Vorträge – IT-DEFENSE 2025
20 Jahre SAP-Cybersicherheit – Andreas Wiegenstein & Xu Jia
Wenn sie ein gewisses Alter erreichen, veröffentlichen die meisten Musikbands eine Art "Best Of"-Album. Nun, wir sind zwar keine Musikband, aber wir haben zumindest ein gewisses Alter erreicht. Dieser Vortrag ist eine Achterbahnfahrt durch verschiedene Arten von Sicherheitslücken im SAP-Universum, auf die wir in den letzten 20 Jahren gestoßen sind. Diese Sicherheitslücken stehen in engem Zusammenhang mit verschiedenen SAP-Technologien und deren Design sowie den damit verbundenen Fallstricken. Alle, die glauben, dass SAP "nur eine Datenbank" ist, könnten "SAPrised" werden.
Der Vortrag findet in deutscher Sprache statt.
Glauben Sie nicht alles was Sie denken: Über Denkfehler und andere Verwirrungen unseres Gehirns - Prof. Dr. Martin Korte
Der Vortrag beleuchtet Denkmechanismen und deren Verzerrungen (bias) und wie diese unsere Entscheidungen beeinflussen – manchmal auch verzerren – können. Gerade im Zusammenhang mit Personalentscheidungen – von der Einstellung über die Beurteilung und Beförderung von Personen – sind wir gehalten, unsere Entscheidungen an möglichst objektiven Kriterien im Sinne einer Bestenauswahl zu treffen. Daher lohnt es sich hier besonders, sich mit den bewussten und unbewussten Denkprozessen auseinanderzusetzen, die diesem Anspruch zuwiderlaufen könnten.
Prof. Dr. Martin Korte wird in dem Vortrag Einblicke in Erkenntnisse der Neurobiologie geben und erläutern, wie wir mit diesem Wissen unsere Entscheidungen in Beruf- und Privatleben verbessern können, wie unser Gehirn arbeitet und welche evolutiven Unfälle unser Denken beeinflussen.
Der Vortrag findet in deutscher Sprache statt.
Hackers Perspective on New Risks - Revising the Cybersecurity Priorities for 2025 - Paula Januszkiewicz
Die Transformation nimmt an Fahrt auf! In den turbulenten letzten Jahren haben die Investitionen in die digitale Transformation zugenommen. Unternehmen auf der ganzen Welt möchten davon profitieren und führen neue Technologien und Ansätze ein, die auch zu einem sozialen Wandel führen. Immer mehr Daten werden online zugänglich gemacht – Cybersicherheit ist deshalb ein Thema, das alle angeht, nicht nur große Konzerne, sondern auch Regierungen und Firmen aller Größen. Doch die Transformation hat auch ihre Schattenseiten. So können Hacker heutzutage Schwachstellen in der Infrastruktur präziser ausnutzen als je zuvor.
Da die Vernachlässigung der Cybersicherheit beträchtliche finanzielle, betriebliche und rechtliche Folgen haben sowie den Ruf beeinträchtigen kann, müssen bekannte Analyse- und Schutzmaßnahmen weiterentwickelt und ergänzt werden.
In diesem Vortrag werden die größten Risiken im Jahr 2025 vorgestellt und erläutert. Paula Januszkiewicz zeigt, wie Hacker und Cyberkriminelle mithilfe neuster Techniken Bedrohungen identifizieren und ausnutzen, sodass Sie sie zukünftig in Ihrer Monitoring-Lösung aufspüren und abwehren können. Darüber hinaus präsentiert Paula die fortschrittlichsten Phishingangriffe, neueste Methoden zum Diebstahl von Anmeldedaten und zur Verteilung von Ransomware sowie Möglichkeiten, um Zugriff auf Systeme zu erlangen, die unter der Hoheit von Herstellern stehen.
Nehmen Sie an diesem Vortrag von Paula teil, um zu erfahren, was 2025 alles möglich ist. Der digitale Wandel lässt Hackangriffe immer effizienter werden – wir dürfen also keine Zeit verlieren!
Der Vortrag findet in englischer Sprache statt.
