20 Jahre SAP-Cybersicherheit – Andreas Wiegenstein & Xu Jia

Wenn sie ein gewisses Alter erreichen, veröffentlichen die meisten Musikbands eine Art "Best Of"-Album. Nun, wir sind zwar keine Musikband, aber wir haben zumindest ein gewisses Alter erreicht. Dieser Vortrag ist eine Achterbahnfahrt durch verschiedene Arten von Sicherheitslücken im SAP-Universum, auf die wir in den letzten 20 Jahren gestoßen sind. Diese Sicherheitslücken stehen in engem Zusammenhang mit verschiedenen SAP-Technologien und deren Design sowie den damit verbundenen Fallstricken. Alle, die glauben, dass SAP "nur eine Datenbank" ist, könnten "SAPrised" werden.

Der Vortrag findet in deutscher Sprache statt.

Glauben Sie nicht alles was Sie denken: Über Denkfehler und andere Verwirrungen unseres Gehirns - Prof. Dr. Martin Korte

Der Vortrag beleuchtet Denkmechanismen und deren Verzerrungen (bias) und wie diese unsere Entscheidungen beeinflussen – manchmal auch verzerren – können. Gerade im Zusammenhang mit Personalentscheidungen – von der Einstellung über die Beurteilung und Beförderung von Personen – sind wir gehalten, unsere Entscheidungen an möglichst objektiven Kriterien im Sinne einer Bestenauswahl zu treffen. Daher lohnt es sich hier besonders, sich mit den bewussten und unbewussten Denkprozessen auseinanderzusetzen, die diesem Anspruch zuwiderlaufen könnten.

Prof. Dr. Martin Korte wird in dem Vortrag Einblicke in Erkenntnisse der Neurobiologie geben und erläutern, wie wir mit diesem Wissen unsere Entscheidungen in Beruf- und Privatleben verbessern können, wie unser Gehirn arbeitet und welche evolutiven Unfälle unser Denken beeinflussen.

Der Vortrag findet in deutscher Sprache statt.

Hackers Perspective on New Risks - Revising the Cybersecurity Priorities for 2025 - Paula Januszkiewicz

Die Transformation nimmt an Fahrt auf! In den turbulenten letzten Jahren haben die Investitionen in die digitale Transformation zugenommen. Unternehmen auf der ganzen Welt möchten davon profitieren und führen neue Technologien und Ansätze ein, die auch zu einem sozialen Wandel führen. Immer mehr Daten werden online zugänglich gemacht – Cybersicherheit ist deshalb ein Thema, das alle angeht, nicht nur große Konzerne, sondern auch Regierungen und Firmen aller Größen. Doch die Transformation hat auch ihre Schattenseiten. So können Hacker heutzutage Schwachstellen in der Infrastruktur präziser ausnutzen als je zuvor.

Da die Vernachlässigung der Cybersicherheit beträchtliche finanzielle, betriebliche und rechtliche Folgen haben sowie den Ruf beeinträchtigen kann, müssen bekannte Analyse- und Schutzmaßnahmen weiterentwickelt und ergänzt werden.

In diesem Vortrag werden die größten Risiken im Jahr 2025 vorgestellt und erläutert. Paula Januszkiewicz zeigt, wie Hacker und Cyberkriminelle mithilfe neuster Techniken Bedrohungen identifizieren und ausnutzen, sodass Sie sie zukünftig in Ihrer Monitoring-Lösung aufspüren und abwehren können. Darüber hinaus präsentiert Paula die fortschrittlichsten Phishingangriffe, neueste Methoden zum Diebstahl von Anmeldedaten und zur Verteilung von Ransomware sowie Möglichkeiten, um Zugriff auf Systeme zu erlangen, die unter der Hoheit von Herstellern stehen.

Nehmen Sie an diesem Vortrag von Paula teil, um zu erfahren, was 2025 alles möglich ist. Der digitale Wandel lässt Hackangriffe immer effizienter werden – wir dürfen also keine Zeit verlieren!

