Leadauditor.

Description | Beschreibung

BLE-Berry ist ein Open Source Tool für Bluetooth Low Energy (BLE) Development und Penetration Testing. Dieses Tool wird derzeit von Christopher Skallak im Laufe seiner Masterarbeit entwickelt. Dieser Workshop fokussiert sich dabei auf die Penetration Testing Funktionalitäten, wie BLE Profile kopieren und erstellen eines evil twin, Man in the Middle angriffe und BLE Sniffing.
Vorraussetzungen:

• BYOD - eigener Laptop mit mit LAN port oder LAN-Dongle

Vorkenntnisse (empfohlen):

• Grundkenntnisse von BLE und Grundkenntnisse über die GATT Profil/Charakteristik/Deskriptor von Vorteil

Speaker | Sprecher

Name: Christopher Skallak
Affiliation | Affiliation : FH Campus Wien
Christopher Skallak, BSc hat das Bachelorstudium Informationstechnologien und Telekommunikation an der FH Campus Wien abgeschlossen und macht derzeit seinen Master in dem Bereich IT-Security. Während des Bachelorstudiums hat er als studentischer Mitarbeiter beim FH Campus Wien an Projekten, wie dem Wiki Dokumentationen von „ELVIS-Embedded Lab Vienna for IoT & Security“ Projekt mitgewirkt.

Description | Beschreibung

Dieser Workshop bietet eine Einführung in das Thema Bluetooth Low Energy Security. Mithilfe eines ESP-32 wird ein verbundbares IoT Gerät simuliert, welches mithilfe des GATT Protokolls manipuliert und ferngesteuert werden kann. Vorraussetzungen:

• Keine eigene Hardware notwendig, Material wird asgegeben.
• Workshop findet im NWLab B.2.24 statt.

Vorkenntnisse (empfohlen):

• Grundkenntnisse von Bluetooth bzw. Bluetooth Low Energy und Kenntnisse in Skriptsprachen (Bash, Python) von Vorteil

Speaker | Sprecher

Name: Bernhard Nagl
Affiliation | Affiliation : Campus Cyber Security Team - FH Campus Wien
Bernhard Nagl befindet sich derzeit im 6. Semester des Studiums Computer Science and Digital Communication an der FH Campus Wien. Er arbeitet seit Dezember 2020 als studentischer Mitarbeiter an der FH Campus Wien am Kompetenzzentrum für IT Security mit dem Schwerpunkt "Bluetooth Low Energy Security".

Description | Beschreibung

In this workshop we will show how software updates in the embedded domain could be done, and what works compared to approaches that don’t, including IoT devices as well as automotive products. We will demonstrate different software stacks and solutions that have been demonstrated to work successfully, and show pitfalls for approaches that didn’t.
Vorraussetzungen:

• Teilnehmer*innen brauchen ein Browser-fähiges Gerät. Vieles wird vorgezeigt werden, aber ich möchte auch ermöglichen das sie selber was klicken können.

Vorkenntnisse (empfohlen):

• Grundlegende Linux Kenntnisse, grundlegend Netzwerke.

Speaker | Sprecher

Name: Martin Schmiedecker
Affiliation | Affiliation : Bosch
Martin Schmiedecker works as security engineer for Bosch and secures projects from automotive to the cloud. In his spare time he is heavily into online privacy, and occasionally works as certified court expert witness.

Description | Beschreibung

Das schnell wachsende Internet of Things ermöglicht es uns, eine Vielzahl von gewöhnlichen Geräten auf eine neue Art und Weise zu verwenden – jederzeit und von überall aus. Viele dieser Geräte haben dabei eine einfache und sehr spezifische Funktionalität (wie zum Beispiel Haushaltsgeräte). Deshalb schätzen Hersteller die Risiken eines Angriffs auf solche Geräte oft als gering ein, und vernachlässigen das Thema Cybersecurity in der Entwicklung. In diesem Vortrag wollen wir aber zeigen, dass sich solche Angriffe nicht auf das Gerät selbst beschränken müssen, und welche weitreichenden Konsequenzen eine Schwachstelle in einem einfachen vernetzten Gerät haben kann. Zudem erklären wir, welche Maßnahmen im Entwicklungsprozess getroffen werden sollten, um sichere IOT Geräte zu entwerfen.

