Trend
06.02.2017
Artikel drucken

ADV-Tagung Trust

Am 8.11.2016 war es wieder einmal so weit: Die ADV-Trust fand bereits zum vierten Mal statt.

Nach wie vor geht es bei der Trust um die drei Kernthemen Mobility, Security und Identity Management. Das bewährte Planungsteam DI Bernhard Göbl, MSc und DI Norbert Weidinger wurde diesmal von Herrn Peter Pfläging unterstützt.

Unser Mitglied und Sponsor e-shelter bot den passenden Rahmen für die Veranstaltung. Viele KundInnen, die stark auf Mobility setzen, haben ihr Rechenzentrum bei e-shelter untergebracht und nutzen die direkte internationale Anbindung an diverse Cloud-Provider. Security wird bei e-shelter großgeschrieben, und so mussten auch alle TeilnehmerInnen durch einen Vereinzelungszugang und durften erst nach Registratur mit Lichtbildausweis die Räumlichkeiten betreten. Identity Management hier also noch ganz analog.

Bei der Trust 2016 wurden die drei Themen in separaten Blöcken behandelt. Den Blöcken gemeinsam war die Struktur: Ein Blick zurück auf die Entwicklung von Mobility, Security bzw. Identity Management, ein Fokus auf die Gegenwart und ein Ausblick in die Zukunft.

Gestartet wurde mit dem Block Identity Management.
Der erste Vortrag kam von Herrn Mag. Walter Jung von der Erste Bank der österreichischen Sparkassen und zwar direkt aus der Praxis. Er stellte das neue elektronische Identifikationsservice „eid“ vor, das in den Startlöchern steht. Es handelt sich hierbei um ein einfaches und sicheres Online-Service der österreichischen Banken, um Daten von Privatkunden mit deren Zustimmung zu überprüfen und gegen Dritte zu bestätigen. Es ist bankenübergreifend wie das E-Payment-System „eps-Überweisung“. Und die technische Spezifikation ist über alle teilnehmenden Banken dieselbe. Bezüglich Preis und Konditionen soll es allerdings einen Wettbewerb geben. Der Vorteil für die KundInnen ist, dass sie ohne zusätzliche Software und in der sicheren Umgebung des Online Bankings eine Bestätigung ihrer Identität und ihres Alters erhalten können. Die HändlerInnen wiederum kommen ohne Aufbau eines eigenen Identitätsmanagements zu einer Verifikation von Kundendaten und der Rechtssicherheit bei Services, für die ein gesetzliches Alterslimit besteht.

Rainer Hörbe, BSc zeichnete den Weg zu einem skalierbaren Identitätsmanagement vor. Mit seinem tiefen Wissen über die Entwicklung von Sicherheitstechnologien auf der einen Seite und Bedrohungen auf der anderen Seite, zeichnete er die historische Entwicklung des IT-gestützten Identitätsmanagements nach und machte gemeinsam mit dem interessierten Publikum einen technischen fundierten Blick in die Zukunft.

Aus der Richtung Internet of Things (IoT) kommend analysierte Herr Ing. Andreas Schuster die Arbeitsplatzsicherheit. Er ortet dort aktuell ähnliche Mängel wie vor 25-30 Jahren beim PC: „Oft fehlen grundlegende Eigenschaften, um dem Kapern der Geräte wirkungsvoll zu begegnen.“ Aber auch NSA, NIST und ähnliche Organisationen sieht Herr Schuster als Gefährder. Sie sammeln auf Verdacht Daten, unterwandern Standardisierungs-Organisationen und verpflichten Unternehmen sogar, Backdoors (also heimliche Zugänge) in ihre Software einzubauen und geheime Schlüssel weiterzugeben, die eigentlich die vertrauliche Kommunikation absichern sollten. Lösungsansätze sind in erster Linie Awareness-Trainings. Als technische Lösungen können automatisierte Verhaltensanalyse/Sandboxing von Applikationen und Honeypots die Sicherheit steigern. Auch eine Zwei-Faktor Authentifizierung mit kryptographisch überprüfbarer Identität sei anzustreben.

