Data & Security – Wie sicher sind unsere Daten?
Die Sammlung, Analyse und Verarbeitung großer, komplexer, schnelllebiger Datenmengen, bildet in der heutigen Zeit oft eine Grundlage für Vieles: Logistik, (Online-) Handel, Autonomes Fahren, Anwendungen im Gesundheitswesen, Umweltschutz sowie die Bekämpfung von Korruption und Kriminalität.
Ein Beispiel für Komplexität, hohe Änderungsraten und schwache Strukturen sind Daten, die die allgegenwärtigen Kameras von Smartphones und Fahrzeugen sowie von Überwachungskameras im öffentlichen Raum liefern. Die Erfassung und Analyse dieser Daten bieten viele Chancen, aber auch viele Risiken, wenn diese Daten in falsche Hände geraten.
Die Quality Night gibt einen Einblick, welche unterschiedlichen Datenquellen es gibt und welchen Nutzen die Auswertung dieser Daten für Anwender:innen hat. Wir zeigen, was man unter Datamining versteht, aber auch mit welchen Methoden man Daten sowohl auf Datenplattformen, als auch in der Embedded Software Entwicklung systematisch gegen Angreifer:innen schützen kann.
Neben den Vorträgen können im World Café und beim anschließenden Net Working Erfahrungen ausgetauscht werden.
Agenda:
16:30 Begrüßung (ASQF, FGs)
16:40 Clemens Hübner & Rostislaw Krassow Sicherheit, aber mit System: Threat Modelling für Datenplattformen
Abstract:
In Datenplattformen hat Sicherheit eine besondere Bedeutung, weil dort Unternehmensdaten konsolidiert werden und damit für potenzielle Angreifer hohe Anreize entstehen. Eine Umsetzung der Datensicherheit in der Praxis bedarf eines systematischen Vorgehens, um alle Facetten des Themas abzudecken. In dem Vortrag stellen wir unsere Adaption der etablierten Methode “Threat Modelling” für Datenplattformen vor: Ausgehend vom bekannten “Four Question Framework” wird der Fokus auf die vorhandenen Daten und ihre Verarbeitung gelegt. Von der Identifikation der schützenswerten Data Assets über die Aufstellung der Bedrohungsszenarien (anhand der STRIDE-Methodik) bis hin zur Ableitung von effizienten Gegenmaßnahmen stellen wir das Vorgehen anhand eines praktischen Beispiels dar. Der Vortrag richtet sich an Entwickler:innen, Architekt:innen und Product Owner in Datenprojekten, die eine andere Vorgehensweise kennen lernen möchten, um Authentifizierung, Autorisierung, Verschlüsselung und Auditing zu implementieren oder bestehende Datenplattformen zu validieren. Die allgemeingültigen Regeln ergänzen wir mit Hinweisen zu häufigen Schwachstellen und bewährten Lösungsansätzen aus unseren Projekten.
17:30 Klaus Lamm Daten im automobilem Umfeld, und die systematische Vorgehensweise zum Schutz gegen Hacker
Abstract:
Im automobilem Bereich fallen immer mehr Daten an, welche teilweise übertragen und verarbeitet werden. Damit die Daten und deren Austausch gegen Angriffe abgesichert sind, werden u.a. die zugehörigen Entwicklungsprozesse diesbezüglich assessiert. Zum Beispiel ist die Durchführung einer Thread- and Risk Analysis sowie die Absicherung der daraus resultierenden Security Controls ein wichtiger Bestandteil zur Mitigation von potentiellen Risiken. Künftig werden diese Datenmengen auch im Bezug zum autonomen Fahren noch zunehmen. Sensoren erfassen hierbei ständig die Umgebung, erzeugen dabei Daten, welche anschließend ausgewertet werden. Diese müssen gegenüber Dritten geschützt werden. Auch hier müssen natürlich mögliche Angriffspunkte identifiziert, Risiken bewertet und durch geeignete Maßnahmen mitigiert werden. Das Prozess-Assessment-Modell Automotive SPICE® for Cybersecurity unterstützt, dass in der Entwicklung nach einem State-of-the-Art Ansatz mögliche Prozessrisiken systematisch bewertet werden, und Schutzmaßnahmen im Produkt implementiert und validiert werden. Dies muss auch bei Lieferanten sichergestellt werden. Die prinzipielle Vorgehensweise und der Nutzen von systematischen Prozessen im Cybersecurity Umfeld und deren Überprüfung nach Automotive SPICE® for Cybersecurity wird in diesem Vortrag näher erläutert.
18:20 World Café / Abendessen
19:30 Keynote: Christian Alexander Graf Wie man Daten sammelt ohne gleich persönlich zu werden – Differential Privacy in der Praxis
Abstract:
Datenschutzregeln in der Verarbeitung von Daten stellen zu Recht hohe Anforderungen an den Schutz derPrivatsphäre. Schon mit wenigen Anhaltspunkten lassen sich unterschiedliche Datenquellen, wie z.B. das Foto einesFilmstars nebst Taxikennzeichen und veröffentlichte Fahrtdaten der Taxis miteinander verknüpfen undBewegungsprofile, Gesundheitsdaten uvm. einer realen Person zuordnen. Was, wenn man Daten gleich so erfassenkann, dass niemand mehr einen eindeutigen Personenbezug herstellen kann? Vielen unbekannt, ist ‘PrivacyPreserving Datamining’ – also Datamining, dass die Privatsphäre der Datengeber bewahrt – seit Jahrzehnten ein sehraktives Forschungsfeld, dessen Ergebnisse längst von großen Firmen wie Google, Apple oder Microsoft zum Schutzihrer Anwender eingesetzt werden. Wie Privacy Preserving Datamining und insbesondere das Konzept der DifferentialPrivacy funktioniert, erläutert der mit vielen Beispielen und Geschichten rund um Datenpannen und ihre Vermeidunggespickte Vortrag.
20:30 Closing & Net Working
21:00 Ende