Speaker | Sprecher

Name: Niklas Grimm
Affiliation | Affiliation : ITK Engineering
Niklas Grimm ist Cybersecurity Architect bei ITK Engineering in Wien, wo er Sicherheitsanalysen durchführt und Sicherheitskonzepte entwirft. Zuvor hat er in Deutschland Informatik studiert und anschließend an der TU Wien im Bereich Cybersecurity promoviert.

Description | Beschreibung

Egal ob die Kinder am Handy, die Oma am Tablet oder der Smart TV. Das Internet und die damit verbundenen Services begleiten uns täglich. Email, Social Media, SMS oder Video Chats. Wie verhalte ich mich richtig? Stellen Sie Ihre Fragen. Patrick Fetter von Check Point hilft Ihnen Antworten zu finden.

Speaker | Sprecher

Name: Patrick Fetter
Affiliation | Affiliation : Check Point Software Technologies Austria GmbH
Patrick Fetter unterstützt seit 7 Jahren als Check Point Security Consultant viele Unternehmen und IT System Provider bei der Erstellung von Security Konzepten. Durch die Arbeit mit unterschiedlichen Industriezweigen an einer Vielzahl von Projekten kann er einen Einblick in das Sicherheitsbewusstsein von Unternehmen geben und aufzeigen, wie mittels den richtigen Schutzmaßnahmen die Kronjuwelen von Firmen geschützt werden können.

Description | Beschreibung

Das IOT ist in großen Teilen “Neuland” (FUSSNOTE UNTEN) und damit weitgehend unreguliert, denn es hat sich noch nicht DER einzig gültige Standard herausgebildet, auf den sich alle Beteiligten einigen können oder auch wollen. Auch wenn das Neuland Zitat der ehemaligen Bundeskanzlerin Merkel in Nerdkreisen immer wieder für einen Lacher gut ist, hat es einen wahren Kern. Denn, obwohl die Technik selbst noch in der Findungsphase ist, greift sie bereits tief in unseren Alltag ein, ändert das Alltagshandeln und ändert den Umgang mit Kulturtechniken. Und das meist ohne Technikfolgenabschätzung. Für einzelne Standards mag es TFAs als Leuchtturmprojekte geben, aber für das Gesamtkonzept IOT existiert bis heute keine Überwachungsgesamtrechnung oder eine umfängliche Folgenabschätzung, erst recht nicht, wenn man die gesellschaftlichen Konsequenzen mitdenkt.

Geräte, Protokolle und User*innen werfen mit Daten nur so um sich. Spezialisierte Datenbroker und Diebe freut das - mit noch unabsehbaren Stolperfallen für die Zukunft. Die Datenerhebung durch das IOT ist nah, wie sie näher nicht sein könnte. Die Privatsphäre rückt dafür umso weiter in die Ferne, obwohl sie ein Menschenrecht ist und und als notwendiges gesellschaftliches Konstrukt erfunden wurde. Oft ist sie unter Druck geraten, wurde aber von der Zivilgesellschaft immer wieder als schützenswert verteidigt. Seit dem Siegeszug der Socialnetworks und dem User-Generated-Content ist ein Teil davon, mit bereits heute spürbaren Konsequenzen, passe`. Mit dem IOT verlieren wir nicht nur die übrigen Fragmente der Privatsphäre, sondern den letzten Rest der Intimsphäre und die vorerst letzte aller Grenzen: unsere Hoheit und Kontrolle über unseren Körper. Dieser Körper ist per Sensorik und Analysetechnik im Visier, an der Vermessung unserer Emotionen wird bereits gearbeitet. Es ist nur noch eine Frage der Zeit, bis unsere Seele auch beziffert und klassifiziert wird.

Neu ist die allumfängliche Verfügbarkeit dieser Technologie außerhalb der Forschung und das Versprechen für ein “smarteres” Leben, das heute nicht mehr unerschwingliche Investitionen in Technik voraussetzt. Das IOT ist der neue Fernseher, alle können sich einen leisten, wer keinen hat, wirkt ausgegrenzt. Man könnte nun ein sehr düsteres Bild malen, welche Grenzüberschreitungen unserer Persönlichkeitssphäre welche gesellschaftlichen Folgen nach sich ziehen und in ein Lamento über die Probleme der Digitalisierung verfallen. Aber da wir hier alle technikbegeistert sind und lieber die Zukunft gestalten, möchte ich statt dessen für eine Verbesserung der Technik plädieren, wo wir mit den Möglichkeiten und der Verbreitung des IOT noch nahezu am Anfang stehen und wo wir uns (noch) auf eine geschickte Planung des Codes verständigen können, anstatt im Nachhinein immer nur den Bugfixes einer nicht zu Ende gedachten Technik hinter her laufen zu müssen.