Der Vortrag findet in englischer Sprache statt.

NIS-2, RCE und CRA - auf Tour durch den Regulierungs-Dschungel - Dr. Christoph Wegener

Im Laufe der letzten zwei Jahre haben eine Vielzahl von regulatorischen Vorgaben auf europäischer Ebene das Licht der Welt erblickt. Im Kontext der Informationssicherheit sind dabei aktuell insbesondere die "Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2)", die "Richtlinie über die Resilienz kritischer Einrichtungen (RCE)" und die "Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (CRA)" relevant.

Aufgrund der typischen Komplexität dieser (EU-)Vorgaben scheitert oft schon die Betroffenheitsanalyse, häufig sind auch die genauen Anforderungen und Umsetzungsfristen nicht bekannt. Dieser Vortrag bringt Licht ins Dunkel und beantwortet die Fragen, die sich die potenziell betroffenen Einrichtungen typischerweise stellen: "Sind wir als Einrichtung betroffen?", "Welche Anforderungen müssen wir nun umsetzen?" und "Wie viel Zeit bleibt uns dafür?". Ergänzend zeigt der Vortrag auf, ob und ggf. welche Umsetzungshilfen es gibt und wie der Weg zum Ziel Schritt für Schritt sinnvoll gestaltet werden kann.

Der Vortrag findet in deutscher Sprache statt.
 

Wie hoch ist unser Cyber-Risiko? – Peter Wimmer & Stefan Koppold

Sicherheitsexperten ist diese Frage des Vorstands nur zu vertraut, und als TRATON, die Lastwagen-Sparte des Volkswagen-Konzerns, einer neuen Konzern-Cyber-Risikoversicherung beitreten wollte, galt es, eine präzise Berechnung des gesamten Cyber-Risikos für die TRATON-Gruppe zu erstellen.

Hierfür haben die Risk-, Treasury- und Information-Security-Abteilungen von TRATON einen interdisziplinären Ansatz für eine aggregierte monetäre Risikoanalyse entwickelt. Die Bewertung des Gesamtrisikos - nicht nur der spezifischen Risiken einer einzelnen Marke – soll dabei folgendes berücksichtigen:

• es sind Bandbreiten von Risiken zu bewerten, also nicht nur singuläre Szenarien, sondern auch durchschnittliche und extreme Fälle (diejenigen, die in den Nachrichten landen)
• zudem gilt es, Abhängigkeiten mit Geschäftsbereichen (z.B. Produktion, Logistik, Recht und IT) zu berücksichtigen

Es ließen sich etwa 20 relevante Cyber-Risikoszenarien in den Bereichen Cyberangriff, Datensicherheit, Business Continuity und (als Unternehmen im Automotive-Bereich) Road Security identifizieren, die in 55 Fällen für jede Hauptmarke analysiert wurden.

Diese Szenarien wurden anschließend mit Hilfe von Monte-Carlo-Simulationen und Verteilungsfunktionen hinsichtlich ihrer Auswirkung auf den Gesamtkonzern analysiert.

Letztendlich wurde eine überprüfbare Quantifizierung des gesamten Cyber-Risikos des Konzerns und eine realistische Dimensionierung für den Selbstbehalt und die Deckungssumme erarbeitet. Die Vorgehensweise wird in diesem Vortrag vorgestellt.

Der Vortrag findet in deutscher Sprache statt.
 

Vishing > Phishing: Initial Access, aber einfach – Hagen Molzer

Seit einiger Zeit zeichnet sich für die Initial-Access-Phase realer Angriffe auf Unternehmen eine Verlagerung des Vektors von Phishing zu Vishing (Voice-Phishing) ab. Auch wir, als professioneller Anbieter von Simulationen solcher Angriffe in Form von Red-Team-Exercises, passen uns an diesen Trend an. Lange Zeit war Phishing via E-Mail einer der beliebtesten Angriffsvektoren, um den initialen Zugriff auf das interne Netzwerk einer Organisation zu erhalten. Durch verschiedene technische und organisatorische Maßnahmen seitens unserer Kunden und die immer besser werdende Sensibilisierung der Mitarbeiter für die Gefahren von Phishing via E-Mail wird es immer schwieriger, hierüber erfolgreich zu sein.
 
