IT-Defense 2025Vorträge

Vorträge – IT-DEFENSE 2025

20 Jahre SAP-Cybersicherheit – Andreas Wiegenstein & Xu Jia

Wenn sie ein gewisses Alter erreichen, veröffentlichen die meisten Musikbands eine Art "Best Of"-Album. Nun, wir sind zwar keine Musikband, aber wir haben zumindest ein gewisses Alter erreicht. Dieser Vortrag ist eine Achterbahnfahrt durch verschiedene Arten von Sicherheitslücken im SAP-Universum, auf die wir in den letzten 20 Jahren gestoßen sind. Diese Sicherheitslücken stehen in engem Zusammenhang mit verschiedenen SAP-Technologien und deren Design sowie den damit verbundenen Fallstricken. Alle, die glauben, dass SAP "nur eine Datenbank" ist, könnten "SAPrised" werden.

Der Vortrag findet in deutscher Sprache statt.

 

Glauben Sie nicht alles was Sie denken: Über Denkfehler und andere Verwirrungen unseres Gehirns - Prof. Dr. Martin Korte

Der Vortrag beleuchtet Denkmechanismen und deren Verzerrungen (bias) und wie diese unsere Entscheidungen beeinflussen – manchmal auch verzerren – können. Gerade im Zusammenhang mit Personalentscheidungen – von der Einstellung über die Beurteilung und Beförderung von Personen – sind wir gehalten, unsere Entscheidungen an möglichst objektiven Kriterien im Sinne einer Bestenauswahl zu treffen. Daher lohnt es sich hier besonders, sich mit den bewussten und unbewussten Denkprozessen auseinanderzusetzen, die diesem Anspruch zuwiderlaufen könnten.

Prof. Dr. Martin Korte wird in dem Vortrag Einblicke in Erkenntnisse der Neurobiologie geben und erläutern, wie wir mit diesem Wissen unsere Entscheidungen in Beruf- und Privatleben verbessern können, wie unser Gehirn arbeitet und welche evolutiven Unfälle unser Denken beeinflussen.

Der Vortrag findet in deutscher Sprache statt.

 

Hackers Perspective on New Risks - Revising the Cybersecurity Priorities for 2025 - Paula Januszkiewicz

Die Transformation nimmt an Fahrt auf! In den turbulenten letzten Jahren haben die Investitionen in die digitale Transformation zugenommen. Unternehmen auf der ganzen Welt möchten davon profitieren und führen neue Technologien und Ansätze ein, die auch zu einem sozialen Wandel führen. Immer mehr Daten werden online zugänglich gemacht – Cybersicherheit ist deshalb ein Thema, das alle angeht, nicht nur große Konzerne, sondern auch Regierungen und Firmen aller Größen. Doch die Transformation hat auch ihre Schattenseiten. So können Hacker heutzutage Schwachstellen in der Infrastruktur präziser ausnutzen als je zuvor.

Da die Vernachlässigung der Cybersicherheit beträchtliche finanzielle, betriebliche und rechtliche Folgen haben sowie den Ruf beeinträchtigen kann, müssen bekannte Analyse- und Schutzmaßnahmen weiterentwickelt und ergänzt werden.

In diesem Vortrag werden die größten Risiken im Jahr 2025 vorgestellt und erläutert. Paula Januszkiewicz zeigt, wie Hacker und Cyberkriminelle mithilfe neuster Techniken Bedrohungen identifizieren und ausnutzen, sodass Sie sie zukünftig in Ihrer Monitoring-Lösung aufspüren und abwehren können. Darüber hinaus präsentiert Paula die fortschrittlichsten Phishingangriffe, neueste Methoden zum Diebstahl von Anmeldedaten und zur Verteilung von Ransomware sowie Möglichkeiten, um Zugriff auf Systeme zu erlangen, die unter der Hoheit von Herstellern stehen.

Nehmen Sie an diesem Vortrag von Paula teil, um zu erfahren, was 2025 alles möglich ist. Der digitale Wandel lässt Hackangriffe immer effizienter werden – wir dürfen also keine Zeit verlieren!

Der Vortrag findet in englischer Sprache statt.

