In diesem Vortrag werden wir einen Überblick über die aktuellen Angriffsvektoren in der Cybersicherheitslandschaft geben und die spezifische Bedrohungslage in Deutschland beleuchten. Wir diskutieren, wie technologische Entwicklungen wie Digitalisierung und Künstliche Intelligenz die Bedrohungen verändern und welche Auswirkungen diese auf die Sicherheitslage in Deutschland haben. Der Vortrag bietet zudem eine Perspektive darauf, welche Maßnahmen erforderlich sind, um den neuen Herausforderungen…

Software verwendet meist quelloffene Abhängigkeiten. In diese Abhängigkeiten können sich Sicherheitslücken einschleichen. Daher nutzen wir Werkzeuge, beispielsweise Nexus IQ Server, um Software auf bekannte Sicherheitslücken zu scannen.
Im März 2024 wurde eine mögliche Hintertür in der XZ-Bibliothek gefunden. Solche Lücken sind meist außerhalb unseres Quellcodes, aber stellen ein immenses Risiko dar.
Hier kommen Software Bill of Materials (SBOMs) als Standard ins Spiel. Sie spezifizieren, wie…

In an era where digital transformation is paramount, regulatory frameworks like the European Data Act and the upcoming Financial Data Access (FIDA) are reshaping the landscape of data management and security. Our presentation aims to demystify the complexities of API security and user consent management under these new regulations, drawing parallels from the successful GSMA Open Gateway Initiative in the telecommunications sector.

Key Points of Discussion:

Introduction to API Challenges in…

The pace of innovation in generative AI offers immense opportunities while also introducing new security challenges. As organizations seek to leverage generative AI for innovation, security leaders must take concrete steps to enable rapid experimentation without compromising security.

We will then discuss key strategies for securing generative AI applications, including threat modeling, guardrails, observability, and evaluation of effectiveness of security measures. Through case studies and…

Obwohl moderne Entwicklungstools das Risiko unbeabsichtigter Sicherheitslücken verringern, bleibt das Thema Sicherheit in Unternehmen hochaktuell. Der Einsatz leistungsstarker KI-Systeme bietet neue Wege, Sicherheitsprozesse zu optimieren und zu automatisieren.

In dieser Session zeigen wir, wie traditionelle Scan-Tools (SAST, SCA) mit den Fähigkeiten von Large-Language-Modellen (LLM) kombiniert werden können, um:

1. False- sowie Negative-Positives zu reduzieren,
2. den Fokus auf kritische…

Wie gehen Unternehmen im Bereich kritischer Infrastrukturen (KRITIS) ihre ersten Schritte in die Cloud? Sicher, mit On-Premises-Infrastruktur und BSI-Zertifizierung!

Mit diesem Vortrag teilen wir unsere Erfahrungen aus einem solchen Projekt. Wir betrachten dabei das IT-Grundschutz-Kompendium mit seinen Anforderungen (wie bspw. zu Backup/Recovery, IAM, Policy Enforcement und Netzwerkisolation) und erläutern mit welchen Konzepten wir diese Anforderungen umgesetzt haben.

Parallel zum Vortrag setzen…

This talk presents an experience report on utilising Artificial Intelligence (AI) as an intelligent assistant for a team of DevOps Engineers responsible for operating a critical customer system 24/7. Given the complexity and criticality of the supported system, the DevOps team has built a comprehensive library of how-to guides, documenting specific incident cases and their solutions.

However, accessing and following the appropriate guidelines requires diligent analysis, experience, and a high…