Walter Fraißler, Florian-Sebastian Prack & Paul Mader | VERBUND

Es wird gezeigt, wie das Security Operation Center, das SOC, als „Blue Team“ durch ein internes „Red Team“ gleichsam in einem Katz- und Maus-Spiel immer wieder herausgefordert und getestet wird. Diese Vorgehensweise hilft dabei, existierende Schwachstellen und Lücken zu identifizieren und zu bearbeiten. Dargestellt wird das anhand eines Beispiels einer Zero-Day Schwachstelle.

Über den internen Zuwachs von Wissen und Erfahrungen ist auch die Kommunikation in „Trusted Communities“, wie dem Austrian Energy CERT ein wichtiger Faktor in der Bewältigung der aktuellen Herausforderungen, sowie die Einbindung von internationalen Threat Feeds, um immer auf den neusten Stand zu sein.
In den vergangenen drei Jahren haben wir eine umfangreiche Systemlandschaft aufgebaut, welche wir gerne vorstellen und auch unseren Ansatz eines effizienten und effektiven Security-Teams.

*** Aus rechtlichen Gründen wird dieser Vortrag nicht gestreamt. ***

Johann Stockinger | T-Systems Austria

Incident Response kann eine herausfordernde, anstrengende und stressige Arbeit sein. Sie kann auch sehr interessant sein. Und Spaß machen. Zumindest im Nachhinein. Dieser Vortrag behandelt einige der bizarren und skurrilen Incidents die T-Systems in den letzten Jahren behandelt hat. Von Gespenstern, Kunden die ihre eigenen Systeme vergessen und Zwischenberichte die an Angreifer gingen, gab es einiges das uns zwar einiges an Kopfweh bereitet hat, in Retrospektive aber doch amüsant ist. Alle diese Fälle, sowie der generelle Großteil aller Incidents, beruhen auf der Tatsache, dass grundlegende Prinzipien nicht befolgt werden. Ziel dieses Vortrags ist es lustige Anekdoten mit ernsteren Lektionen zu verbinden und zu zeigen, wie diese den Schaden von Incidents minimieren, oder sogar komplett verhindern können.

*** Aus rechtlichen Gründen wird dieser Vortrag nicht gestreamt. ***

Alexander Tauber, Stefan Pfeiffer & Mikail Bulduk | Accenture

Die zunehmende Komplexität von Unternehmensnetzwerken macht es nötig, Informationssicherheit permanent neu zu denken und Taktiken zu ihrer Gewährleistung zu entwickeln. Ein kreativer Ansatz dieser Arbeit ist die Anwendung von Taktiken aus dem Spiel Star Craft 2 (SC2) auf Cyberabwehrstrategien. Hier kommen demnach einige weithin bekannte und genutzte Strategien zum Einsatz. Manche andere dieser Zugänge zur Entwicklung neuer Strategien sind dagegen bisher nicht in Unternehmen etabliert. Es können jedoch nicht nur explizite Maßnahmen abgeleitet werden, sondern auch das nötige Mindset, um in einem Wettbewerbsumfeld mit Anderen Schritt zu halten und die erforderlichen Fähigkeiten kritisch zu hinterfragen und zu verbessern.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Felix Eberstaller | Limes Security

Seit Ende letzten Jahres bekämpfen wir eine cyber-physikalische Angriffskampagne auf Gebäudeautomationssysteme (BAS) in Europa, die auf KNX basieren. KNX ist eines der am weitesten verbreiteten Protokolle, das für die Automatisierung von Jalousien bis hin zum Luftdruck für den Zahnarztstuhl verwendet wird.  

Ein unbekannter Bedrohungsakteur nutzt derzeit einen Konstruktionsfehler im Protokoll, um standortweite Konfigurationen zurückzusetzen und die Geräte zu sperren, so dass sie ihre eigentliche Automatisierungsaufgabe nicht mehr erfüllen können. Wir stellen unsere Forschungsergebnisse vor, wie man auf diesen Angriff gegen einen Angreifer mit einem Zufallsschlüssel reagieren kann. Darüber hinaus beschreiben wir unsere Forschungsansätze zur Wiederherstellung von BAS-Geräten, welche Probleme bei der Extraktion der Schlüssel auftreten und welche Erfahrungen wir dabei gemacht haben, was funktioniert hat und was nicht.  