Vulnerablities in TETRA:BURST - Jos Wetzels
In diesem Vortrag werden Einzelheiten zu den TETRA:BURST-Schwachstellen (https://www.tetraburst.com/) vorgestellt - die Ergebnisse der ersten öffentlichen detaillierten Sicherheitsanalyse von TETRA (Terrestrial Trunked Radio), einem europäischen Standard für Bündelfunk, der weltweit von Regierungsbehörden, Polizei, Militär und kritischen Infrastrukturen genutzt wird. TETRA basiert auf geheimen kryptografischen Algorithmen, die über zwei Jahrzehnte lang geheim blieben, bis sie von uns per Reverse Engineering ermittelt und im August 2023 veröffentlicht wurden.
Aufgrund dieser Geheimhaltung war es zuvor nicht möglich gewesen, den von TETRA angeblich gebotene Schutz öffentlichen Sicherheitsüberprüfungen und unabhängigen wissenschaftlichen Untersuchungen zu unterziehen. In diesem Vortrag werden wir über diese Cipher Suites (TEA und TAA1) sprechen. Wir zeigen, dass die sogenannte „Security through Obscurity“ zu bis dato unentdeckten Sicherheitslücken in der Air Interface Encryption (AIE), in der Authentifizierung und im Identitätsschutz geführt hat, sodass passive und aktive Angreifer TETRA-Netzverkehr abfangen, manipulieren und einschleusen konnten.
Besonders besorgniserregend ist dies für TETRA-Nutzer in kritischen Infrastrukturen weltweit, etwa für Energieversorger, im Bahnverkehr sowie in der Öl- und Gasindustrie. In diesen Bereichen decken die funkbasierten SCADA-WAN-Netzwerke (die Protokolle wie IEC-101/104, DNP3 oder Modbus übertragen) üblicherweise große geografische Gebiete ab. Somit kann ein Angreifer, der sich außerhalb der physischen Begrenzung eines Umspannwerks oder einer Anlage befindet, mithilfe eines SDR in das TETRA-Netzwerk eindringen und sich direkt im OT-Netzwerk platzieren. Im Vortrag behandeln wir einige relevante Angriffsszenarien auf solche TETRA-SCADA-Netzwerke, wie sie von Energieversorgern und im Bahnverkehr zum Einsatz kommen, und geben Empfehlungen zur Härtung und zur Verringerung des Risikos.
Zudem werden wir ein Angriffsszenario präsentieren und die neuen Entwicklungen der TETRA-Sicherheit seit unserer ersten Veröffentlichung diskutieren.
Der Vortrag findet in englischer Sprache statt.
NIS-2, RCE und CRA - auf Tour durch den Regulierungs-Dschungel - Dr. Christoph Wegener
Im Laufe der letzten zwei Jahre haben eine Vielzahl von regulatorischen Vorgaben auf europäischer Ebene das Licht der Welt erblickt. Im Kontext der Informationssicherheit sind dabei aktuell insbesondere die "Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2)", die "Richtlinie über die Resilienz kritischer Einrichtungen (RCE)" und die "Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (CRA)" relevant.
Aufgrund der typischen Komplexität dieser (EU-)Vorgaben scheitert oft schon die Betroffenheitsanalyse, häufig sind auch die genauen Anforderungen und Umsetzungsfristen nicht bekannt. Dieser Vortrag bringt Licht ins Dunkel und beantwortet die Fragen, die sich die potenziell betroffenen Einrichtungen typischerweise stellen: "Sind wir als Einrichtung betroffen?", "Welche Anforderungen müssen wir nun umsetzen?" und "Wie viel Zeit bleibt uns dafür?". Ergänzend zeigt der Vortrag auf, ob und ggf. welche Umsetzungshilfen es gibt und wie der Weg zum Ziel Schritt für Schritt sinnvoll gestaltet werden kann.
Der Vortrag findet in deutscher Sprache statt.
Wie hoch ist unser Cyber-Risiko? – Peter Wimmer & Stefan Koppold
Sicherheitsexperten ist diese Frage des Vorstands nur zu vertraut, und als TRATON, die Lastwagen-Sparte des Volkswagen-Konzerns, einer neuen Konzern-Cyber-Risikoversicherung beitreten wollte, galt es, eine präzise Berechnung des gesamten Cyber-Risikos für die TRATON-Gruppe zu erstellen.
