Konferenzprogramm

Unsere Empfehlung: Die Virtual Deep Dives

Mehr als 30 Jahre OOP-Erfahrung trifft auf moderne Innovation: Taucht mit uns tief in die wichtigsten Themen gegenwärtiger Software-Architektur ein – auf den "Virtual Deep Dives | powered by OOP".

Diese Konferenz versteht sich als Online-Ergänzung zur OOP München und bietet die Möglichkeit, sich intensiv und interaktiv mit den neuesten Trends und Best Practices in der Software-Architektur auseinanderzusetzen. Unsere Expert:innen und Branchenführer werden tiefe Einblicke in ihre Arbeitsweise geben und wertvolles Wissen teilen, das Sie direkt in Ihre Projekte integrieren können.

» Zu den Virtual Deep Dives

Rückblick auf das Programm der OOP München 2024

Die im Konferenzprogramm der OOP 2024 angegebenen Uhrzeiten entsprechen der Central European Time (CET).

Thema: Security

Nach Tracks filtern
Nach Themen filtern
Alle ausklappen
  • Montag
    29.01.
  • Dienstag
    30.01.
  • Mittwoch
    31.01.
  • Donnerstag
    01.02.
, (Montag, 29.Januar 2024)
10:00 - 17:00
Mo 1
Limitiert Einführung ins Threat Modeling
Einführung ins Threat Modeling

Threat Modeling hilft, Gefahren für die Software- und Systemlandschaft, Prozesse und die Organisation schon frühzeitig zu erkennen und somit passende Gegenmaßnahmen rechtzeitig zu entwickeln. Threat Modeling sollte demzufolge ein normaler Bestandteil des Software Development Lifecycle sein.

Max. Teilnehmendenzahl: 45
Laptop (mit Browserzugang) wird benötigt.

Zielpublikum: Architekt:innen, Entwickler:innen, Product Owner:innen 
Voraussetzungen: Grundlegende Erfahrungen mit der Entwicklung und Architektur von Softwaresystemen
Schwierigkeitsgrad: Anfänger

Extended Abstract:
In der Praxis indessen ist die Aufnahme von Threat Modeling in den Software Development Lifecycle oft alles andere als der Normalfall. Ein Hauptgrund dafür ist mangelndes Wissen der beteiligten Stakeholder: Projekt-Manager:innen, Product Owner, Administrator:innen, Software-Entwickler:innen und Software-Architekt:innen. Oft bedingt durch die immer noch häufig in Organisationen vorherrschende Trennung von Security, Software-Entwicklung und Betrieb.
In diesem Workshop wollen wir diese Wissenslücke schließen. In praktischen Übungen spielen die Teilnehmer:innen Threat Modeling an einem fiktiven Beispiel durch. Von Finden und Identifizieren der Assets über die Aufstellung von Attack-Trees bis hin zur Erstellung der passenden Mitigations-Strategien.

Mehr Inhalte dieser Speaker? Schaut doch mal bei sigs.de vorbei: https://www.sigs.de/autor/Christoph.Iserlohn

Christoph Iserlohn ist Senior Consultant bei INNOQ. Er hat langjährige Erfahrung mit der Entwicklung und Architektur von verteilten Systemen. Sein Hauptaugenmerk liegt dabei auf den Themen Skalierbarkeit, Verfügbarkeit und Sicherheit. Er ist Host des INNOQ Security Podcasts.

Mehr Inhalte dieses Speakers? Schaut doch mal bei sigs.de vorbei: https://www.sigs.de/experten/christoph-iserlohn/

Dimitrij Drus arbeitet als Senior Consultant bei INNOQ. Seit vielen Jahren beschäftigt er sich mit Architektur und Entwicklung von verteilten und embedded Systemen mit den Schwerpunkten Sicherheit und Verfügbarkeit.

Felix Schumacher ist Senior Consultant bei INNOQ. Er beschäftigt sich gerne mit IT-Sicherheit, testgetriebener Entwicklung und dem Betrieb und der Weiterentwicklung bestehender Systeme.

Christoph Iserlohn, Dimitrij Drus, Felix Schumacher
Raum 04
Christoph Iserlohn, Dimitrij Drus, Felix Schumacher
Raum 04

Vortrag Teilen

14:00 - 17:00
Mo 11
Ausgebucht Die 10 Gebote für sichere Software: Erfahrungen und Fallstricke beim Entwurf sicherer Software
Die 10 Gebote für sichere Software: Erfahrungen und Fallstricke beim Entwurf sicherer Software

Wir wissen heute, dass Software „Secure-by-Design“ sein sollte. Aber wie macht man das, und was sind dabei die Stolpersteine? Wir untersuchen die 10 grundlegenden Prinzipien für Softwaresicherheit und Muster für Architektursicherheit, und was man bei ihrer Anwendung richtig oder falsch machen kann. In praktischen Übungen verwenden wir Open-Source-Werkzeuge, mit denen wir Code dahingehend automatisch bewerten können, und Vorschläge für Verbesserungen erhalten.

