The Evolution of macOS Security - Csaba Fitzl

In den letzten Jahren hat Apple bei der Sicherheit einen Zahn zugelegt. Es gibt viele Vorträge darüber, wie sich die Ausnutzung einer Memory-Corruption-Schwachstelle verhindern lässt, die Vermeidung von Logikfehlern wird dabei jedoch oft ausgeblendet, obwohl sie genauso wichtig ist.

In diesem Vortrag versuche ich, diese Lücke zu schließen. Ich werde einige der wichtigsten macOS-Sicherheitsfunktionen vorstellen, die die Ausnutzung von Logikschwachstellen verhindern oder erschweren. Wir werden uns anschauen, wie sich die Grundfunktionen seit macOS Mojave verbessert haben und welche weiteren kleinen, aber wirkungsvollen Optimierung eingeführt wurden.

Der Vortrag findet in englischer Sprache statt.
 

Malware “Powered by AI”: Erkenntnisse und Ausblicke erster AI-Schadsoftware – Candid Wüest

Dass GenAI Malware erzeugen kann, überrascht nicht. Aber wie gut eignet sie sich zur Steuerung komplexer, autonomer Schadsoftware? Erste metamorphe, KI-gestützte Samples wie LameHug oder PromptLock sind in 2025 aufgetaucht – bisher jedoch mit vernachlässigbarem Impact.

In diesem Talk diskutiere ich unsere Erkenntnisse zu den ersten echten Agentic Malware Samples wie Yutani Loop und welche Implikationen sich daraus für die Verteidigungsseite ergeben. Multi-Agent-/Multi-Model-Malware existiert bereits im Labor – doch welche Vorteile können Angreifer dadurch tatsächlich erzielen? Kann Malware autonom Ziele auswählen, sich vor lokalen EDR-Lösungen verbergen und aus früheren Fehlern lernen?

Das Ziel des Vortrags ist es, den Teilnehmern zu vermitteln, was autonome Malware wirklich leisten kann, wo ihre Stärken und Schwächen liegen, was reiner Medienhype ist – und natürlich, wie man sich gegen diese neue Bedrohungsart schützen kann.

Der Vortrag findet in deutscher Sprache statt.
 

Cybersecurity is exactly like soccer (Football) – John Stoner

In diesem Vortrag werden Parallelen zum Fußball gezogen, um die Komplexität der Cyberrollen, ‑teams und ‑strategien zu reduzieren.

Die über 50 Spezialisierungen in der Cybersicherheit – vom hyperfokussierten Experten bis zum anpassungsfähigen Generalisten – werden in diesem Vortrag mit Spielern wie Leroy Sané (einem schnellen Flügelspieler) und Joshua Kimmich (einem vielseitigen Mittelfeldspieler) verglichen. Sind Sie ein Stürmerstar bei einer Spitzenmannschaft (Bayern München) oder ein Praktikant, der es bei einem unerfahrenen Start-up versucht (etwa ein Nachwuchsspieler bei St. Pauli)? Genau wie beim Fußball sind maßgeschneiderte Trainings, smartes Teambuilding und ein Verständnis für die Attribute eines Spielers entscheidend – dein Torhüter (Cloud Engineer) braucht ein anderes Training als dein defensiver Mittelfeldspieler (Threat Intel Analyst). Manager müssen ihre Spielerliste prüfen und entscheiden, ob sie ihre Talente selbst ausbilden (Fußballakademie) oder Experten einkaufen möchten (Transfermarkt), und sie müssen eine Strategie festlegen: Ballbesitzspiel, Pressing oder Gegenangriff?

Dieser Vortrag befasst sich durch den schönen Fußball auf humorvolle und einfühlsame Weise mit der Einstellung, der Entwicklung und der Zusammenarbeit in Cybersecurity-Teams. Lehrreiches aus der Fußball- und der Cyberwelt, ganze ohne gelbe Karten und Video-Assistent.

Der Vortrag findet in englischer Sprache statt.
 