Die GDPR/DSGVO hat uns allen gezeigt, wie wichtig Bürger*innenrechte in der Digitalisierung sind und welch schützenswertes Gut die Möglichkeit der Entscheidung ist.

Oft gefürchtet, steht die DSGVO heute für ein erfolgreiches Modell der Datenminimierung, der Datenhoheit und der Notwendigkeit, die Folgen abzuschätzen. Auch wenn nach knapp vier Jahren noch immer kleinere Anpassungen in der DSGVO notwendig sind, wurde sie bereits mehrmals kopiert und mit dem DSA ist bereits die nächste große Regulierung auf dem Weg, um die Digitalisierung in Europa in den Rahmen zu setzen, der uns Europäer*innen wichtig sein sollte.

Ich plädiere für ein IOT, das nicht beobachtet, wenn die User*innen es nicht möchten. Ein IOT, das uns nicht zwingt, Daten unter Anerkenntnis von AGBs in Buchlänge wegzugeben, damit Dinge überhaupt funktionieren. Ich plädiere dafür, dass User*innen nicht halbe Programmierer*innen sein müssen, um für sich selbst Folgen von Technik zu minimieren, geschweige denn die Auswirkungen zu erkennen. Und zuletzt möchte ich Geheimnisse, die ich nicht preisgeben möchte, nicht zwangsweise oder heimlich teilen müssen, wenn ich im Beisein des IOT private, intime Zeit verbringe.
Darüber möchte ich heute mit Ihnen sprechen. Mein Plädoyer richtet sich an Sie als Teilnehmer*innen oder Securityexpert*innen im Umfeld dieser Konferenz. Ich möchte Ihnen anhand von einigen Beispielen den Vorteil des Datenschutzes für die Sicherheit im IOT näher bringen. Wie er geplant, umgesetzt und mitgedacht werden kann und was für Vorteile er letztlich uns allen bietet.

FUSSNOTE:
“Das Internet ist für uns alle Neuland, und es ermöglicht auch Feinden und Gegnern unserer demokratischen Grundordnung, mit völlig neuen Möglichkeiten und völlig neuen Herangehensweisen unsere Art zu leben in Gefahr zu bringen.” Angela Merkel, Quelle: auf einer Pressekonferenz mit US-Präsident Barack Obama am 19. Juni 2013, in Zeit Online

Speaker | Sprecher

Name: Petra Schmidt
Affiliation | Affiliation : epicenter.works
Petra Schmidt ist M.A. der Kulturwissenschaft mit langer Nerdexpertise aus Berlin. Sie spricht Python, beschäftigt sich schon seit den 90ern professionell mit Computern, berät seit 2018 Verbände und KMUs zum Datenschutz und entwickelt mit ihnen Digitalisierungsstrategien. Sie gibt Fortbildungen zur digitalen Sicherheit und spricht auf Konferenzen zum Thema Datenschutz, Datensicherheit und über die Notwendigkeit der Privatsphäre. Seit 2021 ist sie Communication Managerin bei epicenter.works - Plattform Grundrechtspolitik und leitet dort Projekte wie zuletzt “ethicsinapps”, in dem ein Manifest für ethische Apps erarbeitet wurde.

Description | Beschreibung

Die Sicherheit der meisten Internetdienste hängt auf die eine oder andere Art an Passwörter, sowohl im privaten wie auch im Unternehmensbereich. Phishing Angriffe, schwache Passwörter oder Datenlecks können schwerwiegende Konsequenzen haben - vom Identitätsdiebstahl bis zu Ransomwareangriffen. Wir möchten hier besprechen, wie sich Privatpersonen & Unternehmen effizient schützen können.

Speaker | Sprecher

Name: Mathias Tausig
Affiliation | Affiliation : Senior Security Consultant, SBA Research
Studierter Mathematiker; ehemaliger Security Officer, Systemadministrator, Softwareentwickler, FH-Lektor

Description | Beschreibung

Hetti und Dimitri führen durch den Schwachstellen- und Security-Fuckup-Zoo des Jahres 2021.
Hinweis: Dieser Vortrag ist insbesondere für Menschen ohne IT (Security) Fachwissen konzipiert.