Max. Teilnehmendenzahl: 16
Laptop (mit Browserzugang) wird benötigt.

Zielpublikum: Architekt:innen, Entwickler:innen, QA-Manager:innen, Projektleiter:innen
Voraussetzungen: Grundlegendes Verständnis von Softwareanwendungen
Schwierigkeitsgrad: Anfänger

Extended Abstract:
Ihr erlangt einen Einstieg und Überblick zu sicheren Softwarearchitekturen, sowie insbesondere grundlegende konzeptionelle Kenntnisse zur IT-Sicherheit im Umfeld von Softwareanwendungen und einfache praktische Kenntnisse im Umgang mit der IT-Sicherheit im Kontext der Entwicklung und des Einsatzes von Softwareanwendungen und ihrer Architekturen.
Die 10 grundlegenden Prinzipien für Softwaresicherheit und Muster für Architektursicherheit werden vorgestellt.
Das Seminar stellt Schutzmaßnahmen und Best Practices zur Vorbeugung gegen typische Schwachstellen in Softwareanwendungen auf Basis der „OWASP Top 10 Security Vulnerabilities“ bereit. Ein vorgestellter Leitfaden gibt Hinweise für ein systematisches Vorgehen zur Erstellung sicherer Softwarearchitekturen. Dabei werden sowohl bereits bestehende als auch neu zu entwickelnde Anwendungen betrachtet.
Der Maßnahmenkatalog richtet sich an Projektleiter und Softwareentwickler, die sichere Softwarearchitekturen für Webanwendungen konzipieren und implementieren.
In praktischen Übungen verwenden wir Open-Source-Werkzeuge, mit denen wir Code dahingehend automatisch bewerten können, und Vorschläge für Verbesserungen erhalten. Die Teilnehmer werden sich dabei in die Rolle des Angreifers begeben und u.a. die (absichtlich unsicher entwickelte) Webanwendung „Google Gruyere“ angreifen.

Raum 12
Raum 12

Vortrag Teilen

, (Dienstag, 30.Januar 2024)
16:15 - 17:15
Di 3.3
Ignorieren bis es knallt? Security-Analysen aus Entwickler- und Management-Perspektive
Ignorieren bis es knallt? Security-Analysen aus Entwickler- und Management-Perspektive

Statische Analysetools liefern Security-Findings, aber ihre Wirksamkeit wird durch hohe Fehlalarme beeinträchtigt. Entwickler ignorieren diese, während das Management sie als kritisch betrachtet, sowohl aufgrund möglicher Angriffe als auch im Hinblick auf Security-Audits. Dadurch entstehen unnötige Kosten und Verzögerungen. In unserem Vortrag teilen wir 10 Jahre Erfahrung, präsentieren typische Sicherheitsprobleme und effektive Analyseansätze. Zudem stellen wir bewährte Methoden für kontinuierliches Monitoring und Schwachstellenabbau vor.

Zielpublikum: Entwickler:innen, Architekt:innen und Manager:innen mit Verantwortung für Security
Voraussetzungen: Interesse an hoher Sicherheit von Software
Schwierigkeitsgrad: Anfänger

Extended Abstract:
Es gibt inzwischen viele statische Analysetools, auch kostenlose, die Security-Findings für die eigene Code-Basis erzeugen. Diese potenziellen Sicherheitslücken werden jedoch sehr unterschiedlich wahrgenommen: Aus Entwickler-Perspektive ist es oft frustrierend, wie hoch der Anteil an False Positives (also Fehlalarmen) ist. Daher sehen wir in vielen Projekten, dass die Findings ignoriert oder im Analysetool abgeschaltet werden. Aus Management-Perspektive werden solche Findings jedoch oft als kritisch bewertet. Einerseits, weil einige davon tatsächliche Angriffe ermöglichen. Andererseits, weil solche Findings bei einem (vorgeschriebenen) Security-Audit oft selbst dann aufschlagen, wenn es sich um False Positives handelt. Allerdings sind diese Findings dem Management oft bis zu einem konkreten Audit unbekannt. In Kombination führen diese beiden Perspektiven dazu, dass die Findings ignoriert werden, bis es knallt. Das ist nicht nur schmerzhaft für alle Beteiligten, sondern auch unnötig teuer, da die späte Behebung von Findings viel teurer ist, als ihre frühe Vermeidung. Im Vortrag fassen wir 10 Jahre Erfahrung aus der Analyse von vielen Systemen in unterschiedlichsten Branchen zusammen. Dabei geben wir einen Überblick, welche Security-Probleme wir typischerweise finden und durch welche Analyseansätze sie aufgedeckt werden können. Außerdem präsentieren wir ein Vorgehen zum kontinuierlichen Monitoring und Abbau von Schwachstellen, das sich bei verschiedenen Teams bewährt hat.

