virtuelle Konferenz: Best of IT-Security

Am 25.03.2020 und 26.03.2020 hat die secIT aus Gründen der anhaltenden Corona-Pandemie nicht stattgefunden. Der Veranstalter Heise hat daraufhin beschlossen diese Konferenz in diesem “Neuland” zu virtualisieren.

Gibt es Vorteile dieser Virtualisierung?

Klar, die Ressourcen werden geschont!
Soll heissen es wurde massiv Kohlendioxid eingespart, weil alle aus dem “Home-Office” gearbeitet haben und eventuell sind die Vorträge auch später noch als Video verfügbar. Es entfällt auch das nervige Warten im Stau oder das “Zwangskuscheln” im ÖPNV bei der An- und Abreise.
Und überhaupt ist es doch auf dem heimischen Diwan eh viel gemütlicher!

Nachteile dieser Virtualisierung?

Natürlich gibt es auch Nachteile bei solch einer Virtualisierung. Der “Konferenzplausch” beim leckeren schwarzen Kaffee und die direkte Interaktion zwischen Menschen, die durch keine Technik zu ersetzen ist, fehlen! Das bedeutet auch, dass man leider nicht über coole Sachen sprechen kann, die anderen Unternehmen helfen könnten ihre Mitarbeiter sicher aus dem “Home-Office” mit der Firmeninfrastruktur zu verbinden. Mit “cooler Sache” ist hier WireGuard gemeint und wer wie wir auf Linux setzt freut sich darüber, dass WireGuard ab Linux 5.6 direkt mit geliefert wird

Die “coole Sache” ist nämlich, dass man hier kein Kryptografie Experte sein muss, um eine “Stand der Technik” VPN Verbindung zu realisieren.

Wie fühlt sich eine virtuelle Konferenz aus Sicht eines Teilnehmers an und was lernt man da so?

Hmm, schwierig als IT’ler diese Frage zu beantworten. IT’ler sind es mitunter ja gewohnt aus dem “Home-Office” zu arbeiten. Aus der Beobachterperspektive (wie Alexander Gerst aus der Internationale Raumstation schwebend) könnte man sagen, wir als Gesellschaft im Allgemeinen haben da noch eine dringende Aufgabe vor uns bei der Digitalisierung dieses “Neulands”, denn wenn in Zukunft weiterhin sichere IT-Systeme durch Infrastrukturanbieter betrieben und administriert werden sollen, wie uns z.B., braucht es flächendeckendes Internet mit einer Mindestanforderung an die Bandbreite und diese Mindestbandbreite kann nicht 56kbit/s oder “klappriger” Mobilfunk mit unzureichenden Bandbreiten sein.

Tolle neue “Stand der Technik” Kryptografie könnte zukünftig dafür sorgen, dass die zu übertragende Datenmenge beim Schlüsselaustausch von ca. zwei Kilobyte auf ca. ein Megabyte anwächst. Wie wirkt sich dieser Anstieg zeitlich aus bei einer 56kbit/s Internetleitung? Nun zwei Kilobyte zu übertragen würde ca. eine Sekunde benötigen, ein Megabyte hingegen ca. einhundertsiebenundvierzig Sekunden. Hier bleibt zu hoffen, dass der flächendeckende Breitbandausbau abgeschlossen ist, bevor ein sicheres Betreiben von Systemen technisch aus diesen Regionen nicht mehr möglich ist. Warum ist das ein Problem? Weil sich diese “Wartezeit” auf jeden Schlüsselaustausch bezieht, also z.B. auf jede neue SSH-Sitzung die nicht über einen “ControlMaster” aufgebaut wird.

Man bekommt “frei Haus” den eigenen Horizont erweitert und lernt interessante Konzepte kennen, wie z.B. die von Bruce Schneier erwähnte “OODA (observe–orient–decide–act) loop” oder den von Tobias Glemser erwähnten “Cyber Security Check”. Wir werden beides betrachten und für uns relevante “Erweiterungen” herausarbeiten und implementieren.
Mit einer provokanten Frage über die begrenzte Interaktionsmöglichkeit des Frageformulars nach der “Tiefe des Penetrationstest anstelle der Penetrationstestdauer (Zeitspanne)” ist es auch im virtuellen Format einer Konferenz möglich die Neugier des Vortragenden zu wecken, wir werden gerne die Idee dahinter mit dem Vortragenden per Mail erläutern / den Gedankenaustausch suchen.

Was darf auf einer Security Konferenz nicht fehlen?

Richtig Hacking!
Live…
in Farbe…
und bunt!

Diesmal im Live-Stream mit Hilfe des OpenSource Tools Empire vorgeführt, natürlich alles in einer Testumgebung! Wer sich jetzt fragt “Hä, wat is Empire?” das ist sowas wie metasploit

Leider ist der Vortrag “Cyber Risk Perception & Resilience” ausgefallen, es wäre durchaus interessant gewesen zu hören, was das Bundesministerium der Verteidigung zur IT-Sicherheit zu sagen hat. Eventuell stehen ja zeitnah die Folien zur Verfügung und wir finden darin einen interessanten Denkanstoß, um unsere Infrastruktur noch ein Stück sicherer zu machen.

Fazit

Die Technik streikt nicht nur Live vor Ort, sondern auch in diesem “Neuland” bei einer virtuellen Konferenz, man könnte es auch gut mit “A Conference Call in Real Life” beschreiben
Macht das einen Unterschied zur “vor Ort” Konferenz? Ja, denn vor Ort kann der Vortragende sein Publikum auch erreichen, wenn diese Technik trotz genügend “IT-Karma” nicht so recht funktionieren will.

Das wichtigste dabei ist aber, es hat trotzdem wahnsinnig viel Spaß gemacht und wir konnten unser Wissen im IT-Sicherheitsbereich auffrischen und ein Stück erweitern.

Bis dann und happy
Cyber Cyber \m/

  • Messen & Events
  • Neuigkeiten von x-ion
  • Datenschutz & IT-Sicherheit
Consent Management Platform von Real Cookie Banner