RSA Conference 2014

24.02. - 28.02.2014, San Francisco, USA

TeleTrusT präsentierte "IT Security made in Germany"

Die IT-Sicherheitsmesse/Konferenz "RSA" in San Francisco fand zum 23. Mal statt. Die RSA-Konferenz ist nach wie vor die weltweit führende Messe bzw. Konferenz für IT-Sicherheit mit internationaler Beteiligung. 

Pressemeldung vom 03.03.2014

Eindrücke

Die weltgrößte IT-Sicherheitskonferenz fand auch 2014 wieder im Moscone Center in San Francisco statt. Die RSA ist nach wie vor die weltweite Leitmesse für IT-Sicherheit mit internationaler Beteiligung und weiter gewachsen: mit etwa 27.500 Besuchern und rund 400 Ausstellern hat diese Veranstaltung die Grenzen der Kapazitäten des Moscone Centers North und South überschritten. Mitgenutzt wird nun auch das Moscone Center West. Dadurch standen in "North" und "South" zwei Messehallen zur Verfügung. Die insgesamt 78 Sponsoren wurden in "North" platziert, die übrigen 322 Aussteller verblieben in "South". Diese räumliche Teilung der Messeflächen hat keinen erkennbaren Einfluss auf die Besucherfrequenz an den einzelnen Ständen bewirkt.

Für die Präsentation von "IT Security made in Germany" - zum 14. Mal in ununterbrochener Folge - standen für die vom Bundesministerium für Wirtschaft und Technologie (BMWi) und vom Ausstellungs- und Messe-Ausschuss der deutschen Wirtschaft e.V. (AUMA) geförderten sowie von der NürnbergMesse und TeleTrusT organisierten Gemeinschaftsausstellung 140 m² zur Verfügung. Der deutsche Pavillon beeindruckte mit hervorragendem Design und der qualitativ hochwertigen Ausführung im Gesamterscheinungsbild der Messe und bot den 15 ausstellenden Unternehmen - atsec, Auconet, brainloop, Bundesdruckerei, CenterTools, Corisecio, Cryptovision, eco, Infineon, itWatch, Link11, QGroup, Rohde & Schwarz, Sirrix sowie TÜViT - beste Präsentations- und Verhandlungsbedingungen. Die Anziehungskraft für Fachbesucher hat sich gegenüber den Vorjahren deutlich erhöht.

Dreizehn deutsche Unternehmen vermittelten in einem Informationszentrum ein überzeugendes Bild von der Kompetenz und Wettbewerbsfähigkeit der deutschen IT-Sicherheitsbranche. Zwei Unternehmen (Auconet und Link11) nutzten eine größere Ausstellungsfläche.

Vorteilhaft war wiederum der Goldsponsor-Status für "IT Security made in Germany". Alle Besucher und insbesondere die Konferenzteilnehmer wurden zu vielen Gelegenheiten (Key Note Session, Konferenzbroschüre, Übersicht über das deutsche Angebot in den Konferenztaschen aller Teilnehmer) auf die deutsche Beteiligung aufmerksam. Einen hohen Stellenwert besitzt ferner das wiederum von TeleTrusT mit den am Gemeinschaftsauftritt Beteiligten gestaltete Rahmenprogramm.

Traditionsgemäß fördert TeleTrusT am Rande der RSA den wissenschaftlich-technischen Dialog zwischen deutschen und internationalen Fachkollegen. In diesem Jahr fand am Vortag der Konferenz eine hochrangig besetzte Panel-Diskussion zu "Surveillance, Cybercrime & Cyber Espionage - The Misuse of Internet Vulnerabilities against Cybersecurity" bei Symantec in Mountain View statt. Das Thema war im Hinblick auf die mutmaßlichen NSA-Aktivitäten gewählt worden. Die von ca. 90 Teilnehmern besuchte Panel-Veranstaltung wurde gemeinsam von TeleTrusT und der GABA (German American Business Association) vorbereitet und großzügig von Symantec unterstützt.

Die Panelisten

  • Howard Schmidt, Former Special Assistant to the President, Cyber Security Coordinator at Executive Office of the President, White House
  • Norbert Pohlmann, Chairman TeleTrusT - IT Security Association Germany
  • Joerg Borchert, Vice President Infineon Technologies
  • Kurt Roemer, Chief Security Strategist Citrix Systems
  • Cheri McGuire, Vice President, Global Government Affairs and Cybersecurity Policy, Symantec