Schließlich werden wir erörtern, welche Schlussfolgerungen Incident Responder im Hinblick auf die Vorbereitung auf CPS-Angriffskampagnen ziehen sollten und wie diese Angriffe verhindert werden können.

*** Aus rechtlichen Gründen wird dieser Vortrag nicht gestreamt. ***

Gideon Teubert | K-Businesscom

Seien wir uns ehrlich:

• Wer möchte denn nicht mehr über Incident Response erfahren?
• Wer möchte denn nicht hören, wie Angreifer österreichische Unternehmen tatsächlich übernehmen?
• Wer möchte denn nicht konkrete Taktiken sowie Techniken von derzeitigen Angreifern erfahren?
• Wer möchte aufhören dutzende News Feeds zu lesen, um schlussendlich nur zu erfahren, dass Firma XY irgendwie gehackt wurde?

Aus diesem Grund behandelt dieser Vortrag praktische, konkrete und tatsächlich aufgetretene Incident-Response-Erfahrungen aus Österreich. Es werden extraordinäre sowie erfinderische Techniken, Artefakte sowie anderweitige abnormale Erscheinungen von Angreifern, welche wir in unseren Incident-Response-Analysen angetroffen haben angeführt. Von On-Demand Backdoors, über vulgäre C&C Server bis hin zu Angreifern, die Ihre Systeme netterweise „patchen“.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Stefan Prinz & Daniel Kroiss | KPMG

Immer mehr Organisationen setzen inzwischen auf Managed Security Operation Centers (SOCs). Diese professionellen Dienstleister ermöglichen eine 24/7-Überwachung der IT-Infrastruktur ihrer Kunden zu einem verhältnismäßig geringen Preis, um Angriffe möglichst frühzeitig zu erkennen und zu verhindern. Wir beobachten, dass es häufig die Erwartungshaltung gibt, sich ein Managed SOC anzuschaffen, damit alle Securityprobleme auszulagern und erledigt zu haben. 

In diesem Vortrag werden Daniel Kroiss und Stefan Prinz anhand eines Fallbeispiels aus der Praxis einige versteckte Fallstricke erarbeiten, die sich oft erst unmittelbar im Incidentfall zeigen, um daraufhin zu erläutern in welchen Belangen ein Managed SOC einen großen Mehrwert liefern kann, und welche Verantwortungen und Tätigkeiten nicht so einfach ausgelagert werden können.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Daniel Haslinger & Christoph Lang-Muhr | FH St. Pölten

Auch 2022 schließen wir die diesjährige IT-SECX mit einem Streifzug durch Ereignisse und Meldungen des vergangenen Jahres, beleuchten und hinterfragen, was sich in Bezug auf das Netz und die Security so alles getan hat und versuchen uns in der Kunst der Wahrsagerei.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Marina Krotofil 

In recent years, we have witnessed a growing volume of research on the security of embedded systems used in industrial process control applications, including Programmable Logic Controllers (PLC) and Remote Terminal Units (RTU). This increased interest reflects both the large number of “low-hanging fruit” vulnerabilities, making industrial controllers attractive research targets, and an increased interest from adversaries to subverting industrial processes. To date, research efforts have predominantly focused on firmware vulnerabilities, or bypassing traditional security controls implemented as part of the PLCs software. In this talk, we will introduce a novel exploitation vector, one previously unconsidered in existing works.

More specifically, we will show how PLC programming practices, user APIs, and memory allocation for function blocks from the Library Functions open the door to automated enumeration of PLC control logic, identification of key infrastructure configuration parameters and process control variables, and their consequent targeted manipulation to achieve a desired attack impact. Additionally, allocated but unused memory can be applied to the establishment of covert C2 channels, through which attackers can run standard security tools, exfiltrate data and execute high-precision cyber-physical attacks on previously inaccessible network segments. To keep the story realistic and interesting, we formulate our threat scenario around a realistic industrial network architecture with the advisable security measures, including the integration of network monitoring and segregation from the Internet via firewalls.

