Thema: Security
- Montag
03.02. - Dienstag
04.02. - Mittwoch
05.02. - Donnerstag
06.02.
In dieser Sitzung erhaltet ihr aktuelles praktisches Wissen über die Bewertung von Softwarearchitekturen mit Schwerpunkt auf KI-basierter Software, im Hinblick auf Sicherheits- und Datenschutzanforderungen und darüber, wie man eine unsichere Architektur mit Hilfe von Schutzmaßnahmen und Best Practices verbessern kann, die aus dem OWASP AI Security and Privacy Guide und den aktuellen Top 10 der Sicherheitsprobleme von maschinellen Lernsystemen (OWASP Machine Learning Security Top 10) abgeleitet sind.
Wir werden Schwachstellen von maschinellen Lernsystemen betrachten, wie: Input Manipulation Attack, Data Poisoning Attack, Model Inversion Attack, Membership Inference Attack, Model Theft, AI Supply Chain Attacks, Transfer Learning Attack, Model Skewing, Output Integrity Attack, und Model Poisoning
... und Sicherheits- und Datenschutzziele und -techniken, wie: Nutzungsbeschränkung und Zweckbestimmung, Fairness, Datenminimierung und Speicherbegrenzung, Transparenz, Datengenauigkeit, Zustimmung.
In Breakout-Gruppen werden praktische Übungen mit Open-Source-Tools zur Sicherheitsanalyse von Architekturen und deren Implementierungen durchgeführt, darunter SonarQube und das Threat Dragon Tool. Ihr schlüpft in die Rolle des Angreifers und greift die (bewusst unsicher entwickelte) Webanwendung „Google Gruyere“ an. Auf diese Weise erwerbt ihr konzeptionelle und praktische Kenntnisse der IT-Sicherheit auf Architekturebene und im Kontext der Softwareentwicklung.
Als Werkzeug zum praktischen Einsatz in der Sicherheitsanalyse von Web-basierten Architekturen dient u. a. die Penetration-Testing-Infrastruktur Kali Linux.
Das Tutorial besteht zu ca. 50 Prozent aus praktischen Aktivitäten, die ihr in Kleingruppen unter Anleitung des Dozenten durchführt. Durch das praktische und interaktive Konzept könnt ihr Softwaresicherheit aus eigener Anschauung erleben.
Maximale Teilnehmendenzahl: 20
Zielpublikum: Architekten, Entwickler, QA-Manager, Projektleiter
Voraussetzungen: Grundlegendes Verständnis von Softwaresicherheit
Schwierigkeitsgrad: Basic
Jan has worked on secure software architectures for more than 20 years. His first book on the topic in 2005 was also translated to Chinese. Previous positions include: Professor for Software Engineering (TU Dortmund), Senior Member/Research Fellow (Robinson College, Uni Cambridge), Royal Society Industrial Fellow (Microsoft Research Cambridge), Postdoc (TU Munich), PhD Computer Science (Uni Oxford) in Software Security, Master in Mathematics (Uni Bremen).
Vortrag Teilen
In diesem Vortrag werden wir einen Überblick über die aktuellen Angriffsvektoren in der Cybersicherheitslandschaft geben und die spezifische Bedrohungslage in Deutschland beleuchten. Wir diskutieren, wie technologische Entwicklungen wie Digitalisierung und Künstliche Intelligenz die Bedrohungen verändern und welche Auswirkungen diese auf die Sicherheitslage in Deutschland haben. Der Vortrag bietet zudem eine Perspektive darauf, welche Maßnahmen erforderlich sind, um den neuen Herausforderungen effektiv zu begegnen.
Prof. Dr. Haya Schulmann ist Professorin für Cybersicherheit am Institut für Informatik der Johann Wolfgang Goethe-Universität Frankfurt am Main. Sie ist Mitglied im Direktorium des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE und koordiniert dort den Forschungsbereich „Analytics Based Cybersecurity“. Sie ist zudem Gastprofessorin an der Universität von Tel Aviv und an der Hebräischen Universität von Jerusalem.
Schulmann gehört zu den renommiertesten und erfolgreichsten Cybersicherheitsforschern Deutschlands. 2022 erhielt sie eine LOEWE-Spitzenprofessur, 2021 den Deutschen IT-Sicherheitspreis der Horst Görtz-Stiftung, 2015 den Applied Networking Research Prize der IETF/IRTF. Sie veröffentlicht ihre Arbeiten regelmäßig auf den führenden internationalen Sicherheitskonferenzen.
Um das Thema Cybersicherheit auch einem breiteren Publikum nahezubringen, schreibt sie zudem regelmäßig Artikel und Kolumnen für die Frankfurter Allgemeine Zeitung FAZ und den Tagesspiegel Background Cybersecurity.
Software verwendet meist quelloffene Abhängigkeiten. In diese Abhängigkeiten können sich Sicherheitslücken einschleichen. Daher nutzen wir Werkzeuge, beispielsweise Nexus IQ Server, um Software auf bekannte Sicherheitslücken zu scannen.