From Buffer Overflows to Prompt Injection Why AI is Resetting Software Security – Chris Wysopal

KI hält mit rasender Geschwindigkeit Einzug in Unternehmen. KI ist in SaaS-Tools integriert, treibt die Anwendungsentwicklung voran und unterstützt autonome Agenten. Doch die meisten Unternehmen sehen nicht, welche Risiken dahinterstecken. Generative KI (GenAI) ist zur neuen Schatten-IT geworden: sie ist mächtig, unkontrolliert und hat bereits neue Angriffsflächen geschaffen. Durch Prompts und Training können sensible Daten abfließen, zudem generiert GenAI in großem Umfang unsicheren Code. So werden ganze Klassen an Schwachstellen wieder eingeführt, für deren Beseitigung die Security-Community Jahrzehnte gebraucht hat.

An diesem Punkt waren wir schon einmal. In den 1990er Jahren hat sich die Branche geweigert, Sicherheitslücken anzuerkennen. Sicherheitsforscher und Microsoft waren sich uneins über die Veröffentlichung von Schwachstellen, das Patchen war chaotisch und für Unternehmen gab es keinen zuverlässigen Prozess, um Schwachstellen zu adressieren. Erst nach Jahren schmerzlicher Vorfälle wurden koordinierte Vulnerability-Disclosure-Verfahren und sichere Entwicklungsprozesse zum Standard. Durch KI droht dieser mühsam errungene Fortschritt zunichtegemacht zu werden: Code wird jetzt von Systemen erstellt, die keine Ahnung von Sicherheit haben, von Entwicklern eingesetzt, die ihm blind vertrauen, und ohne eine Überprüfung – die wir einst so hart erkämpft haben – in Pipelines integriert.

In dieser Session analysieren wir, wie GenAI die Angriffsfläche des Software Development Lifecycle und der Unternehmens-IT umgestaltet, von der Erstellung von Code über die Integration in SaaS bis hin zum Verhalten autonomer Agenten. Die Teilnehmer erfahren, in welchen Bereichen die früheren Kämpfe um die Veröffentlichung und Behebung von Schwachstellen in neuer Form wieder aufflammen und welche technischen Kontrollen und Methoden notwendig sind, um zu verhindern, dass sich die Geschichte wiederholt.

Der Vortrag findet in englischer Sprache statt.
 

Allpacka: Malware à la carte – Leon Schmidt

Die Zeiten, in denen generische und öffentlich bekannte Malware einfach zum Erfolg führte, sind lange vorbei – zumindest bei Unternehmen, die sich entsprechend schützen. Moderne Erkennungs- und Reaktionslösungen wie EDRs erschweren den Angreifern das Leben. Daher nutzen Angreifer mittlerweile regelmäßig individuelles Tooling, eigene Mechanismen zum versteckten Laden und Packen von Malware sowie diverse weitere Kniffe, um diese modernen Erkennungslösungen zu umgehen. Die Simulation solcher motivierter, fortschrittlicher und kompetenter Angreifergruppen, die in Unternehmen über unterschiedliche Vektoren angreifen, ist häufig Thema sogenannter Red-Team-Assessments. Als professionelles Red-Team ist es somit unsere Aufgabe, diese Techniken nicht nur abzudecken, sondern Malware auch zeiteffizient an spontane Situationen anzupassen.

Dafür haben wir bei cirosec eine eigene Lösung entwickelt, die den Alltag unseres Red-Teams vereinfacht: unseren Malware-Baukasten „Allpacka“. Die Idee: Jeder einzelne Arbeitsschritt, vom Kompilieren, Obfuskieren, Packen bis hin zur plattformspezifischen Anpassung der Malware, wird durch kombinierbare Module abstrahiert. Durch die Verkettung dieser Module entsteht ein sogenanntes „Rezept“, das vom „Allpacka Chefkoch“ „zubereitet“ und am Ende als individuelle Malware „serviert“ wird.