The set of proposed exploitation techniques is stealthy and allows for the development of fully automated physical damage payloads of high precision, significantly raising the level of attacker capabilities. The main purpose of this talk is to initiate a discussion around the need for guidance and best practices to support DevSecOps for industrial equipment, which take into account the engineering designs of equipment, and specifics of its usage in cyber-physical applications. Current PLC software designs and programming practices are still largely under-researched. With this talk, we provide an example of their unexplored attack surface and a novel vulnerability class, and invite the security community to further research into the topic.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Thomas Weber | CyberDanube

Every year, numerous big and small incidents in industrial environments, for example in power plants, factories, or in the food supply find their way into newspapers. All those affected industries are backed by highly branched and historically grown Operational Technology (OT) networks. A big portion of such incidents could have been avoided, if network segmentation was done correctly and patches for user devices (not always possible in OT) were installed. Despite such known problems, which also lead to the compromise of traditional IT networks, a bunch of unknown vulnerabilities are unfortunately also present in OT infrastructure. OT in modern factories consists of networked (and smart) devices, especially on level 1, also called the control level, of the Purdue model. Devices, such as PLCs, industrial router/switches, data diodes, and more cannot be easily tested if they are in use by the factory. Therefore, solutions for classification and monitoring from different vendors are in use to not put the running infrastructure at risk.

These non-intrusive ways for getting a picture about the running infrastructure only give a partial overview of the vulnerability landscape in the OT network but cannot detect unknown vulnerabilities. Testing such expensive devices instead of using them is often not desired due to the price, and spare items must be available, which is the reason why those devices can't be touched too. For this reason, digital twins – in terms of virtualization – from the devices in the factory should be created for pentesting purposes. These twins can be built with different tools (open source/ closed source) and  have been used for identifying 0-days during an ongoing research project.

After the creation, the virtual appliances were connected to form a full fletched OT network, to imitate a real industrial environment. Testing those virtual appliances does not harm the real infrastructure, but provides a lot of valuable information about the systems in scope. This was tested in practice during engagements and has been recreated and edited for a talk which also includes vulnerabilities that were discovered during such a test setup.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Claudia Ully | NVISO

Making a quick bank transfer, tracking our next run, sending photos of the kids to their grandparents, or ranting about politics in our private chat group – our smartphones have become a treasure trove for those with malicious intents. Still, awareness of mobile malware threats is still far less prevalent than it is for common computer systems. But how exactly do attackers gain access to mobile devices? In this presentation, we will examine current examples of Android malware and the techniques they use to turn your mobile phone into a nightmare. You will learn when you should get suspicious and what to do (and not to do) to protect yourself from becoming a victim.

*** Aus rechtlichen Gründen wird dieser Vortrag nicht gestreamt. ***

Steffen Robertz | SEC Consult Unternehmensberatung

Electronic Shelf Label (ESL) tags are increasing in popularity. More and more stores switch their price tags to digital ones for various reasons, such as competing with online wholesalers. In this talk, we will show how we analyzed the 433MHz connection of a popular ESL tag and identified multiple security flaws that allowed us to spoof the RF signal and display arbitrary content on the displays. Furthermore, the original manufacturer of the E-Tag labeled microcontrollers was discovered. This talk will give an overview of analyzing unknown hardware with an unknown RF protocol without any prior known research.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Jovan Zivanovic | SBA Research

With the plans of increasing the number of reverse vending machines in Europe, it is relevant to take a look at the implemented security mechanisms of such vending machines [1,2].  Currently, in Austria, most stores provide such machines for the return of glass bottles, however, the government wants to also have an addition of vending machines for plastics. Security plays an important role with these machines, as they exchange the bottles for money and an insufficient security mechanism could allow attackers to practically print money. It is not uncommon for such machines to be targets of malicious actors. [3,4,5] We took a look at the vending machines present in most supermarkets in Vienna and figured out that some machines are not secured enough. In many cases, we found that the generated receipts – used at the cash register to be exchanged for money – are not secure enough. By analyzing several previously printed receipts, attackers can use an ESC printer to create forged receipts.  Furthermore, we tested our attack with one store and were able to exchange our forged receipt for real goods.  Our results show that this is not a single store that is improperly secured, but rather whole supermarket chains. This makes the vulnerability even more severe as, as far as we can tell, it affects whole supermarket chains that provide such reverse vending machines.  

