RSA Conference 2011

TeleTrusT-Engagement für "IT Security made in Germany"

Auf der RSA Conference 2011 hat TeleTrusT mit Partnern aus Industrie, Forschung und Verwaltung Produkte und Dienstleistungen unter dem Zeichen "IT Security made in Germany" vorgestellt.

Folgende Unternehmen und Einrichtungen der IT-Sicherheitsbranche waren am deutschen Gemeinschaftsstand beteiligt:

- atsec information security
- art of defence
- Brainloop
- BSI
- CORISECIO
- Cryptovision
- eleven
- Infineon Technologies
- KikuSema
- Psylock
- QGroup
- Rohde & Schwarz
- secunet Security Networks
- Secusmart
- Sirrix
- TÜV Informationstechnik.

Die weltgrößte IT-Sicherheitskonferenz fand auch diesmal wieder im Moscone Center in San Francisco statt. Die RSA-Konferenz ist nach wie vor die Welt-Leitmesse für IT Security mit starker internationaler Beteiligung. Mit ca. 14.000 Konferenzteilnehmern und mehr als 300 Ausstellern hat diese Veranstaltung ihren Status auch in die Zukunft hinein weiter gefestigt. "IT Security made in Germany" war zum 11. Mal in ununterbrochener Folge, mit einer vom Bundesministerium für Wirtschaft und Technologie (BMWi) und vom Ausstellungs- und Messe-Ausschuss der deutschen Wirtschaft e.V. (AUMA) geförderten und von TeleTrusT organisierten Gemeinschaftsausstellung vertreten. Die beteiligten 15 deutschen Unternehmen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vermittelten in einem Informationszentrum ein überzeugendes Bild von der Kompetenz und Wettbewerbsfähigkeit der deutschen IT-Sicherheitsbranche. Mit fast 120 m² Standfläche in der Hauptachse der Ausstellung war eine hervorragende Sichtbarkeit der deutschen Präsenz gegeben.

 
Mit dem Status eines Goldsponsors für "IT Security made in Germany" war zudem verbunden, dass die Konferenzteilnehmer zu vielen Gelegenheiten (Key Note Sessions, Konferenzbroschüre, Übersicht über das deutsche Angebot in den Konferenztaschen aller Teilnehmer) auf die deutsche Beteiligung aufmerksam gemacht wurden.

Einen hohen Stellenwert besitzt stets auch das von TeleTrusT mit den am Gemeinschaftsauftritt Beteiligten gestaltete Rahmenprogramm. Es war in diesem Jahr durch die aktive Mitwirkung des Präsidenten des BSI, Michael Hange, besonders erfolgreich.

Traditionsgemäß gefördert wird der wissenschaftlich-technische Dialog zwischen deutschen und internationalen Fachkollegen in einem "Round Table" am Vortag der Konferenz. Der Einladung zum Thema "Embedded Security for Smartphone and Automotive Applications" folgten 40 Fachkollegen. Nach der Begrüßung durch den BSI-Präsidenten gab es hochwertige Beiträge von Microsoft, RSA Security, Fraunhofer SIT und Sirrix, die lebhaft diskutiert wurden.

Know-how aus Deutschland wurde auch in einer Panel Session im Programm der Konferenz geboten. Hier wurde ebenfalls ein innovatives Thema "Embedded Security for Connected Systems" offeriert. Moderiert von Michael Hange wurden Fallstudien zu IT-Sicherheitskonzepten für "Smart Grids" und "Automotive Infotainment Platforms" vorgestellt und mit den fast 55 Teilnehmern kompetent diskutiert.

Die hohe Wertschätzung deutscher Kompetenz kam zusätzlich mit einer Einladung der Führungsspitze des Veranstalters der RSA Conference, Thomas P. Heiser (RSA Präsident) und Arthur Coviello (RSA Chairman) zu einem Meeting zu "Cloud Security / Cloud Governance" zum Ausdruck. Die deutschen Beiträge von Michael Hange, Norbert Pohlmann und Ammar Alkassar befassten sich vor allem mit den Cloud-Aspekten, die sich aus der europäischen und deutschen Datenschutz- und Privacy-Kultur ergeben.