Das primäre Ziel von Allpacka war vor allem, einen hohen Automatisierungsgrad zu erreichen. Zusätzlich ermöglicht dieser Ansatz allen Mitgliedern des Red-Teams, unser gesamtes Arsenal an Malware-Komponenten auszuschöpfen, ohne mit der internen Funktionsweise der jeweiligen Komponente im Detail vertraut zu sein. Durch die Kapselung der Komponenten in Allpacka-Module kann sich jedes Mitglied ganz auf sein Spezialgebiet konzentrieren und trotzdem vom Know-how der anderen profitieren.

In diesem Vortrag zeige ich, wie wir Allpacka konzipiert und aufgebaut haben, wie das System unter der Haube und in Aktion funktioniert und was wir dabei über Modularität, Sicherheit und gelebte Standards gelernt haben.

Der Vortrag findet in deutscher Sprache statt.
 

Cyberwar between Russia and Finnish Companies – Sami Laiho

Ich bin einer der finnischen Cybersicherheitsspezialisten, der an der Zerstörung der IT-Systeme von Unternehmen beteiligt war, die Russland verlassen mussten.

Finnlands Grenze zu Russland ist länger als die aller anderen EU-Länder zusammengenommen. Als Russland erklärte, es würde die Vermögenswerte von Unternehmen verstaatlichen, wenn diese Russland verlassen, blieben uns 72 Stunden, um deren IT-Systeme zu zerstören. Dazu haben wir sogenannte Totmannschalter genutzt, weil Russland drohte, die Internetverbindung zu Finnland zu unterbrechen. Dies ist hoffentlich die einzige Kriegsgeschichte, die ich meinen Kindern jemals erzählen muss, und ich möchte sie mit der ganzen Welt teilen. Die Menschen reden zwar über teure Maschinen, die in Russland zurückgelassen wurden, aber nicht über die Systeme, die sie kontrollieren und die geistiges Eigentum speichern.

In dieser Session werden Sie erfahren, wie es ein IT-Pionier geschafft hat, Verzeichnisse unlesbar zu machen und Domain Splitting in 72 Stunden, anstatt der üblichen 18 Monate, durchzuführen.

Der Vortrag findet in englischer Sprache statt.
 

Jenseits der KI-Blackbox: Anforderungen an die IT-Sicherheit im AI Act – Joerg Heidrich

Die europäische KI-Verordnung tritt Mitte 2026 in Kraft und bringt erhebliche Anforderungen an jedes Unternehmen, das ChatGPT & Co. einsetzt. Im Mittelpunkt steht dabei der Betrieb sogenannter Hochrisiko-KI. Für derartige Angebote, zum Beispiel im Personalwesen, sieht der Gesetzgeber eine strenge Regulierung der IT-Sicherheit vor.

Der Vortrag von Heise-Justiziar und Rechtsanwalt Joerg Heidrich zeigt praxisnah, wie und bis wann diese Anforderungen umzusetzen sind. Im Einzelnen geht er auf die Einteilung in Risikoklassen im AI Act ein – was fällt unter Hochrisiko-KI, welche gesetzlichen Anforderungen an die IT-Sicherheit sind enthalten und was droht bei Verstößen?

Der Vortrag findet in deutscher Sprache statt.
 

2 Cops 2 Broadcasting: TETRA End-to-End Under Security - Jos Wetzels

In diesem Vortrag präsentieren wir die erste öffentliche Sicherheitsanalyse der TETRA-Ende-zu-Ende-Verschlüsselung (E2EE), die für besonders sensible Kommunikation verwendet wird – beispielsweise von Geheimdiensten und Spezialeinheiten.

Wir stellen sieben Sicherheitslücken im Zusammenhang mit TETRA und E2EE vor, von denen drei kritisch sind.

TETRA ist ein europäischer Standard für Bündelfunk, der weltweit von Polizei und Militär eingesetzt wird. Darüber hinaus wird TETRA häufig in industriellen Umgebungen wie Häfen und Flughäfen sowie in kritischen Infrastrukturen wie der SCADA-Fernsteuerung von Pipelines, Transportmitteln und Elektrizitäts- und Wasserwerken eingesetzt.