Block Mobility
Der inhaltliche Block Mobility wurde durch einen Vortrag von Herrn Peter Pfläging eröffnet. Er warf die Frage auf, wie Mobility im Reibungsfeld zwischen privater und dienstlicher Nutzung gelebt werden kann. Seiner Beobachtung nach arbeiten vor allem MitarbeiterInnen zwischen 25 und 30, die als Digital Natives aufgewachsen sind und inzwischen kleine Teams leiten, zu mehr als 60% mobil. Die Kommunikation gehorcht dabei einem anderen Paradigma. Es geht um permanente und synchrone Kommunikation in kleinsten Einheiten, die Task- und nicht Tool-basiert erfolgt. Durch die permanente Kommunikation fällt eine technische Trennung von dienstlich und privat zunehmend schwerer. Natürlich müssen dienstliche Daten geschützt bleiben, aber ein permanentes Hin- und Herwechseln zwischen dienstlichem und privaten Device wird als einschränkend und hinderlich empfunden. Es wird also darum gehen, private Devices so in das berufliche Umfeld zu integrieren, dass die Daten sicher bleiben und die Flexibilität nicht eingeschränkt wird. Die Bedienbarkeit steht im Vordergrund. Wie weit jeder rund um die Uhr verfügbar sein möchte und sollte, steht auf einem anderen Blatt.

Mit einem Vortrag aus der Praxis der Mobilen Pflege setzte Frau Mag. Marianne Hengstberger fort. Der Verein der Wiener Sozialdienste blickt auf rund 70 Jahre Tätigkeit zurück. Im Bereich der Alten- und Pflegedienste GmbH wird Unterstützung zu Hause angeboten (Hauskrankenpflege, Heimhilfe und Besuchsdienst) aber auch Unterstützung in eigenen Einrichtungen (Betreute Seniorenwohngemeinschaften, Geriatrisches Tageszentrum). Früher wurden sämtliche Leistungen papiergestützt gesteuert und dokumentiert. Es existierte keine systematisch erfasste Dienstplanung, die Stunden wurden auf Klientenbögen (ca. 1,5 Mio. Blätter pro Jahr) erfasst. Der Aufwand dafür war immens. Die Ablage war dezentral, Auswertungen mühsam. In den letzten gut 10 Jahren wurde das in mehreren Schritten digitalisiert. Sämtliche Schritte von der Planung über die Dokumentation bis zur Abrechnung erfolgen in einem digitalisierten Prozess. Damit wurde auch die Grundlage für eine Anbindung an ELGA geschaffen. Und mit Technologie will man auch künftig die eigentlichen Bedürfnisse gerontologischer KlientInnen erfüllen: Es geht um Komfort, Lebensqualität, Sicherheit, Gesundheit, Pflege und Kommunikation. AAL – active assissted living ist eine vielversprechende Möglichkeit, diese Bedürfnisse technisch zu unterstützen.

In eine ganz andere Richtung ging der OpenFabNet-Vortrag von Herrn DI Christian Schwarzinger. Ziel von OpenFabNet ist das Fördern von „Self Organisation Services“ auf Basis freier Software. Es geht um Open Innovation für Industrie 4.0, Open Source, Open Hardware und offene Standards. Man möchte eine OSSOS-Infrastruktur schaffen (das Akronym steht für Open Source Self Organisation Services), die 100% Open Source, integrativ und erweiterbar, performant und benutzerfreundlich, erprobt und zukunftssicher, sowie skalierbar ist. Man ist soweit, dass man einen Kern definiert hat, mit dem die wesentlichen Anforderungen erfüllt werden können. Das zentrale Element Colibri stellt die BI-Komponente dar, um die weitere Lösungen gruppiert werden. Diese sind momentan iRedMail für die sichere Kommunikation, REDMINE für Dokumentation und Projektmanagement, Nextcloud für Filesharing, Kalender, Adressbuch und gemeinschaftliche Dokumentenbearbeitung sowie Wordpress für den Webauftritt. OSSOS ist „work in progress“ und man freut sich über motivierte Interessenten.

Block Security
Herr Mag. Dr. Walter Peissl vom Institut für Technikfolgen-Abschätzung (ITA) der Österreichischen Akademie der Wissenschaften läutete mit seinem spannenden Vortrag den Themenblock Security ein. Er referierte über Sicherheit, Sicherheitstechnologien und ihre multidimensionale Bewertung. Nach einer Darstellung der verschiedenen Facetten des Sicherheits-Begriffs stellte er die Ergebnisse eines Projekts vor, dessen Ziel es war, eine Methode zur transparenten Entscheidungsunterstützung zu entwickeln. Mit DESSI liegt nunmehr eine Methode vor, die in folgenden vier Phasen die Entscheidungsfindung unterstützt: Beschreibung des Sicherheitsproblems, Investition und Alternativen, Multi-Kriterien Bewertung sowie Entscheidung. Die Dimensionen sind mannigfaltig und reichen vom potentiellen Sicherheitsgewinn (oder –einbuße) über soziale Auswirkungen bis zur Wirtschaftlichkeit. Das DESSI Decision Support Tool steht als Free und Open Source (Website securitydecisions.org) zur Verfügung.