Im März 2024 wurde eine mögliche Hintertür in der XZ-Bibliothek gefunden. Solche Lücken sind meist außerhalb unseres Quellcodes, aber stellen ein immenses Risiko dar.
Hier kommen Software Bill of Materials (SBOMs) als Standard ins Spiel. Sie spezifizieren, wie genutzte Softwarebibliotheken in einem maschinenlesbaren Format sowohl für Software als auch für Betriebssysteme beschrieben werden können.
Wir schauen uns in diesem Vortrag an, was SBOMs sind und wie wir sie generieren und nutzen können. Darüber hinaus schauen wir uns Tools an, mit denen wir SBOMs auswerten können.
Zielpublikum: Architekten, Entwickler, Entscheider
Voraussetzungen: Projekterfahrung, Risk Management
Schwierigkeitsgrad: Advanced
Dr. Marco Bungart arbeitet seit 2018 als Senior Software Engineer bei der ConSol GmbH.
Seine fachlichen Schwerpunkte sind Clean Architecture, Automatisierung, Quarkus und Applikationsmodernisierung.
In an era where digital transformation is paramount, regulatory frameworks like the European Data Act and the upcoming Financial Data Access (FIDA) are reshaping the landscape of data management and security. Our presentation aims to demystify the complexities of API security and user consent management under these new regulations, drawing parallels from the successful GSMA Open Gateway Initiative in the telecommunications sector.
Key Points of Discussion:
Introduction to API Challenges in Regulated Industries:
- Importance of compliance with upcoming regulations such as the European Data Act and FIDA.
- The role of API management in enhancing security and operational efficiency.
Insights from Telecommunications: The GSMA Open Gateway Initiative as a Model:
- How the telecommunications industry has successfully implemented standardized API protocols and consent management systems.
- Lessons learned and best practices applicable to the financial and insurance sectors.
A Simplified Framework for API Security and Consent Management:
- Introduction of a straightforward, effective framework for enhancing API security with a focus on OAuth2, fine-grained authorization, and avoiding overengineering.
- Practical application of the framework to ensure compliance and improve user experience.
Implementation in Finance and Insurance:
- Tailoring the framework to meet the specific needs of the finance and insurance industries.
- Integration of apinity’s solutions (Xplore, Xact, Xpand) to facilitate regulatory compliance and data security.
Future Outlook and Industry Impact:
- Predictive insights into the evolution of API security frameworks and their implications for regulatory compliance.
- How continued innovation will influence the landscape of financial and insurance services.
Interactive Q&A Session:
- Engaging with the audience to address specific queries and discuss potential challenges and solutions in API management.
Target Audience: Software Architects and Engineers, IT Security Professionals, API Managers and Developers
Prerequisites: Understanding of APIs, OAuth2, Awareness of Data Security, Interest in Digital Transformation
Level: Advanced
David Vazquez Cortizo holds a Ph.D. in Applied Mathematics from the University of Antwerp, an executive MBA from IE Business School, and has a background in telecommunication engineering at the University of Vigo. David has worked in star programs for large high-tech organizations (Motorola, Freescale, TI, Nokia, HERE), has delivered industrial software and electronics for a regulated industry (Knorr-Bremse Railway), and has successfully led the growth phase of a German start-up in fintech (smava). Since 2019 he has been focused on building up apinity and turning APIs into first class citizens of the business & operations of 21st century companies.
Vortrag Teilen
The pace of innovation in generative AI offers immense opportunities while also introducing new security challenges. As organizations seek to leverage generative AI for innovation, security leaders must take concrete steps to enable rapid experimentation without compromising security.
We will then discuss key strategies for securing generative AI applications, including threat modeling, guardrails, observability, and evaluation of effectiveness of security measures. Through case studies and practical examples, we will show how to apply these strategies in real-world scenarios. Attendees will learn how to identify and mitigate potential risks, and how to evaluate the effectiveness of their security measures.
Target Audience: Security leaders, developers, practitioners, decision makers, software architects, CTOs
Prerequisites: Interest to learn about new technology
Level: Advanced
Manuel Heinkel is a Solutions Architect at AWS, working with software companies in Germany to build innovative and secure applications in the cloud. He supports customers in solving business challenges and achieving success with AWS. Manuel has a track record of diving deep into security and SaaS topics. Outside of work, he enjoys spending time with his family and exploring the mountains.
Puria Izady is a Solutions Architect at AWS, helping software companies in Germany build innovative SaaS solutions. With a background in machine learning and generative AI, he brings technical expertise and business acumen to design AI/ML driven applications at scale. Puria collaborates closely with customers, understanding their needs and tailoring solutions to meet their specific goals. Before joining AWS, Puria worked in a global bank where he modernized a monolithic stack to a scalable and agile architecture while ensuring security and compliance. Outside of work, Puria enjoys exploring new countries and fine-tuning his secret pizza recipe.
Vortrag Teilen
Obwohl moderne Entwicklungstools das Risiko unbeabsichtigter Sicherheitslücken verringern, bleibt das Thema Sicherheit in Unternehmen hochaktuell. Der Einsatz leistungsstarker KI-Systeme bietet neue Wege, Sicherheitsprozesse zu optimieren und zu automatisieren.