 

Vulnerablities in TETRA:BURST - Jos Wetzels

In diesem Vortrag werden Einzelheiten zu den TETRA:BURST-Schwachstellen (https://www.tetraburst.com/) vorgestellt - die Ergebnisse der ersten öffentlichen detaillierten Sicherheitsanalyse von TETRA (Terrestrial Trunked Radio), einem europäischen Standard für Bündelfunk, der weltweit von Regierungsbehörden, Polizei, Militär und kritischen Infrastrukturen genutzt wird. TETRA basiert auf geheimen kryptografischen Algorithmen, die über zwei Jahrzehnte lang geheim blieben, bis sie von uns per Reverse Engineering ermittelt und im August 2023 veröffentlicht wurden.

Aufgrund dieser Geheimhaltung war es zuvor nicht möglich gewesen, den von TETRA angeblich gebotene Schutz öffentlichen Sicherheitsüberprüfungen und unabhängigen wissenschaftlichen Untersuchungen zu unterziehen. In diesem Vortrag werden wir über diese Cipher Suites (TEA und TAA1) sprechen. Wir zeigen, dass die sogenannte „Security through Obscurity“ zu bis dato unentdeckten Sicherheitslücken in der Air Interface Encryption (AIE), in der Authentifizierung und im Identitätsschutz geführt hat, sodass passive und aktive Angreifer TETRA-Netzverkehr abfangen, manipulieren und einschleusen konnten.

Besonders besorgniserregend ist dies für TETRA-Nutzer in kritischen Infrastrukturen weltweit, etwa für Energieversorger, im Bahnverkehr sowie in der Öl- und Gasindustrie. In diesen Bereichen decken die funkbasierten SCADA-WAN-Netzwerke (die Protokolle wie IEC-101/104, DNP3 oder Modbus übertragen) üblicherweise große geografische Gebiete ab. Somit kann ein Angreifer, der sich außerhalb der physischen Begrenzung eines Umspannwerks oder einer Anlage befindet, mithilfe eines SDR in das TETRA-Netzwerk eindringen und sich direkt im OT-Netzwerk platzieren. Im Vortrag behandeln wir einige relevante Angriffsszenarien auf solche TETRA-SCADA-Netzwerke, wie sie von Energieversorgern und im Bahnverkehr zum Einsatz kommen, und geben Empfehlungen zur Härtung und zur Verringerung des Risikos.

Zudem werden wir ein Angriffsszenario präsentieren und die neuen Entwicklungen der TETRA-Sicherheit seit unserer ersten Veröffentlichung diskutieren.

Der Vortrag findet in englischer Sprache statt.
 

NIS-2, RCE und CRA - auf Tour durch den Regulierungs-Dschungel - Dr. Christoph Wegener

Im Laufe der letzten zwei Jahre haben eine Vielzahl von regulatorischen Vorgaben auf europäischer Ebene das Licht der Welt erblickt. Im Kontext der Informationssicherheit sind dabei aktuell insbesondere die "Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2)", die "Richtlinie über die Resilienz kritischer Einrichtungen (RCE)" und die "Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (CRA)" relevant.

Aufgrund der typischen Komplexität dieser (EU-)Vorgaben scheitert oft schon die Betroffenheitsanalyse, häufig sind auch die genauen Anforderungen und Umsetzungsfristen nicht bekannt. Dieser Vortrag bringt Licht ins Dunkel und beantwortet die Fragen, die sich die potenziell betroffenen Einrichtungen typischerweise stellen: "Sind wir als Einrichtung betroffen?", "Welche Anforderungen müssen wir nun umsetzen?" und "Wie viel Zeit bleibt uns dafür?". Ergänzend zeigt der Vortrag auf, ob und ggf. welche Umsetzungshilfen es gibt und wie der Weg zum Ziel Schritt für Schritt sinnvoll gestaltet werden kann.

Der Vortrag findet in deutscher Sprache statt.
 

Wie hoch ist unser Cyber-Risiko? – Peter Wimmer & Stefan Koppold

Sicherheitsexperten ist diese Frage des Vorstands nur zu vertraut, und als TRATON, die Lastwagen-Sparte des Volkswagen-Konzerns, einer neuen Konzern-Cyber-Risikoversicherung beitreten wollte, galt es, eine präzise Berechnung des gesamten Cyber-Risikos für die TRATON-Gruppe zu erstellen.