behandelten unter der Moderation von Jarad Carleton, Principal Consultant Information & Communication Technologies (ICT) Frost & Sullivan, das komplexe Thema in spannender Weise. Deutlich wurden die unterschiedlichen Positionen der Panelisten zu den Auswirkungen der NSA-Aktivitäten auf die Märkte der IT-Sicherheitsanbieter und den Schutz der Privatsphäre (Datenschutz). Einigkeit bestand darin, dass das Vertrauen der Nutzer nachhaltig beschädigt ist. Die US-Vertreter machten deutlich, dass die Umsetzung der europäischen Konzepte zum Datenschutz und zu vertrauenswürdigen Diensten für Identifikation und Signaturen positive Wirkung auf die Gestaltung von Lösungen für den globalen Markt haben könnte. Die gleichen Kreise bewerteten europäische und deutsche Vorschläge zu regionalen Netz- und Infrastrukturlösungen als kritisch und hemmend bezüglich technologischer und ökonomischer Entwicklungen. Die mehrfach von deutscher Seite eingeforderte gemeinsame Position für eine innovative Weiterentwicklung einer gemeinsamen Cyber-Security-Strategie unter Berücksichtigung des Umgangs der Geheimdienste mit Schwachstellen in Hard- und Software blieb leider ohne Resonanz der Gegenseite.

Im nachfolgenden, von Bernd Kowalski (BSI) moderierten Expertenmeeting "Fighting Cyber Attacks" gab es Beiträge von Symantec, Sirrix, Bundesdruckerei, Link11 und Brainloop. Know-how aus Deutschland wurde auch in einer Session im Programm der Konferenz geboten. Hier wurde ebenfalls ein innovatives Thema, "Mind over matter: The Pragmatic, Strong and Smart Approach to Security", angeboten. Ammar Alkassar (Sirrix) und Kim Nguyen (Bundesdruckerei) behandelten vor etwa 60 Interessierten neue Konzepte für "Exploit-Protection: Pro-Active Security" und "Authentication and Identity". Das zweite Thema findet insbesondere bei großen Internet-Providern Resonanz, da aus deren Sicht eine Zwei-Faktor-Authentisierung dringend geboten ist. Infolgedessen fand im deutschen Pavillon ein Meeting zwischen der FIDO-Alliance und TeleTrusT statt, das die Vorbereitung einer Kooperation auf diesem Gebiet zum Gegenstand hatte.

Seinem guten Ruf als Gelegenheit für intensives Networking ist der "Deutsche Abend" im Konsulat, zu dem der Generalkonsul, Peter Rothen, und TeleTrusT einluden, wieder gerecht geworden. Etwa 110 internationale Experten nutzten diese Möglichkeit.

Einen Höhepunkt des Abends bildete die Übergabe von Common Criteria-Sicherheitszertifikaten für global relevante Produkte von IBM und Microsoft sowie an die TeleTrusT-Mitglieder HOB und NXP durch das BSI (Bernd Kowalski). Die Evaluierungen belegen die hohe Kompetenz deutscher Sicherheitsexperten.

Traditionell ist die Hälfte der Konferenzzeit 16 Keynotes von Spitzenmanagern und Panels in General Sessions mit jeweils 4.000 - 6.000 Zuhörern vorbehalten. In den verbleibenden Zeitfenstern liefen 22 parallele Tracks, deren über 520 Vorträge oder Panels die aktuelle Bandbreite von IT Security-Forschung, -Produkten, -Lösungen und -Dienstleistungen sowie von Angriffen und Abwehrmaßnahmen behandelten. Dort versammelten sich die jeweiligen Spezialisten und profitierten von einem großzügigen Zeitraster von 20 bis 60 Min. pro Vortrag mit Diskussion. An vier Tagen konnte der Konferenzteilnehmer so allerdings maximal 12 Beiträge des - schon überdimensionierten Programms - in Anspruch nehmen.

Die NSA-Affäre wirft Schatten

Mit Spannung warteten viele Besucher darauf, wie die hier vertretenen US-Unternehmen auf die Enthüllungen von Edward Snowden öffentlich reagieren würden. Bereits die Keynotes der Eröffnungssession verdeutlichten: Rechtfertigungen und Verharmlosungen prägten ihre Inhalte.

So ging der Chairman von RSA, der Security Division von EMC, Art Coviello mit keinem Wort auf die vermutete Zusammenarbeit seines Hauses mit der NSA ein, sondern widmete sich der Idee einer weltweiten Koalition von Politik und Wirtschaft, mit der auch fiktive Vermutungen über intransparente Kooperationen gegenstandslos würden. Natürlich beklagte er auch die unsaubere Arbeit von NIST.

Scott Charney von Microsoft bestritt ausdrücklich jede Kooperation mit der NSA und stellte die unterschiedlichen Verantwortlichkeiten von Industrie und Regierungen in Bezug auf Sicherheit und Privacy heraus. Nawaf Bitar von Juniper dagegen argumentierte mit historisch erfolgreichen Beispielen gegen die offensichtliche Apathie gegen eine beharrliche Verharmlosung von Überwachung in der Digitalen Gesellschaft.