Hierfür haben die Risk-, Treasury- und Information-Security-Abteilungen von TRATON einen interdisziplinären Ansatz für eine aggregierte monetäre Risikoanalyse entwickelt. Die Bewertung des Gesamtrisikos - nicht nur der spezifischen Risiken einer einzelnen Marke – soll dabei folgendes berücksichtigen:
- es sind Bandbreiten von Risiken zu bewerten, also nicht nur singuläre Szenarien, sondern auch durchschnittliche und extreme Fälle (diejenigen, die in den Nachrichten landen)
- zudem gilt es, Abhängigkeiten mit Geschäftsbereichen (z.B. Produktion, Logistik, Recht und IT) zu berücksichtigen
Es ließen sich etwa 20 relevante Cyber-Risikoszenarien in den Bereichen Cyberangriff, Datensicherheit, Business Continuity und (als Unternehmen im Automotive-Bereich) Road Security identifizieren, die in 55 Fällen für jede Hauptmarke analysiert wurden.
Diese Szenarien wurden anschließend mit Hilfe von Monte-Carlo-Simulationen und Verteilungsfunktionen hinsichtlich ihrer Auswirkung auf den Gesamtkonzern analysiert.
Letztendlich wurde eine überprüfbare Quantifizierung des gesamten Cyber-Risikos des Konzerns und eine realistische Dimensionierung für den Selbstbehalt und die Deckungssumme erarbeitet. Die Vorgehensweise wird in diesem Vortrag vorgestellt.
Der Vortrag findet in deutscher Sprache statt.
Vishing > Phishing: Initial Access, aber einfach – Hagen Molzer
Seit einiger Zeit zeichnet sich für die Initial-Access-Phase realer Angriffe auf Unternehmen eine Verlagerung des Vektors von Phishing zu Vishing (Voice-Phishing) ab. Auch wir, als professioneller Anbieter von Simulationen solcher Angriffe in Form von Red-Team-Exercises, passen uns an diesen Trend an. Lange Zeit war Phishing via E-Mail einer der beliebtesten Angriffsvektoren, um den initialen Zugriff auf das interne Netzwerk einer Organisation zu erhalten. Durch verschiedene technische und organisatorische Maßnahmen seitens unserer Kunden und die immer besser werdende Sensibilisierung der Mitarbeiter für die Gefahren von Phishing via E-Mail wird es immer schwieriger, hierüber erfolgreich zu sein.
Deshalb nutzen auch wir immer häufiger Vishing anstatt Phishing, um das Ziel zu erreichen. In diesem Talk werden die Vorteile dieses alternativen Vektors beschrieben und ein beispielhaftes (sowie oft erschreckend erfolgreiches) Vorgehen skizziert. Dabei gehen wir auch auf die Funktionsweise der eingesetzten technischen Infrastruktur sowie oft genutzter Social-Engineering-Techniken ein, mit denen wir für Vertrauen und Kooperationsbereitschaft bei unseren „Opfern“ sorgen.
Zuletzt beschreiben wir Gegenmaßnahmen, sowohl technischer als auch organisatorischer Natur, um das Risko für erfolgreiche Angriffe dieser Art zu reduzieren.
Der Vortrag findet in deutscher Sprache statt.
Wer das Netzwerk kontrolliert, kontrolliert das Universum – Nate Warfield
In diesem Forschungsvortrag werden die neusten Trends im Bereich Netzgerätehacking vorgestellt und neue Angriffsvektoren präsentiert, die in den letzten Jahren aufgekommen sind. Wir untersuchen verschiedene Angriffe, von der Firmwaremanipulation bis hin zu Advanced Persistent Threats (APTs), die es auf Router, Switches und andere kritische Komponenten der Netzwerkinfrastruktur abgesehen haben.
Diese umfassende Analyse basiert auf realen Studien und intensiver Forschung und vermittelt den Teilnehmern ein detailliertes Bild des aktuellen Bedrohungsumfelds. Die Schlüsselthemen umfassen die Ausnutzung von Zero-Day-Schwachstellen, den Einsatz von KI für Living-off-the-Land-Techniken sowie die Herausforderungen von Unternehmen durch fehlende Sichtbarkeit und fehlende Sicherheitstools auf Geräteebene.