Hierfür haben die Risk-, Treasury- und Information-Security-Abteilungen von TRATON einen interdisziplinären Ansatz für eine aggregierte monetäre Risikoanalyse entwickelt. Die Bewertung des Gesamtrisikos - nicht nur der spezifischen Risiken einer einzelnen Marke – soll dabei folgendes berücksichtigen:

  • es sind Bandbreiten von Risiken zu bewerten, also nicht nur singuläre Szenarien, sondern auch durchschnittliche und extreme Fälle (diejenigen, die in den Nachrichten landen)
  • zudem gilt es, Abhängigkeiten mit Geschäftsbereichen (z.B. Produktion, Logistik, Recht und IT) zu berücksichtigen

Es ließen sich etwa 20 relevante Cyber-Risikoszenarien in den Bereichen Cyberangriff, Datensicherheit, Business Continuity und (als Unternehmen im Automotive-Bereich) Road Security identifizieren, die in 55 Fällen für jede Hauptmarke analysiert wurden.

Diese Szenarien wurden anschließend mit Hilfe von Monte-Carlo-Simulationen und Verteilungsfunktionen hinsichtlich ihrer Auswirkung auf den Gesamtkonzern analysiert.

Letztendlich wurde eine überprüfbare Quantifizierung des gesamten Cyber-Risikos des Konzerns und eine realistische Dimensionierung für den Selbstbehalt und die Deckungssumme erarbeitet. Die Vorgehensweise wird in diesem Vortrag vorgestellt.

Der Vortrag findet in deutscher Sprache statt.
 

Vishing > Phishing: Initial Access, aber einfach – Hagen Molzer

Seit einiger Zeit zeichnet sich für die Initial-Access-Phase realer Angriffe auf Unternehmen eine Verlagerung des Vektors von Phishing zu Vishing (Voice-Phishing) ab. Auch wir, als professioneller Anbieter von Simulationen solcher Angriffe in Form von Red-Team-Exercises, passen uns an diesen Trend an. Lange Zeit war Phishing via E-Mail einer der beliebtesten Angriffsvektoren, um den initialen Zugriff auf das interne Netzwerk einer Organisation zu erhalten. Durch verschiedene technische und organisatorische Maßnahmen seitens unserer Kunden und die immer besser werdende Sensibilisierung der Mitarbeiter für die Gefahren von Phishing via E-Mail wird es immer schwieriger, hierüber erfolgreich zu sein.
 
Deshalb nutzen auch wir immer häufiger Vishing anstatt Phishing, um das Ziel zu erreichen. In diesem Talk werden die Vorteile dieses alternativen Vektors beschrieben und ein beispielhaftes (sowie oft erschreckend erfolgreiches) Vorgehen skizziert. Dabei gehen wir auch auf die Funktionsweise der eingesetzten technischen Infrastruktur sowie oft genutzter Social-Engineering-Techniken ein, mit denen wir für Vertrauen und Kooperationsbereitschaft bei unseren „Opfern“ sorgen.

Zuletzt beschreiben wir Gegenmaßnahmen, sowohl technischer als auch organisatorischer Natur, um das Risko für erfolgreiche Angriffe dieser Art zu reduzieren.

Der Vortrag findet in deutscher Sprache statt.
 

Wer das Netzwerk kontrolliert, kontrolliert das Universum – Nate Warfield

In diesem Forschungsvortrag werden die neusten Trends im Bereich Netzgerätehacking vorgestellt und neue Angriffsvektoren präsentiert, die in den letzten Jahren aufgekommen sind. Wir untersuchen verschiedene Angriffe, von der Firmwaremanipulation bis hin zu Advanced Persistent Threats (APTs), die es auf Router, Switches und andere kritische Komponenten der Netzwerkinfrastruktur abgesehen haben.

Diese umfassende Analyse basiert auf realen Studien und intensiver Forschung und vermittelt den Teilnehmern ein detailliertes Bild des aktuellen Bedrohungsumfelds. Die Schlüsselthemen umfassen die Ausnutzung von Zero-Day-Schwachstellen, den Einsatz von KI für Living-off-the-Land-Techniken sowie die Herausforderungen von Unternehmen durch fehlende Sichtbarkeit und fehlende Sicherheitstools auf Geräteebene.

Am Ende des Vortrags wissen die Teilnehmer, wie sie ihre Netzwerkumgebungen vor diesen modernen Hackingtechniken schützen können. Besonders relevant ist dieser Vortrag für Netzwerkadministratoren, Cybersicherheitsfachleute und Forscher, die in der sich ständig verändernden Welt der Netzwerksicherheit einen Schritt voraus sein wollen.

Der Vortrag findet in englischer Sprache statt.