Siegfried Hollerer, Simon Rommer, Felix Eberstaller | BMI

Operational Technology (OT) umfasst eine Vielzahl programmierbarer Systeme und Geräte, die direkt oder indirekt mit der physischen Umgebung interagieren. Der Einsatz von OT ist in zahlreichen Branchen integraler Bestandteil, beispielsweise Fertigung, Energie, Transport, Medizin oder bei Versorgungsunternehmen, wo sie eine entscheidende Rolle beim Betrieb und Management physischer Prozesse spielen.

Da OT-Systeme zunehmend miteinander vernetzt und in IT-Netzwerke integriert sind, sind sie anfälliger für Cyberangriffe. Diese Integration ist zwar vorteilhaft für die betriebliche Effizienz und den Datenaustausch, setzt OT-Systeme jedoch denselben Cyberbedrohungen aus, die typischerweise auf IT-Umgebungen abzielen.

Das Ziel der OWASP OT Top 10 ist es, das Bewusstsein für die wichtigsten Sicherheitsrisiken und Schwachstellen zu schärfen, die für OT-Umgebungen spezifisch sind. Durch die Bereitstellung umsetzbarer Empfehlungen soll die Sicherheitslage von OT-Systemen verbessert und kritische Infrastrukturen vor Cyber-Bedrohungen geschützt werden.

Dieser Vortrag stellt die aktuelle Version der OWASP OT Top 10 einem breiteren Publikum vor, um das Bewusstsein für ihre Existenz, ihre Übereinstimmung mit dem Stand der Technik und ihre Anwendbarkeit im OT-Bereich zu schärfen.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Felix Eberstaller, Bernhard Rader | Limes Security

The digital transformation of agriculture has led to a change in technology. This includes modernized farming equipment with smart capabilities and the development and widespread adoption of retrofit automation systems for legacy farming equipment to extend the lifespan and use existing legacy resources, similar to security efforts for legacy systems in OT.

This research presents a security analysis of the FJ Dynamics Steering Kit, a leading aftermarket solution for autonomous tractor capabilities, which is sold under different labels in Asia, Europe and the United States. Our investigation revealed critical vulnerabilities enabling unauthorized global tracking of tractors, system manipulation, and potential safety compromises, highlighting significant risks to agricultural operations and public safety.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Philipp Kreimel-Haindl | OMV Exploration & Production GmbH

Operational Technology (OT) environments often pose significant challenges when it comes to logging and monitoring. Legacy systems, vendor lock-ins, non-standardized log formats, and forbidden agent installations are just a few of the issues practitioners face when setting up a centralized SIEM. In this talk, we’ll explore the full spectrum of OT log sources – the good (well-structured, accessible logs), the bad (limited, poorly documented outputs), and the ugly (proprietary binaries, CSVs). Based on hands-on experience integrating diverse sources into a SIEM solution, this session will highlight practical strategies, creative workarounds, and key lessons learned. Whether you're just starting your OT monitoring journey or knee-deep in legacy complexity, this talk will help you gain visibility without losing your sanity – or your systems.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Herbert Dirnberger | IKARUS Security Software GmbH

In der OT-Security sind uns nicht nur ungepatchte Systeme gefährlich – sondern vor allem heimtückische Denkfehler wie Air‑Gap-Illusionen, die Gleichsetzung von Compliance mit Sicherheit oder unreflektierte Betriebsroutinen. 

Bei IKARUS als Nozomi Networks EU MSSP of the Year 2024 schöpfen wir aus jüngsten Projekterfahrungen (bspw. in Produktionstrassen- und Heizkraftwerke) und zeigen, wie passive Sensoren, Threat Intelligence und Teamförderung etwa Ausfälle verhindern können. Der Talk bietet fünf konkrete Denkfallen, das strukturierende Modell „Gleichung der Wahrheit“ und praxisnahe Reflexionsimpulse, um mentale Sicherheitslücken zu schließen. 

Ziel ist echte Resilienz und eine mutige OT-Security-Kultur – perfekt als Anschluss an die zentrale Keynote zur Raumfahrt‑Security in Bingen.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Thomas Weber | CyberDanube

In this talk, we provide an in-depth look into the internal workings of a commercially available drone. Using our in-house platform MEDUSA ("Scalable Firmware Runtime"), we emulated and analyzed the drone's control system. In the process, both the hardware architecture and critical security vulnerabilities were uncovered. The presentation offers a practical demonstration of how emulation can enable effective security analysis of complex systems like drones. We will showcase real-world attack scenarios, such as manipulating the Wi-Fi communication or taking over the controller. This session is intended for anyone interested in embedded security, (I)IoT forensics, and innovative analysis techniques - from penetration testers to researchers.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Ilyas Demirtas, Kai Starik | Deloitte Consulting GmbH

Globale Produktionsunternehmen stehen vor der Herausforderung, IT- und OT-Security in einer zunehmend vernetzten und kulturell vielfältigen Umgebung effektiv umzusetzen. Neben technologischen und prozessualen Herausforderungen ist vor allem der menschliche Faktor entscheidend. Unterschiedliche Kulturen, lokale Prioritäten und Skepsis gegenüber zentralen Vorgaben erschweren die Umsetzung von Sicherheitsstrategien.