Auch das traditionelle Panel der international führenden Kryptografen befasste sich fast ausschließlich mit der Abschwächung von Argumenten, die die Gefahren der NSA-Aktivitäten benennen.

Die Vorschläge der Kommission, die kürzlich Präsident Obama Reformvorschläge für die Regulierung der Arbeit der US-Geheimdienste unterbreitete, spielten im Konferenzgeschehen ebenfalls eine prägnante Rolle. Richard Clarke - als exponierter Mitverfasser der Reformvorschläge - verteidigte diese gegen General Michael V. Hayden, der eine verstärkte Kontrolle und mehr Transparenz der Arbeit der NSA als Gefahr für die USA versteht.

Eine stark frequentierte Session mit ca. 600 Zuhörern gestaltete Bruce Schneier. Er erläuterte die bekannt gewordenen NSA-Tools und -Methoden. Sein Fazit dazu: Das Sammeln und die Analyse von Metadaten - im Sinne des Auftrags an die NSA - bewirkt, das strenggenommen alle Internetdienste und Anwendungen nicht mehr vertrauenswürdig sind. Als zusammenfassendes Fazit ergibt sich, dass das technologische Potential der NSA einen Überwachungsstaat ermöglichen würde, diese Gefahr aber nicht ernstlich in Betracht zunehmen ist. Seiner Meinung nach wäre nur ein neues Governance Konzept über die Geheimdienste in der Lage das Dilemma zu überwinden. Allerdings wäre ein globaler Ansatz notwendig – andere Dienste verfolgen die gleichen Ziele wie die NSA. Bis dahin bleibt Vertrauen eine subjektive Entscheidung der Anwender gegenüber den Anbietern und Regierungen.

Das Panel "The PRNG Debate" befasste sich intensiv mit den in der letzten Zeit berichteten schwerwiegenden Fehlern bei Design und Anwendung von Zufallszahlengeneratoren. Unter Moderation von Bart Preneel diskutierten Paul Kocher, Adi Shamir, Dan Boneh und Dan Shumow über Ursachen und Konsequenzen. Ein unzureichender NIST-Standard und seine Implementierung in BSAFE waren Anlass, um erneut über das Verhältnis von Standards zu flexibleren offenen Lösungen nachzudenken. Dass die NSA den unzureichenden Standard bewusst in ihrem Sinne beeinflusst hat, wird bezweifelt, aber die Tatsache des unzureichenden Ergebnisses ist bedenklich. Im PRNG-Fall bleibt eine Qualitätsbestimmung von Lösungen schwierig. Als ein Fundament von sicheren Kryptographieanwendungen muss der Zufallszahlengenerator unter besonderer Beobachtung der Expertengemeinde bleiben.

Ein Beitrag von Craig Spiezle zum "Economic Impact of PRISM on Cloud Services & Safe Harbor" verdeutlichte, wo für die US-Wirtschaft die Achillesferse der NSA-Affäre liegt. Das in Vorbereitung befindliche Freihandelsabkommen mit der EU besitzt hohen Stellenwert. Seine Gefährdung, die kritischen Diskussionen zu Safe Harbour und zum Swift-Abkommen im Zusammenhang mit den NSA-Fakten, sollten Ausgangspunkt für eine vertrauensbildende Reform der Dienste - im Sinne von Transparent und Rechtsrahmen sein.

Weitere Themen, die im Konferenzverlauf häufiger angesprochen wurden, waren die Herausforderung für die Sicherheit von Unternehmensinformationen durch mobile Geräte (BYOD), neue Bedrohungen für virtuelle Computer und Infrastrukturen, (globale) rechtliche Rahmenbedingungen für das Cloud Computing und neue IT-Anwendungsbereiche wie beispielsweise Embedded Systems und Smart Grids.

Im Verlauf der RSA 2014 wurden wiederum die traditionellen Ehrenpreise verliehen. Im Bereich der (Krypto-) Mathematik ging die Auszeichnung wieder an einen europäischen Grundlagenforscher: Professor Bart Preneel, Catholic University of Louvain.

Die nächste RSA-Konferenz wird vom 20. – 24.04.2015 wiederum in San Francisco stattfinden.

Standpartner

  • atsec
  • Auconet
  • brainloop
  • Bundesdruckerei
  • CenterTools
  • Corisecio
  • Cryptovision
  • eco
  • Infineon
  • itWatch
  • Link11
  • QGroup
  • Rohde&Schwarz
  • Sirrix
  • TÜViT

TeleTrusT-Programm auf der RSA 2014 (gemeinsam organisiert mit den TeleTrusT-Mitgliedern GABA, Symantec, Bundesdruckerei):

Bilder der Veranstaltung