Programm der Tour
Das Lagebild der IT-Sicherheit 2025
Um sich angemessen verteidigen zu können, muss man ein Bild davon haben, was einen bedroht. Und zwar ein möglichst aktuelles, mit Erklärungen, wo sich gerade besonders viel verändert und am besten mit einem Ausblick auf die nahe Zukunft. Das liefert Jürgen Schmidt, Leiter von heise security in bewährter Manier – sachlich und fundiert.
- Was tut sich bei Cybercrime, APT & Co
- KI & Security
- Stand der Dinge bei Quantencomputern
- Europas Situation zwischen Russland, China und Trump’s USA
Jürgen Schmidt
Vermeiden, verarzten oder versichern – Risikomanagement in der Praxis
Egal ob NIS‑2, DORA, DSGVO oder eine andere aktuelle Compliance-Vorgabe: Risikomanagement bildet die Grundlage für eine angemessene und zielgerichtete Informationssicherheit. Und das gilt natürlich auch abseits aller Regulatorik, denn nur wer seine Problemzonen kennt, kann auch gezielt etwas unternehmen.
Der Vortrag stellt das Thema Risikomanagement in seinen Grundzügen vor, bildet Analogien zum Risikomanagement im Alltag und illustriert gleichzeitig auch die Notwendigkeit desselben im Rahmen der Umsetzung einer angemessenen Informationssicherheit. Anhand von etablierten Standards werden die typischen Wege und Möglichkeiten im Risikomanagement aufgezeigt und zudem die Verantwortlichkeiten im Unternehmen diskutiert. Ein Schritt-für-Schritt-Vorgehensmodell rundet den Vortrag ab.
- Überblick: Einführung in die Begrifflichkeiten
- Vielfalt: Risiken sind allgegenwärtig
- Optionen: Behandlungsoptionen für Risiken
- bewährtes Vorgehen: etablierte Standards als Blaupause
- Zuarbeit: Aufgaben des Risikomanagers
- Los gehts: Schritte zum erfolgreichen Risikomanagement
Dr. Christoph Wegener
Haftung in der IT-Sicherheit
Die rechtliche Haftung für IT-Vorfälle ist Gegenstand von zahlreichen neuen gesetzlichen Regelungen wie NIS2, Cyber Resilience Act und der neuen Produkthaftungsrichtlinie. Diese Regelungen stehen zudem im Spannungsfeld zwischen der DSGVO und dem kommenden AI Act. Diese Regelwerke setzen hohe Standards für Datenschutz, Cybersicherheit und den verantwortungsvollen Einsatz von Künstlicher Intelligenz.
Der Vortrag beleuchtet die zentralen Haftungsrisiken, die sich aus Datenschutzverletzungen, Sicherheitsvorfällen und fehlerhaften KI-Systemen ergeben, und zeigt auf, wie Unternehmen auf diese Anforderungen reagieren müssen. Zusätzlich werfen wir einen Blick in die USA und beschäftigen uns mit der enorm praxisrelevanten Frage, wie es mit dem transatlantischen Datenverkehr unter Trump weitergeht.
- Neue Haftungsregeln durch NIS2 & Co
- Umgang mit IT-Sicherheitsvorfällen nach der DSGVO
- Neue Urteile zu Schadensersatz und Bußgeldern bei Datenpannen
- “Risiko Trump” – US-Datentransfer vor dem Aus?
Joerg Heidrich
Richtig analysiert – das kann und soll IT-Forensik heute leisten
Von (internen) Sonderuntersuchungen, über die Aufklärung eines technischen Vorfalls bis hin zur Abwehr sowie Untersuchung eines Angriffs und von Straftaten: IT-Forensik hat viele Aspekte. Die vermehrte Nutzung von Cloud-Umgebungen und KI bringen neue Herausforderungen, aber auch Möglichkeiten, die richtig genutzt werden wollen. Christoph Beckmeyer stellt an praktischen Beispielen dar, wie sich das technische und organisatorische Vorgehen der IT-Forensik und der Vorfallsreaktion in den letzten Jahren verändert hat und was das für Unternehmen bedeutet.
Doch nicht alles, was möglich wäre, ist auch zwangsläufig zielführend. Ein zentraler Teil des Vortrags beschäftigt sich deshalb damit, wie man in konkreten Situationen die richtige Grenze zieht und entscheidet, was überhaupt noch zweckmäßig und notwendig ist. Abschließend gibt Beckmeyer praktische Hinweise für die “Forensic Readiness”, eine Checkliste für eine angemessene und zielgerichtete Vorbereitung auf die anstehende IT-forensische Untersuchung, wenn es irgendwann auch Sie trifft.
