Vom 10. bis zum 15. Mai diesen Jahres fand der, durch das Bundesamt für Sicherheit in der Informationstechnik veranstaltete, Deutsche IT-Sicherheitskongress zum 12. mal in Bonn statt. Der diesjährige Slogan lautete „Sicher in die digitale Welt von morgen“, als Hauptthemen waren Cloud-Computing und der neue elektronische Personalausweis annonciert. Ich habe dem Kongress am 10. sowie am 11. Mai beigewohnt und möchte meinen Eindruck von diesen beiden Tagen kurz schildern. Erstmal ist es ratsam alles über sonstige IT-Sicherheitstagungen oder ähnliche Veranstaltungen zu vergessen, der deutsche IT-Sicherheitskongress (DISK) hat sehr wenig mit Konferenzen zu tun die ein ähnliches Thema aufgreifen. Der DISK grenzt sich sicher am meisten von anderen Veranstalltungen, wie dem Chaos Communication Congress, der SigINT oder auch der FrosCon, durch seine Zielgruppe ab. Mich hat ein mittelschwerer Schock getroffen, als ich sah, dass die nicht-Schlipsträger in der Audienz nur einen kleinen einstelligen Prozentwert ausmachten. Auch die Keynotes (von denen es am ersten Tag gleich vier hintereinander gab) erinnerten an politische Reden vor dem Parlament, aber nicht an überzeugende und richtungweisende Ansprachen mit sachlicher Tiefe, eigentlich wurde die gleiche Thematik viermal wiederholt. Es kann schon sehr einschläfernd sein, wenn von den Vortragenden in Sachen Datenschutzlecks immer wieder hintereinander die selben Beispiele und Vorsätze offeriert werden. Aber auch über die sonstigen Beiträge waren nicht sehr fesselnd, wenn auch schlagkräftig durch häufige Verwendung von kräftigen aber hohlen Phrasen. Am informativsten waren sicherlich die Vorstellungen von Projekten, welche durch das BSI in Auftrag gegeben wurden (.z.B. Anti-Botnetz-Beratungszentrum und Projekt Janus). Die Beiträge mit dem höchsten (Technik-)Niveau waren sicherlich die sechs studentischen Beiträge, einer dieser Beiträge wird mit dem sog. „Best Student Award“ belohnt, wobei sich auch da eine Farce anbahnt: Von fünf Studentischen Beiträgen die ich besuchte, stellte sich heraus, dass lediglich zwei Referenten noch Studenten sind. Der Rest hat lediglich seine Diplomarbeiten vorgestellt und hofft wohl auf den „Best Student Award“, obwohl Sie (zum Teil schon sehr lange) in Lohn und Brot bei einem Unternehmen stehen. Als besonderen studentischen Beitrag möchte ich explizit das Projekt RIPS nennen, aus meiner Sicht den „Best Student Award“ wert. Der zweite Tag begann mit einem Vortag über Cloud-Computing vom Microsoft-Deutschland Geschäftsführer Ralph Haupter, wie gewohnt reich an Buzz-Words „coolen“ englischen Begriffen und Totschläger wie „Security“,“Privacy“ und “Accessibility“. Anschließend folgte eine Podiumsdiskussion, wo der Datenschutzbeauftrage des Landes Schleswig-Holstein Dr. Weichert, Herrn Haupter tüchtig Paroli bot, indem er schwächen im Cloud-Computing-Konzept aufzeigte und eine Verwendung in Behörden die mit Bürgerdaten hantieren strikt ablehnte. Moderiert wurde die Diskussion von Dr. Müller-Schmid von Dradio-Wissen; die beiden anderen Teilnehmer (Chef des BSI und ein Vertreter eines Interessenverbandes) hätten der Diskussion mangels Informationsgehalt des Gesagten auch fernbleiben können. Da man bei einen Kongress mit lediglich zwei Vortragssälen und einem Programm das 16:30 endet nicht die gewünschte Themenauswahl hat scheint klar zu sein, aber das es beim Ausfall eines Referenten keinen Ersatz gibt oder improvisiert wird ist eher Traurig (besonders bei einem Eintrittsgeld von 320-600 Euro). So geschehen bei Herr Mishra (Probleme bei der Einreise nach Deutschland), welcher den “protected Mode” im neuen Adobe-Reader vorstellen wollte. Den Vogel im Themenbereich „elektronischer Personalausweis“(ePA) hat sicherlich Frau Dr. Bräunlich abgeschossen. Sie referierte über die Möglichkeit den ePA bei elektronischen Wahlen einzusetzen, sie scheint sich wohl nicht ausgiebig mit Für und Wieder dieses Themas auseinandergesetzt zu haben, da sicher alle schon formulierten Argumente gegen Wahlcomputer auch bei ihrem „Forschungsprojekt“ zutreffen. Dementsprechend gab es auch Anmerkungen von der nicht-schlipstragenden Fraktion des Auditoriums. Der Höhepunkt (auch so im Programm vermerkt) des DISK sollte eine „Live-Hacking“ Vorführung von zwei BSI-Mitarbeitern sein. Was allerdings wirklich geschah, war lediglich eine Vorführung von zwei bekannten und älteren Sicherheitslücken, die mithilfe von Exploits des Metasploit-Projektes vorgeführt wurden. Durch Ausnutzung dieser beiden Lücken war jeweils ein Remote-Zugriff auf das Opfer möglich, sodass das Ziel, die Schlipsträger zum „OH“ rufen zu bewegen, erfüllt war.
Genug der kritischen Worte! Auch wenn dies sicherlich mein letzter Besuch des ca. zweijährig stattfindenden Kongresses war, so hat man dort durchaus die Möglichkeit interessante Menschen zu treffen und sich sachlich zu unterhalten, sei es nun mit einem Studenten, welcher eines der kontingentierten Studententickets erhalten hat (wie ich, Preis 50 Euro), dem Mitarbeiter einer Bundesbehörde wie der Bundesnetzagentur oder sogar Mitarbeitern aus dem Stab des Bundesdatenschutzbeauftragten. Lobenswert ist auch ein professionell gestalteter Tagungsband in dem alle gehaltenen Vorträge enthalten sind und welcher im Preis mit inbegriffen ist.