*** Dieser Programmpunkt wird live via YouTube übertragen. ***


[1] https://infothek.bmk.gv.at/pfandsystem-fuer-oesterreich-3-punkte-plan/
[2] https://oesterreich.orf.at/stories/3125584/
[3] https://www.sueddeutsche.de/panorama/pfandbetrug-urteil-kriminalitaet-1.4403519
[4] https://www.spiegel.de/panorama/justiz/koeln-betrueger-erbeutet-mit-einer-pfandflasche-44-000-euro-a-1121633.html
[ 5] https://www.schwaebische-post.de/welt/verbraucher/aldi-discounter-betrug-pfand-pfandbon-abzocke-flaschen-trick-polizei-kunden-zr-90005672.html

Christian Kurta | Palo Alto Networks

Twenty years ago, few believed self-driving cars could happen, yet here they are. Will the same principles pave the way towards self-driving security? Christian Kurta explores what an autonomous SOC looks like, why it's needed, and how getting there requires a revolution in innovation. Christian will also detail potential pitfalls along the way.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Michael Strametz | SySS

Vertrauliche Daten zu verschlüsseln war schon immer eine gute Idee, insbesondere wenn diese auf kleinen, tragbaren Geräten wie externen Festplatten oder USB-Sticks gespeichert werden. Denn im Falle eines Verlustes oder Diebstahls eines solchen Speichermediums, möchte man ganz sicher sein, dass ein unberechtigter Zugriff auf die vertraulichen Daten nicht möglich ist. Leider werden auch im Jahr 2022 immer noch "sichere" tragbare Speichermedien mit 256-AES-Hardwareverschlüsselung und manchmal auch zusätzlich mit biometrischer Technologie verkauft, die bei einer genaueren Betrachtung nicht sicher sind.

In diesem Vortrag werden Ergebnisse eines aktuellen Forschungsprojekts zu "sicheren" tragbaren Speichermedien präsentiert. Diese Forschungsarbeit setzt die lange Geschichte von unsicheren tragbaren Speichergeräten mit AES-Hardwareverschlüsselung fort, die schon viele Jahre zurückreicht. Im Rahmen dieser Präsentation soll das Bewusstsein für entsprechende Sicherheitsprobleme und für praktische Angriffe hinsichtlich dieser Geräteklasse geschärft werden.

Hassan Mohamad | Sec-Research

Full Disk Encryption wird eingesetzt, um die sensiblen Daten auf unseren Computern im Ruhezustand und am Transportweg zu schützen, wird aber im Allgemeinen nur dann als wirksam angesehen, wenn der Computer ausgeschaltet ist. Unsere Geräte bleiben jedoch oft eingeschaltet oder im Ruhezustand, während sie unbeaufsichtigt und lediglich durch den Anmeldebildschirm des Betriebssystems geschützt sind. Dieser Vortrag beleuchtet die Angriffsfläche von modernen Computern unter diesen Umständen in Abhängigkeit von ihrer Konfiguration und ihrem Zustand. Zusätzlich werden Handlungsempfehlungen genannt, die Endbenutzer und Administratoren anwenden können, um die Angriffsfläche ihrer Geräte deutlich zu reduzieren.

Herbert Dirnberger | IKARUS

Das soziale Zusammenleben ist nicht ohne kritische Infrastruktur möglich. Ein enormes Gefahrenpotential auf die strategische und kritische Infrastruktur wirkt aus der künstlichen Welt des Internets und der Informationstechnologie, dem Cyber-Raum. 

Das Jahr 2022 zeigt dass sich die Bedrohungslage enorm verändert hat und  Anschläge und Angriffe auf die kritische Infrastruktur in Österreich immer wahrscheinlicher werden.