Am Ende des Vortrags wissen die Teilnehmer, wie sie ihre Netzwerkumgebungen vor diesen modernen Hackingtechniken schützen können. Besonders relevant ist dieser Vortrag für Netzwerkadministratoren, Cybersicherheitsfachleute und Forscher, die in der sich ständig verändernden Welt der Netzwerksicherheit einen Schritt voraus sein wollen.
Der Vortrag findet in englischer Sprache statt.
Cybersecurity’s New Imperative: Defending Enterprise and National Cognitive Infrastructures - Winn Schwartau
Vor langer Zeit, am 27. Juni 1991, sagte Winn vor dem US-Kongress aus und wurde gefragt: „Herr Schwartau, warum sollten die bösen Jungs jemals das Internet nutzen?“
Heute wird unsere kognitive Infrastruktur angegriffen und die Menschheit braucht mehr denn je Fachleute in der Cybersicherheit. Die Realität ist nur einen Klick entfernt.
Metakrieg ist die Kunst und Wissenschaft der Manipulation der eigenen Realität. Es ist der Kampf um die Kontrolle über die eigenen Glaubenssysteme, die eigene Identität und die Wahrnehmung der Realität außerhalb des eigenen Bewusstseins. Vernunft und Gefühl sind inkompatible Betriebssysteme.
Durch Big Tech erfolgt ein digitales Terraforming der künftigen kognitiven Infrastruktur des Planeten, des Web 3.0, ohne Berücksichtigung der Schattenseiten. Das Metaverse ist eine sich ständige weiterentwickelnde Umgebung voller eindringlicher Erzählungen, konzipiert als die mächtigste und fesselndste Realitätsverzerrungsmaschine aller Zeiten. Zudem wird es jeden Ihrer Wünsche und jede Ihrer Bewegungen vorhersagen und voraussehen!
Auf globaler Ebene stellt der Metakrieg die sechste Domäne der Kriegsführung dar. Wer die Technologie kontrolliert, kontrolliert die Geschichte. Wir haben keine andere Wahl, als zu lernen, wie wir mit den realitätsverzerrenden Technologien, die wir geschaffen haben, koexistieren können, indem wir technische, politische und kognitive Schutzmaßnahmen ergreifen, um unseren Sinn für Wahrheit, Realität und Selbstidentität zu schützen.
Winns Keynote ist ein Aufruf zum Handeln.
Die Cybersicherheitscommunity gehört zu den besten Problemlösern, die die Welt je gesehen hat. Sie agiert als Team, als Kollektiv von Gleichgesinnten mit einer erstaunlichen Bandbreite an Fähigkeiten, die vor nichts zurückschrecken, um ihre Ziele zu erreichen - allen Widrigkeiten zum Trotz. Winn fordert uns mit einem neuen Ziel heraus: das menschliche mentale Immunsystem zu stärken und zu verteidigen. Unsere Gehirne, sensorischen Nervensysteme und Gedanken sind die neuen Angriffsflächen. Wird sich die Cybersicherheitscommunity der Herausforderung stellen, die existenziellste Bedrohung zu bewältigen, der sie je ausgesetzt war? Oder tut sie es nicht?
Um zu überleben, muss sich die Menschheit an die Technologie anpassen und koexistieren.
Der Vortrag findet in englischer Sprache statt.
The Imposter’s Guide to Hacking… Without Technical Talent! – Jayson E. Street
Hören Sie sich diesen Vortrag von Jayson an, zeitlebens ein Hochstapler, der Menschen seit Jahrzehnten zum Narren hält. Sehen Sie sich einige seiner Tricks an, die ohne Talent und technisches Wissen auskommen und nur eine Kreditkarte und etwas Vorstellungskraft erfordern. Erfahren Sie, wie sich Alltagsgegenstände und Spielzeug fast ohne jegliche Modifikation in Angriffswerkzeuge umfunktionieren lassen. Staunen Sie, mit welcher Kühnheit sich dieser Referent das Recht nimmt, sich einen Hacker zu nennen. Hören Sie sich die Schimpftiraden dieses „Pick me Guy“ an, mit denen er seine Tugendhaftigkeit in Themenbereichen beweisen will, in denen er doch nur als verlässlicher Verbündeter gesehen werden kann. Versuchen Sie, bis zum Ende durchzuhalten, wenn er sein Urteil fällt und scharfe Kritik an einer Gemeinschaft übt, die so viele von uns mit unsinnigen Standards und voreingenommenen Erwartungen enttäuscht, die nur dazu dienen, die „Wächter“ zu beruhigen, deren Unsicherheit nur zu noch mehr Gift in UNSERER Gemeinschaft führt. Ach, und es wird wahrscheinlich auch ein paar Memes geben, das hilft sicherlich.