Es sammelten sich nicht nur in den ersten Monaten von 2022 zahlreiche Schwachstellen, um in der IT ordentlich Rabatz zu machen, sondern auch das Jahr davor strotzte nur so vor Sicherheitslücken -- Zero-Days in Microsoft Exchange, diversen VPN-Lösungen und Java waren da nur die Spitze des Eisbergs -- yay \o/ (oder so ähnlich)
Bei all diesen Schwachstellen den Überblick zu behalten und einzuschätzen, welche davon relevant sind, ist selbst für die, die in der IT-Security arbeiten nicht einfach. Wir wollen versuchen, ein wenig Transparenz in das Labyrinth der unterschiedlichen Techniken und Begriffe zu bringen, die dabei helfen können, auch als Lai:in zu beurteilen, ob und warum die nächste virale Lücke (nicht) ignoriert werden sollte.
Der Talk ist in bekannte Bereiche des täglichen (Arbeits)Lebens gegliedert, also z.B. E-Mail, Office, oder Drucker. Es werden Schwachstellen in den jeweiligen Bereichen besprochen und aufgezeigt, welche spezifischen Risiken vorhanden sind.

Speaker | Sprecher

Name: Petar 'Hetti' Kosic, Dimitri Robl
Affiliation | Affiliation : Sec-Research GmbH, BMJ
Hetti arbeitet bei Tag in der IT Security und wird dafür bezahlt Software kaputt zu machen und dies anschließend zu dokumentieren. Bei Nacht findet man ihn im Metalab, bei Chaos Computer Club Wien Initiativen oder am Hacken an verschiedenen Projekten.
Dimitri ist ein IT-Security-begeistertes Chaos Computer Club Wien (C3W) Mitglied.

Description | Beschreibung

Was ist ein gutes Passwort? Wer kann meine Daten im Intenet mitlesen? Sind Smarthomes unsicher? IT-Security ist selten benutzer*innenfreundlich, übersichtlich oder einfach. Das Team des Kompetenzzentrums für IT-Security will Licht ins Dunkel bringen, und nimmt sich hier Zeit für Sie. Fragen Sie uns, was Sie schon immer über IT-Security wissen wollten. Und bekommen Sie Antworten, oder zumindest die Bestätigung, dass wir das auch nicht wissen…

Speaker | Sprecher

Name: Silvie Schmidt & Manuel Koschuch & Ines Kramer & Tobias Buchberger & Mathias Tausig
Affiliation | Affiliation : Silvie Schmidt, Manuel Koschuch, Tobias Buchberger
Mitarbeiter*innen am Kompetenzzentrum für IT-Security der FH Campus Wien

Description | Beschreibung

Anhand einer Live-Demonstration wird gezeigt, wie ein*e Einbrecher*in mit IT-Sicherheitskenntnissen in eine mit einer Alarmanlage ausgestatteten Wohnung eindringen kann. Es wird gezeigt, wie mit einem Software Defined Radio (SDR) eine sogenannte Replay Attack durchgeführt wird und somit die Alarmanlage durch den*die Einbrecher*in deaktiviert wird. Im Anschluss werden die Vortragenden eine grundsätzliche Erklärung des Vorgangs vorstellen.

Speaker | Sprecher

Name: Fabio Birnegger & Fatih Varli
Affiliation | Affiliation : Campus Cyber Security Team - FH Campus Wien
Fatih Varli studiert Computer Science and Digital Communications an der FH Campus Wien und ist Teil des Campus Cyber Security Team, er hat ein Praktikum bei EY im Bereich Digital Forensics and Incident Response absolviert. Fabio Birnegger studiert Computer Science and Digital Communications an der FH Campus Wien, ist Teil des Campus Cyber Security Team und hat Erfahrung in Capture The Flag Wettbewerben. Er absolvierte ein Praktikum als Penetrationstester bei TÜV AUSTRIA.

Description | Beschreibung

Vorige Woche hat DC einen neuen Helden in ihr Comic-Universum eingeführt – erst vorgestern hat Batman rüber gewechselt. Er muss ihnen unsere Pläne weitergegeben haben – wir benötigen eine vollständige forensische Analyse um unser weiteres Vorgehen zu planen. Darüber hinaus interessieren uns sämtliche andere ungewöhnliche Anzeichen – nicht, dass uns hier wieder Malware böse mitspielt.“ Kurz und knapp sind Aufträge unserer Kunden Marvel & Co für gewöhnlich. Genau der richtige Zeitpunkt um den Kaffee stark aufzubrühen und in einen weiteren typischen Arbeitsalltag eines Security Analysten zu starten. Der Vortrag wird neben tatsächlich aufgetretenen Beispielfällen, insbesondere den Unterschied zwischen der Digitalen Forensik und Incident Response aufzeigen.