Florian Bogner | Bee Security

Bis zu diesem Fall war mir nicht klar, dass es überhaupt einen falschen Weg gibt, Ransomware in Unternehmen zum Einsatz zu bringen. Mittlerweile weiß ich dies jedoch mit absoluter Gewissheit: Auskommentierte Zeilen in Skripten des Angreifers; Klartextlogs mit allen Details der Attacke als Programmbibliothek getarnt; „Lateral Movement“ per SMB-Dateizugriff und vieles, vieles mehr…

In diesem Vortrag schlüpfen wir in die Rolle des Incident Responders und analysieren Schritt für Schritt einen echten Cyberangriff. Als Ausgangspunkt dient dazu die Analyse eines normalen, von einem Cryptolocker, betroffenen PC. Durch die Auswertung der Logs wird schnell der interne Ausgangspunkt der Infektion klar. Bei der genaueren Überprüfung des Hosts kommen wir – bei diesem IR-Einsatz der etwas anderen Art – nicht mehr aus dem Staunen heraus.

Zusammengefasst ist mir bei diesem Fall nur eines klar: Auch Cyberkriminelle haben einen Fachkräftemangel!

Darius Beckert & Nicolas Averesch  | XSEC infosec

Sie wollten schon immer an eigener Haut erleben wie Ransomware-Gruppen den Fuß in die Tür bekommen? Und das obwohl Sie keine Zeit haben, Ihre eigene Malware zu schreiben oder nicht ausreichend Budget vorgesehen wurde, um diese zu kaufen?

Wie können Sie als Red-/Blue-/Purple-/Blurple-Teamer mit den gegebenen Restriktionen, wie etwa einem eingeschränkten Zeit- und Geldbudget, Angriffe einer Advanced-Persistent-Threat(APT)-Gruppe nachstellen?

Innerhalb dieser Präsentation bringen wir Ihnen die Welt der APT-Gruppen und Threat Emulation näher, erklären möglichst viele Akronyme und versuchen Ihnen unsere gesammelten Erfahrungen mitzubringen.

Gestartet wird mit der Planung auf der MITRE ATT&CK Matrix, dem Erstellen von Anti-Anti-Viren Tooling hinüber zum Aufsetzen der Infrastruktur. Im darauffolgenden Teil zeigen wir Ihnen die Angriffsschritte vom initialen Zugang bis zur Exfiltration auf. Hierbei werden wir eigene Erfolge und Misserfolge aufzeigen.

Markus Gierlinger | Dynatrace

Kubernetes hat sich in den letzten Jahren als eine der gängigsten Cloud-Umgebungen etabliert. Es gibt eine Vielzahl an Tools, mit denen die korrekte Konfiguration von Ressourcen in Kubernetes überprüft werden kann. Jedoch gibt es keine konkrete Referenz, anhand derer die unterschiedlichen Tools verglichen werden können, was die Auswahl des passenden Tools in der Praxis schwierig gestaltet.

Im Rahmen der Präsentation wird ein Open-Source-Tool vorgestellt, das eine potentielle Lösung für dieses Problem in Form eines Benchmarks bietet: Mithilfe des Tools ist eine Evaluierung verschiedener Kubernetes Compliance Scanner möglich, wobei die Benutzer*innen mit den Scannern nicht näher vertraut sein müssen. 

Der Benchmark ist so designt, dass alle Workloads nach den besten Vorgaben gehärtet sind. Für jeden individuellen Check gibt es ein Set an Ressourcen, in dem eine Miskonfiguration enthalten ist. Neben dem Benchmark ist auch eine Webanwendung Teil des Tools, die die Analyse und vor allem den Vergleich von gängigen Scannern erleichtert.

Thomas Wagner & Bálint Szilakszi | willhaben internet service

In a world where the number of cyber threats is competing with the number of security frameworks and solutions, it’s a real challenge to identify and implement the right solutions to counter the risks we are facing. As a fast growing and fast paced online-only company, this challenge is even bigger for willhaben than for others. While willhaben as a company strives to deliver not only great user experience and great user value, it also aims to do this fast, autonomously, and with technical excellence.