Nils Göde ist Experte für Software-Qualität und leitet bei der CQSE das Team Software-Audits. Er besitzt langjährige Erfahrung in der Bewertung der Zukunftssicherheit komplexer Softwaresysteme.

Ann-Sophie Kracker ist Beraterin für Software-Qualität. Sie betreut Kunden aus verschiedensten Branchen, um eine langfristige Steigerung der Software-Qualität sicherzustellen.

Nils Göde, Ann-Sophie Kracker
Raum 13a
Nils Göde, Ann-Sophie Kracker
Raum 13a

Vortrag Teilen

17:45 - 18:45
Di 9.4
Generative AI for Cybersecurity
Generative AI for Cybersecurity

Security engineering from TARA and security requirements to security testing demand mechanisms to generate, verify, and connect the resulting work products. Traditional methods need lots of manual work and yet show inconsistencies and imbalanced tests. Generative AI allows novel methods with semi-automatic cyber security requirements engineering, traceability, and testing. In this industry presentation, we show two promising approaches with NLP and transformers and how to embed them into an industry-scale security pipeline from TARA to test.

Target Audience: Test Engineers, QA Experts, Security Experts, Requirements and Systems Engineers
Prerequisites: Some background on security and testing. We will hands-on introduce the AI methods.
Level: Advanced

Extended Abstract:
Security engineering from TARA and security requirements to security testing demand mechanisms to generate, verify, and connect the resulting work products. Traditional methods need lots of manual work such as for traceability and yet show little impact when looking at the many inconsistencies and imbalanced tests. NLP especially transformers allow novel methods with semi-automatic cyber security requirements engineering, traceability, and testing.
We focus here on using generative AI with NLP because they can support the methods described in the standard while there is no need to change the form of representation from what is required by cybersecurity standards and respective stakeholders. Especially the use of Large Language Models (LLM) for text generation, aggregation, and classification has recently proven promising to improve the efficiency and effectiveness of security analysis and tests.
Grey Box Penetration Testing is an approach where only publicly available information is used to perform an attack on the SUT. This often requires massive research effort. Threat catalogs were known and often used threats are recorded can increase the performance while testing. To provide additional aid we are currently working towards building an AI-supported threat catalogue. Therefore, we use a special transformer model which is specialized in searching and summarizing information. When fed with known information about the SUT this model searches all available databases like CVE or CAPEC, previously recorded attack patterns, and other contextual information available and gives the penetration test engineer an initial idea of how to approach an attack on the SUT.
Using the AI to generate both grey and white box attack paths is an approach to check how much information about the system or components such as libraries and dependencies which are used in the SUT are available. Having introduced these methods to the security life-cycle, we will in the next step better integrate the tools. This will facilitate a swift turn-around upon changes in an agile delivery pipeline and thus achieve consistency from TARA to security requirements and (regression) test cases.
Vector together with the University of Stuttgart has developed transformers and generative AI-based methodologies for the specification and validation of cybersecurity requirements with the goal to increase productivity and quality.
In this industry presentation, we practically show how generative AI can scale into an industry-scale security pipeline.

Mehr Inhalte dieses Speakers? Schaut doch mal bei sigs.de vorbei: https://www.sigs.de/autor/christof.ebert

Christof Ebert is the managing director of Vector Consulting Services in Stuttgart, Germany. He holds a PhD from University of Stuttgart, is a Senior Member of the IEEE and teaches at University of Stuttgart and Sorbonne university in Paris. Cybersecurity has been his focus since studying in USA and directly contributing against the Morris worm.

Mehr Inhalte dieses Speakers? Schaut doch mal bei sigs.de vorbei: https://www.sigs.de/experten/christof-ebert/

Christof Ebert, Maximilian Beck
Raum 12a
Christof Ebert, Maximilian Beck
Raum 12a

Vortrag Teilen

, (Mittwoch, 31.Januar 2024)
17:00 - 18:00
Mi 2.4
Secure by Design – the Architect’s Guide to Security Design Principles
Secure by Design – the Architect’s Guide to Security Design Principles

Architecture work has to balance providing clear guidance for important decisions with empowering people to build their aspects of the system without interference. In this session we'll explore how security principles can help achieve this for application security. The talk explains how principles can guide design decisions without being too prescriptive and explains a set of ten proven principles for designing secure systems, distilled from security engineering practice but presented in accessible language for the working software architect.

