The Myths of Software Security - Mark Curphey

Die Sicherheitsindustrie war schon immer voll mit den Ergebnissen von Branchenumfragen, den als Fakten dargestellten Meinungen von Experten und einem Set von Best Practices, die über Jahre in der Branche weitergereicht wurden. Wenn Sie hinter die Kulissen blicken, stellen sich diese allzu oft als Mythen heraus. Manches wird als eine Art Brauch mit der Zeit weitergereicht, manches wird als schlichte Tatsache verkauft, obwohl es sich in Wirklichkeit um unbequeme Wahrheiten oder um glatte Lügen handelt. Ich habe hinter die Kulissen geblickt und werde einige der Mythen der Softwaresicherheit aufdecken.

Wussten Sie, dass die „Shift Left“-Bewegung, die predigt, dass es günstiger sei, Bugs früher zu beheben als später, auf einer gefälschten Studie aus den 1970ern beruht, die wahrscheinlich nie durchgeführt wurde? Das ist wahr. Ich werde Sie durch die Geschichte führen, so dass Sie es selbst beurteilen können. Die Leute sagen stets, die Softwaresicherheit sei an einem Krisenpunkt, aber es gibt kaum überzeugende Beweise dafür. Es ist dieselbe Geschichte, die seit Jahren in der Softwareindustrie erzählt wird.

Die Welt ist verrückt geworden nach SBOMs oder Software Bills of Materials. Sie werden angepriesen als eine Möglichkeit, zu zeigen, was in einer Anwendung Open Source ist, aber es gibt heute so viele Möglichkeiten, sie zu umgehen, dass sie den gleichen Effekt haben, als würden Sie Ihre eigene Krankmeldung unterschreiben. Ich werde Ihnen das Warum und Wie an vielen Beispielen zeigen.

Wir haben Umfragen gesehen von Sicherheitsfirmen mit Namen wie “Das XXX-Institut“ oder „Das Zentrum für XXX“. Das ist reines billiges Marketing. Das sind fast alles „Pay to Play“-Firmen, die gegen schnelle Bezahlung jegliche Daten herbeizaubern, die Ihre Marketingbotschaft unterstützen. Ich werde Ihnen zeigen, wie man mit Statistiken lügen, genau so wie es die Kosmetikindustrie im Fernsehen tut.

Top Tens sind überall, die berühmtesten sind die OWASP Top Ten. Bei manchen steckt hinter den Daten ein gewisses Maß an Genauigkeit, aber andere sind nicht mehr als Tabellen mit Verkaufszahlen. Ich werde in die finstere Welt der Top Tens eintauchen. Wenn wir Zeit haben, gibt es noch viel mehr Mythen, die wir entdecken können, wie beispielsweise den x-ten Sicherheitsforscher, unabhängige Communities und Community-Benchmarks.

Der Vortrag findet in englischer Sprache statt.

Rethinking Security When Assets Move Out of Your Control - Christine Bejerasco

Leistungsstarke Rechenkapazitäten, die über Browser und Thin Clients erreichbar sind, sind heute alltäglich. Viele IT-Abteilungen abonnieren „as-a-service“-Modelle für Software, Plattformen und Infrastruktur, was dazu geführt hat, dass sensible Daten in die Verantwortung von Organisationen fallen, von denen wir nicht einmal wussten, dass wir mit ihnen arbeiten.

Bei manchen Organisationen kann das bedeuten, dass man tausende von Diensten abonniert, die unterschiedliche Sicherheitslevel haben. Wenngleich wir noch nicht dort angekommen sind, so bewegen wir uns doch schnell in eine Richtung, in der möglicherweise nur ein Terminal übrig bleibt, über das wir auf die Assets – die sich nicht mehr in unserem Unternehmen befinden ‑ zugreifen können.

Welche Bedrohungen haben wir in diesem neuen Paradigma bereits gesehen? Wie gehen wir die Sicherheit an, wenn wir unsere Algorithmen, Daten oder sogar Rechenleistung nicht länger selbst kontrollieren können?

Der Vortrag findet in englischer Sprache statt.

Forward to the Past and Back to the Future - Cybercrime in 2024 and Beyond – Sami Laiho

Begleiten Sie Sami Laiho, Leiter der Forschungsabteilung von Adminize, bei einem Blick zurück auf das, was sich bei den Sicherheitsbedrohungen im Jahr 2023 verändert hat, und hören Sie seine Vorhersagen dazu, was die Zukunft noch für uns bereithält.

Der Vortrag findet in englischer Sprache statt.

Blut, Harnstoff und Firmware - Snoopy

Die Digitalisierung macht leider auch nicht vor der Gesundheitsindustrie halt. Entsprechend werden immer mehr medizinische Geräte an das Internet angeflanscht, z.B. auch für Fernwartung oder die Erhebung von Statistiken. Leider spielt die Sicherheit des Gerätes dabei eine SEHR untergeordnete Rolle. Die proklamierten Vereinfachungen und Steigerungen der Effizienz machen aber auch leider den Angreifern das Leben leichter.

Dieser Vortrag beleuchtet die sicherheitstechnischen Probleme einer untersuchten Heimdialyse-Maschine. Eine solche wird oft beim Patienten zu Hause an das vorhandene (meist vollkommen ungesicherte) WLAN angeschlossen. Das verleiht dem Wort Betriebsrisiko ein vollkommen neues Leben.

Es werden die Befunde eines Pentests der Maschine präsentiert und Anregungen für angehende und reifere Healthineers gegeben, wie man die Sicherheit erhöhen kann. Dabei geht es auch primär um den Mindset und die Sensibilisierung der Entwickler.

Wie bei meinen Vorträgen üblich gibt es als Bonus ein paar lustige Anekdoten, welche ich nicht auf Folien bringen kann oder darf.

Aktuelle Bedrohungen im Cyber-Raum und die Rolle der Polizei – Daniel Lorch

In dem Vortrag werden Ihnen international erfolgreiche Kooperationsmodelle aus der Ermittlungspraxis vorgestellt. Sie erfahren mehr über die große Expertise der Kriminalpolizei vor, während und nach einem IT-Sicherheitsvorfall. Schlussendlich geht es darüber hinaus um die Frage, was wir gemeinsam dem Erfolgsmodell „Crime-as-a-Service“ entgegensetzen können, um so für mehr Cyber-Resilienz zu sorgen. Denn nur gemeinsam können wir erfolgreich gegen Cyber-Bedrohungen vorgehen.

KI zwischen unendlichen Möglichkeiten und Rechtsunsicherheit – Joerg Heidrich

ChatGPT & Co. sind inzwischen in vielen Unternehmen im Bereich der produktiven Nutzung angelangt. Umso mehr stellt sich die Frage danach, wie denn der Einsatz dieser neuen Technik eigentlich rechtlich zu beurteilen ist. Wie sieht es mit dem Urheberrecht an den Texten oder Bildern aus der KI aus? Was muss ich datenschutzrechtlich beachten? Kann ich mich gegen die Nutzung meiner Werke durch die KI wehren? Joerg Heidrich, Fachanwalt für IT-Recht und Heise-Justiziar, stellt in seinem Vortrag am Beispiel des KI-Bilder-Tools Midjourney die aktuelle Rechtslage praxisnah dar und weist Ihnen Wege durch den Dschungel der juristischen Vorgaben.