Deshalb nutzen auch wir immer häufiger Vishing anstatt Phishing, um das Ziel zu erreichen. In diesem Talk werden die Vorteile dieses alternativen Vektors beschrieben und ein beispielhaftes (sowie oft erschreckend erfolgreiches) Vorgehen skizziert. Dabei gehen wir auch auf die Funktionsweise der eingesetzten technischen Infrastruktur sowie oft genutzter Social-Engineering-Techniken ein, mit denen wir für Vertrauen und Kooperationsbereitschaft bei unseren „Opfern“ sorgen.

Zuletzt beschreiben wir Gegenmaßnahmen, sowohl technischer als auch organisatorischer Natur, um das Risko für erfolgreiche Angriffe dieser Art zu reduzieren.

Der Vortrag findet in deutscher Sprache statt.
 

Cybersecurity’s New Imperative: Defending Enterprise and National Cognitive Infrastructures - Winn Schwartau

Vor langer Zeit, am 27. Juni 1991, sagte Winn vor dem US-Kongress aus und wurde gefragt: „Herr Schwartau, warum sollten die bösen Jungs jemals das Internet nutzen?“

Heute wird unsere kognitive Infrastruktur angegriffen und die Menschheit braucht mehr denn je Fachleute in der Cybersicherheit. Die Realität ist nur einen Klick entfernt.

Metakrieg ist die Kunst und Wissenschaft der Manipulation der eigenen Realität. Es ist der Kampf um die Kontrolle über die eigenen Glaubenssysteme, die eigene Identität und die Wahrnehmung der Realität außerhalb des eigenen Bewusstseins. Vernunft und Gefühl sind inkompatible Betriebssysteme.

Durch Big Tech erfolgt ein digitales Terraforming der künftigen kognitiven Infrastruktur des Planeten, des Web 3.0, ohne Berücksichtigung der Schattenseiten. Das Metaverse ist eine sich ständige weiterentwickelnde Umgebung voller eindringlicher Erzählungen, konzipiert als die mächtigste und fesselndste Realitätsverzerrungsmaschine aller Zeiten. Zudem wird es jeden Ihrer Wünsche und jede Ihrer Bewegungen vorhersagen und voraussehen!

Auf globaler Ebene stellt der Metakrieg die sechste Domäne der Kriegsführung dar. Wer die Technologie kontrolliert, kontrolliert die Geschichte. Wir haben keine andere Wahl, als zu lernen, wie wir mit den realitätsverzerrenden Technologien, die wir geschaffen haben, koexistieren können, indem wir technische, politische und kognitive Schutzmaßnahmen ergreifen, um unseren Sinn für Wahrheit, Realität und Selbstidentität zu schützen.

Winns Keynote ist ein Aufruf zum Handeln.

Die Cybersicherheitscommunity gehört zu den besten Problemlösern, die die Welt je gesehen hat. Sie agiert als Team, als Kollektiv von Gleichgesinnten mit einer erstaunlichen Bandbreite an Fähigkeiten, die vor nichts zurückschrecken, um ihre Ziele zu erreichen - allen Widrigkeiten zum Trotz. Winn fordert uns mit einem neuen Ziel heraus: das menschliche mentale Immunsystem zu stärken und zu verteidigen. Unsere Gehirne, sensorischen Nervensysteme und Gedanken sind die neuen Angriffsflächen. Wird sich die Cybersicherheitscommunity der Herausforderung stellen, die existenziellste Bedrohung zu bewältigen, der sie je ausgesetzt war? Oder tut sie es nicht?