Therefore, achieving short time-to-market and an appropriate level of security at the same time requires efficiency, to integrate security deeply into the system development processes and to perform precise risk assessments. This is supported by an agile organisation that builds the foundation for all planning and continuous learning that is required.

Stefan Schubert | Frequentis

Im Juli 2022 wurden von der NIST die ersten Post-Quantenkryptografie-Algorithmen standardisiert. Wo davor im industriellen Kontext kaum davon Kenntnis genommen wurde, wird es in den nächsten Jahren im NIST-Standard-Umfeld keine Ausweichmöglichkeit mehr geben. Post-Quanten-Kryptographie wird in den Alltag einziehen. Dieser Vortrag zeigt auf, warum es notwendig ist Organisationen schon jetzt darauf vorzubereiten und wie das gelingen kann.

Martin Eßlinger | Devoteam Consulting

The protection of data confidentiality and integrity provided by public key cryptography is a  cornerstone of our digital economy. Maintaining data privacy, enabling digital trust relationships, or protecting intellectual property would not be possible without it. Recent advances in quantum computing are creating the ability to break even the strongest cryptographic keys in the near future. This talk will outline who should be concerned most by this development and what should be done to mitigate the threat of losing control over your data.

Philipp Reisinger | SBA Research

Digitale Technologien versprechen Wachstum, Effizienz, Geschwindigkeit sowie Bequemlichkeit und so befinden wir uns in einer Welt, in der die Digitalisierung rasend schnell – und oft unhinterfragt – in immer mehr Lebensbereichen voranschreitet.
Gleichzeitig führt dieser Trend zu immer neuen Risiken und Angriffsflächen, steigender Komplexität, (versteckter) Fragilität und einer immensen gesellschaftlichen, unternehmerischen und persönlichen Abhängigkeit von der korrekten und zuverlässigen Funktion dieser Technologien.

In diesem Vortrag wollen wir daher die Frage stellen: „Was sind die Grenzen der Digitalisierung und gibt es Bereiche, die analog bleiben sollten bzw. in denen der Einbau bzw. die Erhaltung von zusätzlichen manuellen Mechanismen und Fallbacks essenziell sind?“. Die Frage werden wir anhand von Beispielen aus verschiedensten Bereichen von der Stromversorgung über kritische Infrastruktur, Produktion, Reaktion auf Ransomware bis hin zu Waffensystemen & Wahlen behandeln.

Florian Plainer & André Meindorfer | Hackerspace Segmentation Vault

Sprechen wir über Wilee83 (Name von der Redaktion geändert). Wilee83 postet gerne vermeintlich unbedenkliche Inhalte, wie Fotos von seinen epischen Grafana-Dashboards, im Internet. Dabei achtet er meist auf die Wahrung der Privatsphäre. Seine Mitmenschen nehmen es damit jedoch nicht immer so genau.

Angeleitet durch die einzelnen Phasen des F3EA-Zyklus analysieren wir in diesem Vortrag Operationen der führenden Experten in Open Source Intelligence (4chan), um den Umgang mit OSINT zu lernen.

Basierend auf minimalen Informationsfetzen können wir, ausschließlich unter Zuhilfenahme von Informationen und Techniken, die jedem interessierten Internetnutzer zur Verfügung stehen, persönliche Details (wie volle Namen, Adressen, Lieblingsrestaurant) über Wilee83 und seine Familie herausfinden.

Warum uns das interessiert? Nur wer die Wege potenzieller Angreifer kennt, sowie deren Vorgehensweisen und Denkmuster versteht, hat die Möglichkeit, sich entsprechend vorsichtig im Internet zu bewegen.

