INTERNET WORLD Logo Abo
Security 09.08.2016
Security 09.08.2016

Expert Insights Zwei Konferenzen, ein Fazit: Datensicherheit ist die größte Herausforderung

Black Hat und DefCon sind zwei etablierte Konferenzen, die jedes Jahr in Las Vegas stattfinden. Die Black Hat hat Sicherheit, die DefCon Hacking als Leitmotiv. Dennoch könnten beide nicht unterschiedlicher sein.

Die Black Hat ist eine hoch professionelle Business-Veranstaltung mit allein mehreren Tausend Teilnehmern an den Trainings und Seminaren vor dem Konferenzteil. Das Angebot dieser Weiterbildungen geht von "Android Application Hacking - Pentesting and Reversing Mobile Apps" für Anfänger bis hin zu "Advanced Car Hacking - Hands on".

Insgesamt werden fast 100 Kurse rund um das Thema Software- und Hardware-Sicherheit angeboten, in verschiedenen Schwierigkeitsleveln. Viele sind ausverkauft und die meisten sehr gut gebucht. Am Ende können Zertifikate inklusive Prüfung gemacht werden. Die Organisation im Mandalay Bay Convention Center ist beindruckend gut. Von der Ticketausgabe, dem Supportteams vor Ort bis hin zum Conference Lunch für über 20.000 Teilnehmer. Auch das konferenzeigene WLAN funktioniert gut, was aber kaum einer wirklich nutzt - warum nur? 

Begriffe wie Penetration, Man in the Middle, Fuzzying und Metasploid Mastery schwirren in den Pausen über die Flure und von vielen Beteiligten hört man Lob für die Qualität und Tiefe der Trainings. Vor allem beeindrucken die Referenten durch Kompetenz, Unterhaltungswert und Offenheit ihr Wissen live zu zeigen und mitzuteilen. Bei den Black Hat Trainings geht es darum das Erlernte direkt anwenden zu können und in den Practice Pausen auch selber zu üben. Dafür wurden eigens entwickelte, individuelle Infrastrukturen mit viel Aufwand und Liebe ins Detail geschaffen. 

Black Hat Hacking Zertifikat

Curt Simon Harlinghausen

Sicherheit, Infrastruktur, Hacking und Krisenmanagement

Die auf die Trainings folgende Konferenz und Messe hält das Niveau und die Referenten und bietet Vorträge auf höchstem Niveau rund um die Thema Sicherheit, Infrastruktur, Hacking und Krisenmanagement. Die Pausen und die Verpflegung, wie zum Beispiel "Ice Cream Social" werden von großen Sponsoren übernommen.

Apropos Eiscreme, bei über 40 Grad Celsius Außentemperatur, eigentlich eine gute Idee, aber leider wurde der Konferenzbereich so runtergekühlt (15 Grad), dass lange Hose und zum Teil Pullover benötigt wurden. Böse Zungen behaupteten, dass das Absicht wäre, um den "Swag", die Merchandise-Artikel, wie Hoodies, Jacken und T-Shirts, besser zu verkaufen. 

Inhaltlich bot die Konferenz ein umfassendes und tiefgehendes Programm, dass auch wieder im diesen Jahr aufzeigte, wie leichtfertig viele Unternehmen mit dem Thema Sicherheit ihrer Daten, ihres Wissens und mit ihrem geistigen Eigentum umgehen. 100 Prozent Sicherheit gibt es nicht und die größte Lücke im System ist der Mensch (Social Engineering widmet sich nur diesem Thema), dennoch ist es erschreckend zu sehen, wie einfach viele Systeme zu umgehen oder zu hacken sind, und wie schwer es ist jede Tür, jede Lücke zu finden, sie zu schließen und zu überwachen, um auch auf Dauer dafür zu sorgen, dass sie keine Einfalltor wird denn oftmals wurden nicht aktualisierte oder gepatchte Infrastrukturen genutzt, um in ein System einzudringen.

Terminator

Curt Simon Harlinghausen

Am Ende der Konferenz wurden dann, ohne drei bis vier stündigem Anstehen, die berühmten, interaktiven Badges für die DefCon ausgegeben, die wie jedes Jahr ein neues Rätsel in sich trugen.