Um zu überleben, muss sich die Menschheit an die Technologie anpassen und koexistieren.

Der Vortrag findet in englischer Sprache statt.
 

The Imposter’s Guide to Hacking… Without Technical Talent! – Jayson E. Street

Hören Sie sich diesen Vortrag von Jayson an, zeitlebens ein Hochstapler, der Menschen seit Jahrzehnten zum Narren hält. Sehen Sie sich einige seiner Tricks an, die ohne Talent und technisches Wissen auskommen und nur eine Kreditkarte und etwas Vorstellungskraft erfordern. Erfahren Sie, wie sich Alltagsgegenstände und Spielzeug fast ohne jegliche Modifikation in Angriffswerkzeuge umfunktionieren lassen. Staunen Sie, mit welcher Kühnheit sich dieser Referent das Recht nimmt, sich einen Hacker zu nennen. Hören Sie sich die Schimpftiraden dieses „Pick me Guy“ an, mit denen er seine Tugendhaftigkeit in Themenbereichen beweisen will, in denen er doch nur als verlässlicher Verbündeter gesehen werden kann. Versuchen Sie, bis zum Ende durchzuhalten, wenn er sein Urteil fällt und scharfe Kritik an einer Gemeinschaft übt, die so viele von uns mit unsinnigen Standards und voreingenommenen Erwartungen enttäuscht, die nur dazu dienen, die „Wächter“ zu beruhigen, deren Unsicherheit nur zu noch mehr Gift in UNSERER Gemeinschaft führt. Ach, und es wird wahrscheinlich auch ein paar Memes geben, das hilft sicherlich.

Der Vortrag findet in englischer Sprache statt.
 

Windows Hello abuse - the sequel - Dirk-jan Mollema

Windows Hello und die Enterprise-Variante Windows Hello for Business (WHFB) sind moderne, passwortlose Authentifizierungsmethoden, die von Microsoft als sicher, hardwaregebunden und resistent gegen Phishingangriffe angepriesen werden. Letztes Jahr haben wir bereits gesehen, dass viele dieser Sicherheitsfunktionen ihren Anforderungen nicht wirklich gerecht werden: WHFB‑Methoden konnten ohne MFA bereitgestellt und zum Lateral Movement auf andere Accounts genutzt werden und sie ermöglichten es, von Entra ID über Cloud Kerberos Trust zum On-Premises AD zu gelangen. In diesem Vortrag werden weitere Möglichkeiten zur Ausnutzung von WHFB vorgestellt und es wird gezeigt, wie WHFB‑Schlüssel in Phishingszenarien, einschließlich Device Code Phishing und Credential Phishing, bereitgestellt werden können. Zudem werden wir darauf eingehen, wie die Windows-Hello-Schlüssel geschützt sind, wie sie auf Windows-Geräten eingesetzt werden und wie Angreifer sie zum Lateral Movement und zur Persistenz nutzen können, nachdem sie Zugriff auf eine Benutzersitzung erlangt haben. Schließlich werden wir untersuchen, was das für Sie bedeutet und wie Sie sich am besten vor derartigen Angriffen schützen können.

Der Vortrag findet in englischer Sprache statt.
 

Your Copilot is My Insider – Inbar Raz

Der Wettlauf um die Vorteile generativer KI ist bereits in vollem Gange und jeder stürzt sich darauf, Unternehmensdaten und -abläufe in die Hände von KI zu legen. Mit Copilot ist ein Konzept entstanden, um KI zu zähmen und unter Kontrolle zu halten. Doch während Mitarbeiter selten Grenzen überschreiten und zu einer Gefahr werden, hat sich gezeigt, dass Microsoft Copilot by Design gefährlich ist.