Edgar Weippl | Universität Wien/ SBA Research

In Österreich gibt es exzellente Forschungszentren, Universitäten und Fachhochschulen, die einen Schwerpunkt auf Sicherheitsforschung setzen. Auch wenn im Vergleich zu Deutschland die Forschungsfinanzierung in Umfang und Langfristigkeit nicht vergleichbar ist, sind in Österreich tätige Forscher*innen international sehr erfolgreich. Das AIT ist in vielen EU-Projekten anwendungsnaher Forschung als Partner oder Koordinator tätig. Forschungsgruppen der TU Graz, TU Wien und der Universität Wien widmen sich der Grundlagenforschung (z.B. ERC Grants) oder der anwendungsorientierten Grundlagenforschung (z.B. CD-Labore). Fachhochschulen wie die FH St. Pölten, die FH Oberösterreich oder die FH Campus Wien finanzieren ihre Forschungsaktivitäten genauso wie alle anderen Forschungsinstitutionen auch über nationale Förderprogramme, in denen meist Unternehmen und mehrere österreichische Forschungsinstitutionen zusammenarbeiten.

Esther Seidl & Sebastian Schrittwieser | Universität Wien

Online-Shopping-Betrüger*innen nutzen gefälschte Online-Shops, um Internetnutzer*innen zur Bestellung von Produkten zu verleiten, die entweder wertlos sind oder nicht geliefert werden. Ein Hinweis auf die Vertrauenswürdigkeit eines Shops kann anhand einer Reihe von Vertrauensindikatoren wie den verfügbaren Zahlungsmethoden oder der Korrektheit von Kontaktinformationen abgeleitet werden. In diesem Vortrag stellen wir die Ergebnisse unser Simulationsstudie mit einer vertrauenswürdigen und zwei betrügerischen Shop-Imitationen und 646 Proband*innen vor. Wir fanden heraus, dass nur eine Minderheit der Nutzer*innen auf Vertrauensindikatoren achtet und die meisten Käufe im offensichtlichen Betrugsshop erfolgten. Persönliche und kontextuelle Faktoren hatten keinen signifikanten Einfluss auf die Wahl eines Shops. Die Ergebnisse deuten darauf hin, dass bisherige nicht-technische Maßnahmen und Sensibilisierungskonzepte gegen Online-Shopping-Betrug nicht den gewünschten Effekt erzielt haben.

Timo Longin | SEC Consult

Was hat das DNS mit einem Eisberg gemeinsam? Es versteckt sich bei beiden eine unsichtbare Bedrohung! Bei Eisbergen versteckt sich zwar nur noch mehr Eis, beim DNS hingegen verstecken sich bis jetzt ungeahnte Schwachstellen! Will man einen Namen mit dem DNS auflösen, so bieten sich im Internet mehrere offene DNS-Resolver dazu an. Sehr bekannt ist zum Beispiel Googles DNS-Resolver, der unter der IP-Adresse 8.8.8.8 erreichbar ist. Doch nicht jedes System verwendet diese offenen Resolver. Hosting-Provider, ISPs oder Unternehmen verwenden oft DNS-Resolver, die nicht direkt aus dem Internet erreichbar sind und deswegen als „geschlossen“ bezeichnet werden. Wie man diese „geschlossenen“ Resolver vom Internet aus erreicht, wie man sie auf Schwachstellen überprüft und wie man tausende verwundbare Systeme übernehmen könnte, wird in diesem Vortrag erstmalig gezeigt.

Harald Gattermeyer | anapur AG

In GMP(Good Manufacturing Practice)-regulierten Bereichen der pharmazeutischen Industrie und des Gesundheitswesens, v. a. in Produktion und Labor, gibt es Spannungsfelder zwischen den "Best Practices" zur Herstellung und Aufrechterhaltung von Cybersecurity und Compliance sowie betrieblichen Anforderungen.

Zum Beispiel kann für die Cybersecurity das Einspielen von Patches und Updates oft nicht schnell genug gehen, GMP-Regularien erfordern teilweise viel Aufwand und Dokumentation bei Änderungen. Auch stehen manchmal betriebliche Aspekte in Produktionsanlagen und Laboren dem sofortigen Einspielen von Patches und Updates entgegen.

Dennoch ist Cybersecurity eine unverzichtbare Voraussetzung für kritische computergestützte Prozesse und gibt es gerade wegen den regulatorischen Qualitäts-Anforderungen Anknüpfungspunkte zwischen Cybersecurity und Qualität, um die Herausforderungen in Projekt- und Betriebsphasen zu bewältigen.