- Kurzer Überblick: die Arbeit eines IT-Forensikers
- Begrifflichkeiten: “Root-Cause-Analyse”, “IOCs”, “TI” und “Lessons-Learned”?
- Im Wandel der Zeit: Einflüsse durch “Cloud” und “AI”
- Grenzbetrachtungen: sinnvolle Grenzen der IT-Forensik
- Gut geplant: gezielte Vorbereitung auf IT-forensische Untersuchungen
Christoph Beckmeyer
Risiko “Managed Security” – wie viel Security kann und sollte ich auslagern?
Der Trend, IT in die Cloud auszulagern, macht nicht vor der Security halt. Personalknappheit und zumindest scheinbar günstige Angebote für “Managed Security” verstärken das weiter. Der Vortrag zeigt zunächst auf, welche Möglichkeiten zur Auslagerung von Aufgaben und Diensten im Bereich der Security grundsätzlich bestehen und stellt dem die Angebotsseite gegenüber: Was gibt der Markt überhaupt her und was ist davon zu halten?
Anschließend geht Stefan Strobel der Frage nach, ob und wie man im eigenen Unternehmen von Managed Security profitieren könnte. Dabei beleuchtet er kritisch die jeweiligen Vor- und Nachteile und stellt flexible Bewertungskriterien vor, die eine bedarfsgerechte Analyse ermöglichen und damit Entscheidungen vereinfachen.
- Im Überblick: grundsätzliche Möglichkeiten der Auslagerung im Bereich Security
- Wer und wie: Übersicht über die verfügbaren Angebote
- Kritischer Blick: Betrachtung der jeweiligen Vor- und Nachteile
- Entscheidungshilfe: Bewertungskriterien und Checkliste
Stefan Strobel
10 Shades of Phish – so geht Phishing heute
Beim Thema Phishing denken viele noch immer an holprig formulierte E‑Mails und simple „Gib mir dein Passwort“-Seiten. Entsprechend sind auch zahlreiche Awareness-Schulungen ausgerichtet – doch diese Art von Angriffen gehört längst der Vergangenheit an. Phishing hat sich in den letzten Jahren rasant weiterentwickelt – in nahezu jeder Hinsicht. Die Akteure, ihre Infrastruktur, die eingesetzten Techniken, die Zielobjekte und die anschließende Nutzung kompromittierter Zugangsdaten – nichts ist mehr so, wie es einmal war.
Julian Suleder gewährt einen exklusiven Einblick in moderne Social-Engineering-Kampagnen und demonstriert teils live, wie Cyberkriminelle ihre Methoden an gesteigerte Awareness, Cloud-Umgebungen und Multi-Faktor-Authentifizierung (MFA) anpassen. Dabei machen sie sich Phishing-as-a-Service, OSINT und Künstliche Intelligenz zunutze. Er zeigt, wie gängige Anti-Phishing-Maßnahmen scheitern, und natürlich auch wie man sich und sein Unternehmen besser auf diese Bedrohung vorbereiten kann.
- Phishing-as-a-Service und Deepfakes
- Von Passwörtern zu Tokens und Credentials
- MFA-Phishing und Adversary-in-the-Middle-Angriffe
- Vom Initial Access zu Lateral Movement
- bessere Awareness und andere Anti-Phishing-Maßnahmen
Julian Suleder ist Senior Security Researcher bei ERNW und neben der Organisation und Durchführung von Penetrationstests auf die Durchführung und Optimierung von Phishing-Simulationen sowie die Förderung der Security Awareness in Unternehmen
spezialisiert. Seine Erfahrung aus zahlreichen Projekten in verschiedenen Branchen ermöglicht es ihm, zielgerichtete Awareness-Programme zu entwickeln, die sich an den realen Herausforderungen moderner Unternehmen orientieren
Julian Suleder
Das bietet die heise security tour
- Praxisnahe Vorträge renommierter Branchenexperten
- Rein redaktionell ausgewähltes Programm, keine Sales-Vorträge
- Hilfreiche Informationen und Tipps zur Umsetzung im Arbeitsalltag
- Vor Ort: Direkter Austausch und Networking
- Online: Fragerunden per Chat mit den Referent:innen
- Im Nachgang alle Präsentationen und Materialien