Target Audience: Architects, Developers, Testers, Project Managers
Prerequisites: Some experience in developing large scale systems
Level: Advanced

Extended Abstract:
Security is an ever more important topic for system designers. As our world becomes digital, today’s safely-hidden back office system is tomorrow’s public API, open to anyone on the Internet with a hacking tool and time on their hands. So the days of hoping that security is someone else’s problem are over.
The security community has developed a well understood set of principles used to build systems that are secure (or at least securable) by design, but this topic often isn’t included in the training of software developers, assuming that it’s only relevant to security specialists. Then when principles are explained, they are often shrouded in the jargon of the security engineering community and so mainstream developers struggle to understand and apply them.
In this talk, we will introduce a set of ten key, proven, principles for designing secure systems, distilled from the wisdom of the security engineering community. We’ll explain each principle the context of mainstream system design, rather than in the specialised language of security engineering, explaining how it is applied in practice to improve security.

Mehr Inhalte dieses Speakers? Schaut doch mal bei sigs.de vorbei: https://www.sigs.de/autor/Eoin.Woods

Eoin Woods is the Chief Engineer at Endava (www.endava.com) where he is responsible for delivery capability and innovation. In previous professional lives he has developed databases, security software and way too many systems to move money around. He is interested in software architecture, software security, DevOps and software energy efficiency. He co-authored three books on software architecture and received the 2018 Linda Northrup Award for Software Architecture, from the SEI at CMU.

Mehr Inhalte dieses Speakers? Schaut doch mal bei sigs.de vorbei: https://www.sigs.de/experten/eoin-woods/

Eoin Woods
Raum 01
, (Donnerstag, 01.Februar 2024)
14:30 - 15:30
Do 1.3
Zero Trust – Erfahrungsbericht
Zero Trust – Erfahrungsbericht

Zero Trust ist anfangs ein Schlagwort, das von jedem Unternehmen individuell interpretiert werden muss. Während Slogans wie "Never trust, always verify" allgemeine Zustimmung finden, gibt es schnell kontroverse Diskussionen, wenn man ins Detail geht. Steht das Netzwerk, die Identität, die Daten oder die Geräte im Vordergrund, oder geht es letztendlich um die Systeme?
In diesem Vortrag möchte ich unsere Erfahrungen mit Dir teilen, die wir bei der Implementierung von Zero Trust in der Deutschen Telekom gesammelt haben.

Zielpublikum: Architekt:innen, DevOps, technische Verantwortliche
Voraussetzungen: Basis-Verständnis von IT-Architektur
Schwierigkeitsgrad: Fortgeschritten

Extended Abstract:
Dieser Konferenzvortrag bietet einen Erfahrungsbericht zur Implementierung einer Zero-Trust-Sicherheitsarchitektur im organisatorischen Kontext. Die Teilnehmer erhalten Einblicke in die praktischen Aspekte, Herausforderungen und Vorteile der Übernahme von Zero-Trust-Prinzipien.
Die Sitzung beginnt mit einer Einführung in Zero Trust, wobei die Notwendigkeit eines Paradigmenwechsels in Sicherheitspraktiken betont wird. Der Redner teilt seine Erfahrungen aus der realen Welt und behandelt wichtige Komponenten wie Identität, Netzwerk, Clients, Daten und insbesondere Systeme. Es werden Herausforderungen während der Implementierung angesprochen, einschließlich organisatorischem Widerstand und Ressourcenzuweisung.
Die Teilnehmer gewinnen praktisches Wissen und handlungsorientierte Einblicke aus dieser aus erster Hand stammenden Implementierungserfahrung.
Während das Konzept für Zero Trust je nach Unternehmen stark variieren mag, bleiben doch stets dieselben Fragestellungen bestehen, denen wir begegnen müssen.

Waldemar Schäfer ist als Senior Enterprise Architect bei der Deutschen Telekom tätig und hat seinen aktuellen Schwerpunkt auf dem Thema "Security by Design". In den letzten 15 Jahren lag sein Fokus hauptsächlich auf der Entwicklung skalierbarer Frontend-Architekturen.

Waldemar Schäfer
Raum 13b
Waldemar Schäfer
Raum 13b

Vortrag Teilen

Zurück