Einen guten Ruf besitzt auch der "Deutsche Abend" im Konsulat zu dem der Generalkonsul, Peter Rothen zusammen mit dem BSI und TeleTrusT einluden. Mehr als 100 internationale Experten nutzten diese Gelegenheit für intensives Networking.

Im Hauptprogramm der Konferenz gab es darüber hinaus einen Beitrag von Ulrich Waldmann (Fraunhofer-SIT) "The New German eID Card: Concepts, Technologies and Opportunities", der breites Interesse fand.

Ebenfalls wurde die deutsche Präsenz auf der RSA-Konferenz durch ein Video in der Key Note von Scott Charney (Microsoft) aufgewertet. Es zeigte die Anwendung des nPA zur sicheren Identifizierung gegenüber der patientengeführten Patientenakte HealthVault von Microsoft.

Folgende Schwerpunkte prägten die Konferenz:

• Nach wie vor stand Security für Cloud Computing im Mittelpunkt der gesamten Konferenz. Die Tendenz hinter dem Synonym Cloud Computing innovative Herausforderungen und große Märkte vorher zu sagen, war äußerst massiv. Parallel dazu wurde der Strukturwandel der US-IT-Sicherheitsbranche deutlicher als in den Vorjahren sichtbar. Inhaltlich geht es um den Schutz der Informationen, die Identifikation von Nutzern und Institutionen und um vertrauenswürdige Infrastrukturen. Ein wesentliches Instrument für die Isolation von Cloud Anwendungen ist die Virtualisierung. Konsequenz ist deshalb beispielsweise die zukünftig enge Kooperation zwischen EMC²/RSA und VMware. Den Marktzugang finden die IT-Sicherheitsanbieter zunehmend über komplexe Serviceangebote und Managementtools. Ein Beispiel dafür ist die von Art Coviello in seiner Keynote vorgestellte "RSA Cloud Trust Authority". Es handelt sich dabei um ein Servicepaket zur Bereitstellung von Transparenz, Kontrolle und Sicherheit für Cloud Computing und Virtuelle Umgebungen. Die 'RSA Cloud Trust Authority' von RSA und VMware soll durch weitere Partner, wie Cisco, Intel und Citrix, ausgebaut werden.
  Ebenfalls wurde am Rande der RSA Konferenz eine technologische Zusammenarbeit zwischen McAfee und RSA zur Bereitstellung interoperabler Lösungen für ein wirksameres Risikomanagement, verbesserte Sicherheit und proaktive Sicherheitsarchitekturen gegen dynamische Angriffe auf die IT-Sicherheit.
• Die Themen Cyber Security und Cyber War wurden ausführlich in Keynotes von Spitzenvertretern des Deputy Secretary of Defense (William J Lynn III) und des U.S. Cyber Command and National Security Agency (General Keith B. Alexander) behandelt. Im Mittelpunkt standen die Anpassung der Strategien an Vorgaben der Obama-Ära und die notwendige Vertiefung der Kooperation mit der Wirtschaft und der Wissenschaft. Die derzeitigen Positionen der USA lassen sich wie folgt zusammenfassen:
  - Unter militärischen Gesichtspunkten ist "Cyber" ein strategisches Operationsgebiet wie Luft, Land und See.
  - Die IT-Netze müssen mit Instrumenten der aktiven Verteidigung ausgerüstet werden um dynamischen Angriffen stand zu halten.
  - Parallel muss das Department of Defense den Schutz kritischer Infrastrukturen sicherstellen. Das schließt   Verwaltungs- und Finanzsysteme ebenso wie z.B. die Energieversorgung ein.
  - Eine Allianz aller Kompetenzträger für eine gemeinsame Cyber-Verteidigung muss aufgebaut werden. Die Alleingänge der Verwaltungen müssen beendet werden.