Speaker | Sprecher

Name: Nina Azimikhah, Gideon Teubert
Affiliation | Affiliation : Kapsch
Nina Azimikhah hat ihr Bachelorstudium IT und Telekommunikation und das Masterstudium IT Securiy am FH Campus Wien absolviert. Sie hat sich im Bereich der Digitalen Forensik und Incident Reponse spezialisiert, ist seit 2020 GIAC Certified Forensic Analyst und seit 2021 GIAC Network Forensics Analyst. Seit 2019 ist sie als Senior Cyber Security Analystin bei der Kapsch BusinessCom AG im Cyber Defense Center tätig und Lektor für Digitale Forensik an der FH Technikum Wien. Zuvor arbeitete sie als Computer-Forensikerin für Strafverfolgungsbehörden.

Gideon Teubert hat sein Bachelorstudium IT und Telekommunikation und das Masterstudium IT Securiy an der FH Campus Wien absolviert. Er hat sich auf den Bereich des Blue Teamings spezialisiert, ist seit 2017 GIAC Certified Forensic Analyst und seit 2019 GIAC Certified Forensic Examiner. Seit 2017 ist er als Senior Cyber Security Analyst bei der Kapsch BusinessCom AG im Cyber Defense Center tätig. Zuvor arbeitete als als Security Engineer und IT Security Consultant.

Description | Beschreibung

This talk will give an overview of specific insecurities in the automotive domain from the past years. Again and again it was demonstrated to be a very active field of research, and keeping tracks on exploits and vulnerabilities is a challenge in it self.

Speaker | Sprecher

Name: Martin Schmiedecker
Affiliation | Affiliation : Bosch
Martin Schmiedecker works as security engineer for Bosch and secures projects from automotive to the cloud. In his spare time he is heavily into online privacy, and occasionally works as certified court expert witness.

Description | Beschreibung

Dieser Workshop bietet eine Einführung in das Thema Bluetooth Low Energy Security. Mithilfe eines ESP-32 wird ein verbundbares IoT Gerät simuliert, welches mithilfe des GATT Protokolls manipuliert und ferngesteuert werden kann.
Vorraussetzungen:

• Keine eigene Hardware notwendig, Material wird asgegeben.
• Workshop findet im NWLab B.2.24 statt.

Vorkenntnisse (empfohlen):

• Grundkenntnisse von Bluetooth bzw. Bluetooth Low Energy und Kenntnisse in Skriptsprachen (Bash, Python) von Vorteil

Speaker | Sprecher

Name: Bernhard Nagl
Affiliation | Affiliation : Campus Cyber Security Team - FH Campus Wien
Bernhard Nagl befindet sich derzeit im 6. Semester des Studiums Computer Science and Digital Communication an der FH Campus Wien. Er arbeitet seit Dezember 2020 als studentischer Mitarbeiter an der FH Campus Wien am Kompetenzzentrum für IT Security mit dem Schwerpunkt "Bluetooth Low Energy Security".

Description | Beschreibung

Hier ein Dokument zum Download, dort ein neue Angebot mit -50 Über unterschiedliche Kanäle wie Business / Private Emails, Social Media oder SMS werden Link zu diversen Content zugestellt und meistens sind diese äußerst interessant gestaltet. Aber worauf muss der Enduser achten? Kann der User vor jedem Klick im Internet geschützt werden? Patrick Fetter von Check Point sagt: Ja es geht. Sehen Sie wie.

Speaker | Sprecher

Name: Patrick Fetter
Affiliation | Affiliation : CheckPoint
Patrick Fetter unterstützt seit 7 Jahren als Check Point Security Consultant viele Unternehmen und IT System Provider bei der Erstellung von Security Konzepten. Durch die Arbeit mit unterschiedlichen Industriezweigen an einer Vielzahl von Projekten kann er einen Einblick in das Sicherheitsbewusstsein von Unternehmen geben und aufzeigen, wie mittels den richtigen Schutzmaßnahmen die Kronjuwelen von Firmen geschützt werden können.

Description | Beschreibung

Wir führen in einem spielerischen Ansatz durch die Herausforderungen eines Incidents. Dabei werden wir von der initialen Kompromittierung, über die Eskalation hin zu einer Krise bis zur Bewältigung des Vorfalles einen Workshop halten. Die Teilnehmer*innen sollen dabei mit ihren Erfahrungswerten und ihrer Expertise das Szenario voran treiben und zur Auflösung des Falles beitragen.