Die zur Verschlüsslung von TETRA genutzten Algorithmen haben wir vor einiger Zeit bereits durch Reverse Engineering ermittelt und anschließend veröffentlicht. Die proprietäre E2EE-Lösung, die das Vertrauen der Endbenutzer genießt und für besonders kritische Anwendungsfälle eingesetzt wird, war jedoch weiterhin unbekannt und erwies sich als ziemlich schwer zu beschaffen.

Angesichts der Undurchsichtigkeit dieser Lösung und der Tatsache, dass TETRA in der Vergangenheit deutlich weniger Sicherheit bot als beworben (Stichwort Ciphers mit Hintertür), haben wir uns an das Reverse Engineering einer TETRA-E2EE-Lösung gewagt.

Dazu haben wir sie aus einem gängigen Sepura-Funkgerät extrahiert und dabei mehrere kritische Zero-Day-Schwachstellen im Funkgerät entdeckt, die zusätzliche Angriffsmöglichkeiten, etwa zur Schlüsselextraktion und verdeckten Kompromittierung, bieten.

Im Vortrag präsentieren wir das E2EE-Design zusammen mit einer Sicherheitsanalyse, in der mehrere schwerwiegende Mängel aufgezeigt werden. Diese reichen von der Möglichkeit, Sprachverkehr in E2EE-Kanäle einzuschleusen und SDS-Nachrichten erneut abzuspielen, bis hin zu einer absichtlich geschwächten E2EE-Variante, die den 128-Bit-Schlüssel auf nur 56 Bit reduziert.

Darüber hinaus diskutieren wir neue Erkenntnisse im Zusammenhang mit Multi-Algorithmus-Netzwerken und offiziellen Patches, die für Asset Owner relevant sind, die die zuvor von uns aufgedeckten TETRA:BURST-Schwachstellen beheben möchten.

Abschließend zeigen wir den E2EE-Voice-Injection-Angriff und den zuvor theoretischen TETRA-Packet-Injection-Angriff auf SCADA-Netzwerke.

Der Vortrag findet in englischer Sprache statt.

Die EUDI-Wallet: die Infrastruktur für sichere, digitale Nachweise – Paul Bastian und Thorsten Lodderstedt

Die Digitalisierung unseres Alltags erfordert Lösungen, die das Nachweisen der Identität oder von Berechtigungen auf sichere und nutzerfreundliche Art und Weise ermöglichen. Während wir im physischen Leben ganz selbstverständlich Plastikkarten und unsere Geldbörse nutzen, hinkt die digitale Welt leider oft hinterher, wir verlassen uns auf unsichere Screenshots von Ausweisen oder zentrale Identitätsprovider (IdP).

Dieser Vortrag beleuchtet das Konzept der digitalen Wallets als Paradigmenwechsel hin zu einer vielseitigen, privatsphäreschonenden Infrastruktur, für sichere Nachweise aller Art, die sowohl online als auch vor Ort funktioniert.

Im Zentrum steht die European Digital Identity (EUDI) Wallet, die durch die überarbeitete eIDAS-Verordnung EU-weit standardisiert wird. Als Kernfunktion wird es mit der EUDI-Wallet möglich sein, alle Arten von hoheitlichen und privaten Nachweisen auf dem Smartphone zu verwalten und zu nutzen. Weitere Funktionen sind qualifizierte elektronische Unterschriften (QES), pseudonyme Authentifizierung und sichere Zahlungsautorisierung.

Die Umsetzung in Deutschland erfolgt im deutschen nationalen EUDI-Wallet-Projekt. Unter der Federführung des BMDS und umgesetzt durch die SPRIND, die Bundesagentur für Sprunginnovationen, in Kooperation mit dem BSI, verfolgt Deutschland einen agilen, inkrementellen Ansatz, bei dem Transparenz und Open Source eine wichtige Rolle spielen. Ziel ist die Bereitstellung einer EUDI-Wallet und des umgebenden Ökosystems bis Januar 2027, danach werden weitere Stufen folgen.

Insbesondere wird der Vortrag die Sicherheitsarchitektur der EUDI-Wallet auf zwei Ebenen präsentieren. Zum einen werden die technischen Protokolle und Standards erläutert, auf denen der sichere Austausch von Nachweisen basiert. Zum anderen werden die Details der technischen Architektur der nationalen Wallet erläutert, z.B. wie durch die Verwendung von Cloud-HSMs und Mobile Device Vulnerability Management ein hohes Vertrauensniveau (vergleichbar mit dem Personalausweis) erreicht wird.