(Kreatives) Chaos der DefCon

Auf die gut organisierte Corporate Welt der Black Hat folgt das (kreative) Chaos der DefCon, im Bally und Paris Hotel am Strip, die im 24. Jahr zwar immer weiter wächst, aber um so mehr mit den Anforderungen einer Großveranstaltung zu kämpfen hat.

Eine Gruppe an "Freiwilligen" und Enthusiasten steckt jedes Jahr extrem viel Zeit und Herzblut in die Veranstaltung - in die Badges, Villages (Car Hacking, IoT, LockPicking, Social Engineering etc.), Catch the Flag Events, aber auch in das Konferenzprogramm und die Workshops. Das Chaos beherrscht dennoch die Konferenz, da es keine Anmeldung gibt, Badges (= Ticket) nur bar bezahlt werden können und die Infrastruktur, selbst nach dem Auszug aus dem RIO Hotel, nicht dem Besuchersturm gewachsen ist.

Der original Swag (T-Shirts, Aufkleber und Hoodies) ist nach ein paar Stunden zu 70 Prozent ausverkauft, dafür muss man ebenso lang in einer Schlange stehen. Ebenso die Workshops und Trainings. Die 2.000 Plätze sind rasend schnell ausgebucht. Selbst in der Vendor Hall haben die meisten LockPicking und Hackware-Stände am Ende des zweiten Tages kaum noch Hardware zu verkaufen. Menschmassen, aus Nerds, Hackern, Selbstdarstellern und in diesem Jahr auffallend viele DefCon-Touristen, schieben sich geduldig durch die Gänge, warten vor den Konferenzräumen oder beim Irokesen-Frisör, drängen sich in den Villages und verbringen ganze drei Tage in den Competition Rooms, wie zum Beispiel dem Capture the Flag Event.

Daher wird auch in der Keynote auf die 3, 2, 1-Regel hingewiesen (3 Liter Wasser am Tag, 2 Mahlzeiten und 1x Duschen), da die Teilnehmer im Eifer des Gefechts das gerne schon einmal vergessen.

In diesem Jahr hat die Darpa den ersten nicht Humanuiden Hacker-Wettkampf "Cyber Grand Challenge" (CGC) von selbstlernenden Systemen veranstaltet. Sieben Teams und ihre intelligenten Systeme mussten sich gleichzeitig angreifen und verteidigen, Lücken aufspüren, schließen und patchen.

Nordkorea Flash Hub

Curt Simon Harlinghausen

Das Team Mayhem, ForAllSecure aus Pittsburgh, hat nicht nur den prestige-trächtigen Wettbewerb, sondern auch die zwei Millionen US-Dollar Preisgeld gewonnen. Der dreistündige Wettkampf wurde live gestreamt und, wie bei einer Sportveranstaltung, von Ikonen aus dem Umfeld moderiert und kommentiert.

Thema Darknet verstärkt im Fokus

Die DefCon dreht sich primär um das Thema Hacking und das Aufzeigen von Sicherheitslücken, um die Themen Lock-Picking (Schloss-Rätsel lösen), Cybersecurity-Gaming und in diesem Jahr verstärkt um das Thema Darknet. Auch hier wurde nicht, wie auf vielen europäischen Konferenzen üblich, über die Theorie gesprochen, sondern live gezeigt, was und wie es möglich ist Systeme zu umgehen oder zu hacken. Angefangen von einfachen Netzwerken, über Autos, bis hin zu komplexen Infrastrukturen und staatlichen Systemen.

Die "Nerd"-Dichte ist auf keiner Konferenz so hoch, wie hier und ebenso bietet die Konferenz einen Einblick in die Vielfalt an Themen, Typen und Trends, die die ansonsten so unzugängliche Welt zu bieten hat.

Mein Fazit: Jedes Unternehmen, das in der digitalen Welt nachhaltig existieren will, sollte an den beiden Konferenzen teilnehmen, um zu verstehen, zu lernen und zu erleben, welche Herausforderungen an das Thema Datensicherheit auf uns zu kommen und bereits bestehen.

Das könnte Sie auch interessieren