Der Vortrag findet in englischer Sprache statt.
Windows Hello abuse - the sequel - Dirk-jan Mollema
Windows Hello und die Enterprise-Variante Windows Hello for Business (WHFB) sind moderne, passwortlose Authentifizierungsmethoden, die von Microsoft als sicher, hardwaregebunden und resistent gegen Phishingangriffe angepriesen werden. Letztes Jahr haben wir bereits gesehen, dass viele dieser Sicherheitsfunktionen ihren Anforderungen nicht wirklich gerecht werden: WHFB‑Methoden konnten ohne MFA bereitgestellt und zum Lateral Movement auf andere Accounts genutzt werden und sie ermöglichten es, von Entra ID über Cloud Kerberos Trust zum On-Premises AD zu gelangen. In diesem Vortrag werden weitere Möglichkeiten zur Ausnutzung von WHFB vorgestellt und es wird gezeigt, wie WHFB‑Schlüssel in Phishingszenarien, einschließlich Device Code Phishing und Credential Phishing, bereitgestellt werden können. Zudem werden wir darauf eingehen, wie die Windows-Hello-Schlüssel geschützt sind, wie sie auf Windows-Geräten eingesetzt werden und wie Angreifer sie zum Lateral Movement und zur Persistenz nutzen können, nachdem sie Zugriff auf eine Benutzersitzung erlangt haben. Schließlich werden wir untersuchen, was das für Sie bedeutet und wie Sie sich am besten vor derartigen Angriffen schützen können.
Der Vortrag findet in englischer Sprache statt.
Your Copilot is My Insider – Inbar Raz
Der Wettlauf um die Vorteile generativer KI ist bereits in vollem Gange und jeder stürzt sich darauf, Unternehmensdaten und -abläufe in die Hände von KI zu legen. Mit Copilot ist ein Konzept entstanden, um KI zu zähmen und unter Kontrolle zu halten. Doch während Mitarbeiter selten Grenzen überschreiten zu einer Gefahr werden, hat sich gezeigt, dass Microsoft Copilot by Design gefährlich ist.
In diesem Vortrag werden wir aufzeigen, wie Ihre Copilot-Studio-Bots ganz einfach genutzt werden können, um bestehende Sicherheitslösungen wie DLP zu umgehen und sensible Unternehmensdaten auszuschleusen. Die Kombination aus unsicheren Standardeinstellungen, Plugins mit zu großzügigen Berechtigungen und Wunschdenken beim Design macht einen Datenabfluss nicht nur möglich, sondern sogar wahrscheinlich. Wir analysieren, wie Unternehmensdaten und -abläufe durch Copilot Studio in die Hände generativer KI gegeben werden, und zeigen, wie dies die Angriffsfläche zum Einschleusen von Prompts vergrößert, was wiederum zu einer erheblichen Beeinträchtigung der Integrität und Vertraulichkeit führt. Es ist so, als hätte man einen Innentäter bei seinem Konkurrenten eingeschleust.
Zudem stellen wir CopilotHunter vor, ein Open-Source-Reconnaisance- und -Ausnutzungstool, das einen Scan auf öffentlich verfügbare Copilots durchführt und diese mithilfe von Fuzzing und generativer KI ausnutzt, um sensible Unternehmensdaten auszuschleusen. Wir präsentieren die Ergebnisse unserer Angriffe auf tausende erreichbare Bots, durch die wir an sensible Daten und Zugangsdaten von Unternehmen gelangt sind.
Schließlich bieten wir Hilfestellung, indem wir darlegen, welche konkreten Konfigurationen und Fehler man auf der Plattform von Microsoft vermeiden sollte, und erläutern, wie man einen sicheren und zuverlässigen Copilot baut.
Der Vortrag findet in englischer Sprache statt.