Speaker | Sprecher

Name: Martin Krumböck. Julian Gassner
Affiliation | Affiliation : T-Systems
Julian Gassner: Bevor er zu T-Systems gekommen ist, hat Julian Elektronik studiert und nebenbei in einem mittelständischen Wiener Unternehmen in der F&E im Bereich Software / Embedded Testing gearbeitet. Danach hat er sich für das Masterstudium IT-Security an der FH Technikum Wien entschieden und ist zur T-Systems in die Security gewechselt. Hier arbeitet er seit 2019 als Consultant, vor allem in den Bereichen Security Assessment und Vulnerability Management. Darüber hinaus hält er Workshops - unter anderem zu dem Thema "Secure Coding". Intern agiert er als Trusted Security Advisor für mehrere Großkunden.
Martin Krumböck: Martin Krumböck blickt bereits auf eine lange Laufebahn in der Cyber Security zurück. In seinen über 15 Jahren im Feld hat er international Kunden zu verschiedensten Themen beraten. Sein Fokus liegt auf Security Strategie und Cyber Defense. In seiner Postion als Head of Security Consulting, leitet er ein Team von Security Enthusiasten mit dem Ziel die Welt etwas sicherer zu gestalten. Gerne werden auch Geschichten aus der Praxis geteilt, um gemeinsam zu lernen und die Komplexität von Cyber Security besser zu verstehen.

Description | Beschreibung

Der Cold-Boot-Angriff gehört zu den sogenannten Seitenkanalangriffen, bei denen Sicherheitsmaßnahmen mit eher unkonventionellen Mitteln überwunden werden können. In diesem Workshop erfahren Sie, was passieren kann, wenn man sich physischen Zugang zu einem Computersystem verschafft, entweder durch unbeaufsichtigten Zugriff oder sogar nach der Entsorgung. Fragen wie, ob ein starkes Login-Passwort die Vertraulichkeit des Systems und der Daten schützen kann, oder ob lokale Datenverschlüsselung die Lösung aller Probleme ist? Es gibt verschiedene Möglichkeiten, sich unbefugten Zugriff auf persönliche Geräte zu verschaffen, die während des Workshops anhand praktischer Beispiele demonstriert werden. Der Cold-Boot-Angriff ist eines dieser Mittel, das in bestimmten Szenarien eingesetzt werden kann, in denen die Hardware eingefroren wird, um anschließend die Verschlüsselungsschlüssel zu extrahieren, wobei die meisten Sicherheitsmaßnahmen umgangen werden. Diese fortgeschritteneren Angriffe und andere einführende Beispiele, einschließlich des Auslesens und der Modifizierung der Geräte-Firmware und anderer Möglichkeiten der physischen Manipulation, werden behandelt.

Speaker | Sprecher

Name: Pol Hölzmer
Affiliation | Affiliation : FH Campus Wien
IT-Security and Privacy ethusiast with roots in Lëtzebuerg (Luxembourg). Versatile in humanoid and android languages. Currently, working for the Competence Center for IT-Security, and IT-Security Master student, both at the FH Campus Wien. Developer of this very webpage (its-now.science), and contributor to the Embedded Lab Vienna for IoT and Security (elvis.science). Join me at the IT-S NOW and Letz make it happen

Description | Beschreibung

Die Digitalisierung verändert unser Leben stetig und tiefgreifend. Während der technische Fortschritt faszinierende Möglichkeiten hervorbrachte, darf die Schattenseite nicht übersehen werden. "Smarte" Geräte dienen oft der Datensammlung oder als Einfallstore für Angreifer. Mit praxisnahen Erklärungen und Demonstrationen versucht dieser Workshop, Awareness für Security und Privacy im digitalen Alltag zu schaffen

Speaker | Sprecher

Name: Daniel Marth, Manuel Reinsperger
Affiliation | Affiliation : Cyber Security Austria
Daniel Marth ist langjähriger Teilnehmer und mehrmaliger Sieger der Austrian Cyber Security Challenge sowie der European Cyber Security Challenge. Als Security Spezialist bei RISE und als Trainer des österreichischen Nationalteams greift er auf ein breites und detailliertes Wissen über IT-Security zurück.
Manuel Reinsperger ist diesjähriger Captain des österreichischen Nationalteams für die European Cyber Security Challenge und Penetration Tester bei der A1 Digital. Seine Spezialitäten sind Physical Pentests, Phishing und die Entwicklung von Security Werkzeugen.