Im Verlauf der RSA 2011 wurden wiederum die traditionellen Ehrenpreise verliehen.

• Im Bereich der (Krypto-) Mathematik ging die Auszeichnung an Charles W. Rackoff (Universität Toronto) für seine Beiträge zu "interactive proofs" and "zero-knowledge proofs".
• Als hervorragender IT-Sicherheitspraktiker wurde C. Ryan Brewer, Chief Information Security Officer and Director, Office of the CISO Centers for Medicare & Medicaid Services (CMS), für die Gestaltung des Informationsicherheitsprogramm für das CMS ausgezeichnet.
• Im Bereich der öffentlichen Politik wurde William J. Lynn III, Deputy Secretary of Defense geehrt.
• Zum fünften Mal wurde (nach Jim Bizdos, Thomas E. Noonan, Dr. Taher Elgamal und Whitfield Diffie) eine 'Lebensleistung' gewürdigt: Die Auszeichnung ging an die drei 'Entdecker' der asymmetrischen Kryptographie Ronald Rivest, Adi Shamir und Leonard Adleman.

Der inhaltliche Tenor der Key Notes lag fast durchgängig bei Cloud Computing Security. Neben Anwendungsvisionen wurden die inhaltlichen Aspekte wie Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS) sowie die Virtualisierung von Betriebsumgebungen differenziert interpretiert. Insbesondere bei Infrastrukturdiensten werden die Bemühungen um neue Geschäftsfelder und tragfähige Businesskonzepte verstärkt deutlich. Das Vertrauen der Anwender in Marktangebote wurde wiederholt eingefordert. Da bei den Cloud Computing-Anwendungen im Allgemeinen mehrere Diensteanbieter beteiligt sind, ist allerdings ein überzeugendes Konzept für ein wirtschaftlich und rechtlich 'standfestes' Risikomanagement noch nicht erkennbar. Ähnlich sieht es für den ebenfalls betonten Schutz der Privatsphäre bei Cloud Computing aus.

Traditionell ist die Hälfte der Konferenzzeit Keynotes und Panels in General-Sessions vorbehalten, in den verbleibenden Zeitfenstern liefen 16 parallele Tracks, deren mehr als 200 Vorträge oder Panels die aktuelle Bandbreite von IT-Security-Forschung, -Produkten, -Lösungen und –Dienstleistungen sowie von Angriffen und Abwehrmaßnahmen behandelten. Dort versammelten sich die jeweiligen Spezialisten und profitierten von einem großzügigen Zeitraster von 50 bzw. 70 Min. pro Vortrag mit Diskussion. An vier Tagen konnte der normale Konferenzteilnehmer so allerdings maximal 12 Beiträge des riesigen Angebotes in Anspruch nehmen.

Das traditionelle Cryptopanel war wiederum mit Withfield Diffie, Martin Hellman, Ronald Rivest, Adi Shamir und Dicki George (NSA) prominent besetzt. Es wurde von Ari Juels, dem Entwicklungschef von EMC-RSA-Security moderiert.

Spannend war erneut die intensive Diskussion zwischen den Wissenschaftlern und dem Vertreter der NSA. Während die Wissenschaftler monierten, dass die NSA-Experten auf aktuelle Ergebnisse, z.B. der Kryptoanalyse, zu zögerlich reagierten und eigene Ergebnisse zu Schwachstellen in asymmetrischen Kryptosystemen geheim hielten, wies George darauf hin, dass nach wie vor die mangelnde Qualität bei der Implementierung von Kryptomechanismen Hauptquelle für Sicherheitsschwachstellen ist.

Auf Grund der erfolgreichen Bilanz ist das Interesse bezüglich einer Teilnahme an der nächsten RSA groß. TeleTrusT wird die langjährige Tradition fortsetzen und auch 2012 die Gemeinschaftsausstellung organisieren.