Der Vortrag findet in deutscher Sprache statt.

Exposing SCCM and MSSQL Attack Paths in Hardened Environments with Opengraph – Chris Thompson

Haben Sie Schwierigkeiten, Angriffspfade in Active-Directory-Umgebungen zu identifizieren, in denen alle offensichtlichen von BloodHound identifizierten Schwachstellen bereits behoben wurden? In diesem Vortrag werden zwei neue OpenGraph Collectors vorgestellt, die weniger bekannte SCCM- und MSSQL-Angriffsketten aufdecken, beginnend mit dem ersten Zugriff bis hin zur Erlangung administrativer Kontrolle über die Umgebung.

Ich werde die Erfassung und Visualisierung dieser Angriffspfade im BloodHound-Graphen demonstrieren und Ihnen zeigen, wie Sie dieses Tool in der Praxis einsetzen können. Dieser Vortrag wird Ihnen helfen, blinde Flecken aufzudecken, die möglicherweise übersehen wurden.

Der Vortrag findet in englischer Sprache statt.

Hacking chips with electro-magnetic rays: The wonders of EMFI – Thomas Roth

Moderne Geräte und Autos sind auf eine Vielzahl verschiedener Mikroprozessoren angewiesen – und diese sind zunehmend Teil des Sicherheitsmodells: Durch Hacken dieser Prozessoren kann man den Kilometerstand seines Autos manipulieren, sich dauerhaft Zugang zu seinem Laptop verschaffen oder IoT-Benutzer ausspionieren. Aus diesem Grund werden immer mehr Chips mit JTAG-Sperren und anderen Schutzmaßnahmen gesichert. Oft sind neuere Systeme auch gegen klassische Voltage-Fault-Injection-Angriffe geschützt. In diesem Vortrag werden wir uns daher mit der Verwendung elektromagnetischer Fault Injection befassen, um Sicherheitsmaßnahmen in einer Vielzahl verschiedener Chips zu umgehen – indem wir sie mit elektromagnetischer Strahlung beschießen!

Der Vortrag findet in deutscher Sprache statt.

Cybercrime: Zusammenarbeit von Ermittlern und Staatsanwaltschaft – Daniel Lorch und Mirko Heim

Der Vortrag gibt einen praxisnahen Einblick in die aktuelle Entwicklung der organisierten Cyberkriminalität aus Sicht der Justiz und der kriminalpolizeilichen Strafverfolgung. Ausgangspunkt ist das Follow-Up zum Crime-as-a-Service-Verfahren „Dawnbreaker“ im Kontext der Ransomware-as-a-Service-Gruppierung HIVE: Welche operativen und strategischen Lehren wurden gezogen, welche Ermittlungsansätze haben sich bewährt und wie entwickeln sich Täterstrukturen (und Strafverfolger) nach internationalen Zerschlagungsmaßnahmen weiter?

Darauf aufbauend werden laufende Ermittlungs- und Analyseansätze beleuchtet – von der Auswertung krimineller Ökosysteme über internationale Kooperationen bis hin zu aktuellen Herausforderungen bei Attribution, Beweisführung und Vermögensabschöpfung.

Abschließend richtet der Vortrag den Blick nach vorn: Wohin entwickelt sich die organisierte Cyberkriminalität, welche Trends sind bereits heute erkennbar und welche Anpassungen sind aufseiten von Wirtschaft, Polizei und Justiz erforderlich? Abgerundet wird der Beitrag durch die Vorstellung des Cybercrime-Zentrums Baden-Württemberg bei der Generalstaatsanwaltschaft Karlsruhe, seiner Aufgaben, Zuständigkeiten und Rolle im nationalen und internationalen Cybercrime-Bekämpfungsnetzwerk sowie einen interessanten Blick „hinter die Kulissen“ …

Der Vortrag findet in deutscher Sprache statt.