In diesem Vortrag werden wir aufzeigen, wie Ihre Copilot-Studio-Bots ganz einfach genutzt werden können, um bestehende Sicherheitslösungen wie DLP zu umgehen und sensible Unternehmensdaten auszuschleusen. Die Kombination aus unsicheren Standardeinstellungen, Plugins mit zu großzügigen Berechtigungen und Wunschdenken beim Design macht einen Datenabfluss nicht nur möglich, sondern sogar wahrscheinlich. Wir analysieren, wie Unternehmensdaten und -abläufe durch Copilot Studio in die Hände generativer KI gegeben werden, und zeigen, wie dies die Angriffsfläche zum Einschleusen von Prompts vergrößert, was wiederum zu einer erheblichen Beeinträchtigung der Integrität und Vertraulichkeit führt. Es ist so, als hätte man einen Innentäter bei seinem Konkurrenten eingeschleust.

Zudem stellen wir CopilotHunter vor, ein Open-Source-Reconnaisance- und -Ausnutzungstool, das einen Scan auf öffentlich verfügbare Copilots durchführt und diese mithilfe von Fuzzing und generativer KI ausnutzt, um sensible Unternehmensdaten auszuschleusen. Wir präsentieren die Ergebnisse unserer Angriffe auf tausende erreichbare Bots, durch die wir an sensible Daten und Zugangsdaten von Unternehmen gelangt sind.

Schließlich bieten wir Hilfestellung, indem wir darlegen, welche konkreten Konfigurationen und Fehler man auf der Plattform von Microsoft vermeiden sollte, und erläutern, wie man einen sicheren und zuverlässigen Copilot baut.

Der Vortrag findet in englischer Sprache statt.
 

Der Staat und die IT-Sicherheit - Linus Neumann

Von den Versuchen, IT-Sicherheit zu verordnen

IT-Sicherheitsgesetz 1.0, IT-Sicherheitsgesetz 2.0, NIS-Richtlinie und DORA – langsam müsste doch alles sicher sein? Wie kommt es, dass trotzdem täglich Unternehmen den Bach runter gehen und Kundendaten massenhaft im Netz landen?

Wie kommt es, dass jedes deutsche IT-Großprojekt zur internationalen Lachnummer wird?

Statt sich risikobasiert mit realen Problemen auseinanderzusetzen, konzentrieren sich Unternehmen auf sinnlose Checklisten. So wird IT-Sicherheit zu einer bürokratischen Übung, bei der es wichtiger ist, durch Compliance der Verantwortlichkeit zu entgehen, als wirkliche Schäden zu verhindern.

Versuchen wir, aus den Fehlern anderer zu lernen, indem wir sie analysieren.

Der Vortrag findet in deutscher Sprache statt.
 

This shouldn’t be here – Edwin van Andel

Nachdem ich letztes Jahr auf der IT-Defense gesprochen habe, wollte ich dieses Jahr wiederkommen, um großartige Vorträge zu hören, sehr alte Freunde zu treffen (Hi Winn!) und einfach ein paar Bier zu genießen und zu entspannen. Da jedoch ein Referent ausfällt, wurde ich gebeten, einmal mehr die Bühne zu betreten, um Sie alle auf eine Achterbahnfahrt durch einige Hacking-Geschichten mitzunehmen.

Also habe ich beschlossen, einige Geheimnisse mit Ihnen zu teilen. Ich biete Ihnen in diesem Jahr das Hacking von „unhackbaren“ Geräten, Cloud-Hacking, sonderbare Fehler und wunderbare Fehlschläge. Da das meiste hiervon nicht öffentlich ist, bitte ich Sie, es nicht zu verbreiten und während des Vortrags nicht zu fotografieren. Im Ernst, bitte halten Sie sich daran, ich würde gerne im nächsten Jahr wiederkommen! Lachen ist aber wie immer erlaubt, keine Sorge. Also seien Sie bereit, wieder „Vielen Dank für die Blumen“ zu singen und den Planeten zu hacken!

Der Vortrag findet in englischer Sprache statt.