In dieser Session zeigen wir, wie traditionelle Scan-Tools (SAST, SCA) mit den Fähigkeiten von Large-Language-Modellen (LLM) kombiniert werden können, um:
- False- sowie Negative-Positives zu reduzieren,
- den Fokus auf kritische Sicherheitsbefunde zu legen,
- die Analyse und Bewertung von Befunden zu verbessern,
- spezialisierte Tools in größerer Anzahl effektiv einzusetzen.
Wir vergleichen Tausende manuell und per LLM analysierte Befunde und beleuchten die Unterschiede zwischen freien und proprietären Modellen.
Zielpublikum: Entwickler, Architekten, Sicherheitsverantwortliche
Voraussetzungen: Grundlegendes Verständnis für gängige Schwachstellen im Code werden vorausgesetzt
Schwierigkeitsgrad: Advanced
Mirko Richter ist Software-Security-Berater, Sourcecode-Analyse-Spezialist und Schulungsleiter für Grundlagenschulungen bis hin zu Advanced-Coding- und Secure-SDLC-Trainings. Er beschäftigt sich seit Mitte der 90er-Jahre mit Softwareentwicklung, -architektur und -sicherheit. Er ist Sprecher auf Konferenzen und Autor mehrerer Fachartikel.
Wie gehen Unternehmen im Bereich kritischer Infrastrukturen (KRITIS) ihre ersten Schritte in die Cloud? Sicher, mit On-Premises-Infrastruktur und BSI-Zertifizierung!
Mit diesem Vortrag teilen wir unsere Erfahrungen aus einem solchen Projekt. Wir betrachten dabei das IT-Grundschutz-Kompendium mit seinen Anforderungen (wie bspw. zu Backup/Recovery, IAM, Policy Enforcement und Netzwerkisolation) und erläutern mit welchen Konzepten wir diese Anforderungen umgesetzt haben.
Parallel zum Vortrag setzen wir die Umgebung automatisiert auf und erläutern die konkreten Ansätze bei der Umsetzung, beispielsweise GitOps, CIS Benchmarks und Tools wie unter anderem Rancher, Istio und Kubewarden.
Teil des Vortrags werden auch die Herausforderungen sein, die unweigerlich auftreten, wenn Unternehmen erste Schritte in Richtung Cloud gehen.
Zielpublikum: Architekten, Entwickler, Projektleiter, Manager, Entscheider, DevOps Engineers
Voraussetzungen: Erfahrungen mit Cloud-Konzepten, insbesondere Kubernetes, virtuelle Netzwerke
Schwierigkeitsgrad: Advanced
Spannende Themen, die ausprobiert und angeeignet werden wollen, fesseln Mirko Quarg gern bis in die späte Nacht. Dein Deep Dive ist sein Sneak Peek. Als Security-Spaßbremse bei pentacor schließt er Sicherheitslücken und kennt sich darüber hinaus mit IT-Architektur, DevSecOps, Infrastructure, Config Management, und und und aus.
Vortrag Teilen
This talk presents an experience report on utilising Artificial Intelligence (AI) as an intelligent assistant for a team of DevOps Engineers responsible for operating a critical customer system 24/7. Given the complexity and criticality of the supported system, the DevOps team has built a comprehensive library of how-to guides, documenting specific incident cases and their solutions.
However, accessing and following the appropriate guidelines requires diligent analysis, experience, and a high level of concentration from the on-duty personnel. To address this challenge, we have developed an AI-based assistant using a Large Language Model (LLM), which takes the incident description as input and guides the DevOps Engineer through the necessary steps to resolve the incident.
The AI assistant performs the following functions:
- Suggests the appropriate incident resolution process by matching the error description with the how-to library.
- Parameterises necessary database or log queries specific to the incident case.
- Generates intermediate steps required for documentation purposes.
During this talk, we will present the system setup, the AI-based services employed, and the challenges encountered in providing context information to the LLM. Additionally, we will discuss our learnings and solutions regarding the selection of suitable prompts for the LLM.
The insights shared in this experience report shed light on the practical implementation of AI as an intelligent assistant for 24/7 incident resolution. By leveraging AI technologies, organisations can enhance their incident resolution processes, improve efficiency, and reduce the reliance on human expertise.
Target Audience: Developers, Project Leader, Decision Makers
Prerequisites: None
Level: Basic
Bastian de Groot has a diverse background spanning system administration, cloud engineering, and AI initiatives. Throughout his career, he has adapted to and actively shaped fundamental changes in IT systems operations, from building operating systems for measuring devices to migrating enterprises to the cloud. Currently, as part of the AI4U initiative at MaibornWolff, he is focused on integrating generative AI into everyday business operations.
Tim Chen is a Software Engineer at MaibornWolff, specializing in AI-driven solutions. He has contributed to the development of AI-assisted tools, leveraging his expertise in natural language processing and large language models. With a strong foundation in software engineering, Tim has significant experience in full-stack development and AI integration through his involvement in various projects.
Vortrag Teilen