Sehr spannend war auch der Vortrag von Herrn Dr. Martin Nussbaumer, einem Vertreter unseres Sponsors SAP. Er stellte dar, wie Systemlandschaften vor externen und internen Cyberattacken geschützt werden können. Ausgangspunkt war die Erkenntnis, dass nahezu jede IT-Abteilung derzeit Tage wenn nicht Wochen benötigt, um bei festgestellter Malware alle betroffenen System und MitarbeiterInnen sowie den zeitlichen Verlauf und Umfang der Attacke nachzuvollziehen. In fünf Annahmen wurde formuliert, dass sich Unternehmen derzeit vorwiegend auf technische Prävention an der Außengrenze des Unternehmens konzentrieren und dafür viel Geld ausgeben. Ist so ein Silo erst einmal aufgebrochen, gibt es wenig Widerstand. Herr Nussbaumer plädierte für risikobasierte Sicherheits-Investments und stellte einen Blueprint vor, wie man ein modernes SAP-Ökosystem absichern kann. Es geht dabei um laufendes Sicherheits-Monitoring, eine holistische Betrachtung der Infrastruktur und Applikationslandschaft und um das Verstehen moderner Angriffsmethoden und -szenarien.

Den lebendigen und praxisnahen Abschluss der Vorträge bildete der Beitrag unseres Sponsors ACP. Herr DI Markus Riegler fokussierte auf das Thema „Social Engineering“. Meistens ist das organisatorische Überwinden von Sicherheitshürden viel leichter als das technische. Das liegt oft an mangelndem Wissen der Opfer, aber auch an den Grundeigenschaften und „Funktionsweisen“ des Menschen. 50% von 297 Testpersonen haben einen gefundenen USB-Stick am Firmen-PC angesteckt. Eine passende Beschriftung (z.B. „Gehaltsdaten – vertraulich“) kann diese Rate weiter steigern. Social Engineering kann beim persönlichen, telefonischen oder digitalen Kontakt (oder einer Kombination derselben) angewendet werden. Gutgläubigkeit und Neugierde sind die starken Treiber. Schützen kann man sich vor allem durch Bewusstseinsbildung. Information Security Awareness Schulungen, wie sie auch ACP anbietet, sind wirkungsvoller und günstiger als viele technische Maßnahmen.

Als Abschluss des Tages und Übergang zur unabhängigen Abendveranstaltung „ADV zu Gast bei e-shelter“ fand noch eine Diskussion in kleiner Runde statt, die die geplanten Round-Tables ersetzte. Peter Pfläging moderierte diese Diskussion aller Anwesenden rund um die Fragen „Identity Management oder Single-Sign-On“ und „Sicherheit: organisatorisch oder technisch?“ Auch wenn in der kurzen Zeit kein Ergebnis nach wissenschaftlichen Standards erarbeitet werden konnte, wurden wichtige Aspekte strukturiert und in Form von Mind-Maps festgehalten.

Bei einem ausgezeichneten Buffet unseres Sponsors e-shelter ließen die TeilnehmerInnen den interessanten Tag in Gesprächen Revue passieren und setzen die einzelnen Themen inhaltlich fort.

Unser Dank gilt unseren ReferentInnen und Sponsoren: ACP IT Solutions GmbH, e-shelter facility services GmbH, SAP Österreich GmbH, die maßgeblich zum Gelingen der Tagung beigetragen haben.

Mit den drei Kernthemen Mobility, Security und Identity Management beschäftigen wir uns auch heuer wieder in einer eigenen Tagung.

ADV-Tagung Trust 2017
Die ADV-Tagung Trust 2017 wird am 09.11.2017 stattfinden. Merken Sie sich den Termin schon mal vor. Näheres auf unserer Website unter: www.adv.at/events.
Wir freuen uns auf Sie.
ADV auf Xing
ADV auf Facebook
© 2015, ADV Arbeitsgemeinschaft für Datenverarbeitung