Ein besonderes Spannungsfeld bildet die Kluft zwischen IT und OT: Beide Bereiche kämpfen mit veralteten Systemen und begrenzten Ressourcen, arbeiten jedoch oft isoliert. Die größte Herausforderung besteht darin, IT- und OT-Stakeholder zusammenzubringen und gemeinsame Lösungen zu entwickeln.

Auch das Budget dieser Unternehmen wird oft ineffizient verteilt, sodass essenzielle Sicherheitsmaßnahmen unterfinanziert bleiben.
Dieser Vortrag zeigt, wie eine nachhaltige Security-Transformation gelingen kann – mit einem klaren Fokus auf Vertrauen, Zusammenarbeit und kulturelle Integration. Nur durch diese Elemente kann eine resiliente, globale Sicherheitskultur geschaffen werden, die von den Mitarbeitenden aktiv getragen wird.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Harald Gattermeyer | anapur AG

Produktionsanlagen können aus zwei Gründen kritisch sein. Erstens, weil Sie nicht produzieren (Verfügbarkeit) oder zweitens, weil Sie nicht so funktionieren, wie das geplant ist (Integrität). Zweiteres ist insbesondere im Falle von Prozessen relevant, welche Gesundheits- oder Umweltschäden hervorrufen können. Allen voran Prozesse der chemischen Industrie, Kernkraft aber auch der Bahn, Lebensmittelindustrie, u.a.

Mit hochzuverlässigen Systemen (Functional Safety Systeme) werden seit Jahrzehnten - recht erfolgreich - unerwünschte Ereignisse vermieden bzw. deren Auswirkung gemindert.

Der Vortrag gibt eine Einführung in die OT-Welt und den Stand der Technik bei der Absicherung derselben (Segmentierung, Detection, etc.). Im Speziellen wird dann auf die Frage der „Security for Safety“ eingegangen. D.h. wie erfolgreich können Gesundheits- und Umweltschäden als Folge von Cyberangriffen zukünftig noch verhindert werden.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Daniel Haslinger & Christoph Lang-Muhr | FH St. Pölten

2025 schließen wir endlich wieder die diesjährige IT-SECX mit einem Streifzug durch Ereignisse und Meldungen der vergangenen Jahre, beleuchten und hinterfragen, was sich in Bezug auf das Netz und die Security so alles getan hat und versuchen uns in der Kunst der Wahrsagerei.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Severin Winkler, Benjamin Petermaier | KPMG Security Services GmbH

Multi-Faktor-Authentifizierung (MFA) ist ein wesentlicher Schutzmechanismen in modernen Unternehmensarchitekturen.

Im Vortrag zeigen wir, wie MFA Phishingangriffe bei Red Teaming oder ähnlichen Projekten durchgeführt werden und stellen ein von uns entwickeltes Werkzeug (MFAngler) zur Automatisierung  vor.

Das Ziel ist zu zeigen, dass MFA Angriffe prakitabel durchführbar sind und mit welchen Maßnahmen diese verhindert werden können.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Benjamin Floriani, Patrick Pongratz | SecCore GmbH

As security controls mature, traditional initial access techniques like macros and simple credential phishing are losing their effectiveness. To accurately simulate modern adversaries, red teams must evolve beyond the expected. This presentation dives into lesser-known and highly effective initial access vectors that bypass common defenses by exploiting overlooked file formats and user trust.

The core of this talk is a deep-dive into an attack chain starting with SVG images. We will demonstrate how a seemingly harmless and widely used image file can be weaponized to create a dynamic phishing lure capable of harvesting credentials and, crucially, bypassing Multi Factor Authentication in Microsoft Entra-ID.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Johannes Bär | Condignum, Andre Waldhoff

Im Rahmen eines Red Team Assessments sahen sich die Prüfer einer stark überwachten Umgebung gegenüber, die klassische Angriffstechniken vereitelte. Eine maßgeschneiderte Vorgehensweise war nötig.

Ausgehend vom Szenario eines kompromittierten Software-Entwicklers entstand die Idee, eine komplexe Process-Injection-Technik von C++ nach Java zu portieren – inklusive der Frage, ob ein bekanntes Large Language Model (LLM) dabei unterstützen kann.

Der Vortrag dokumentiert diese ungewöhnliche Portierung und den Einsatz eines LLMs sowie deren Grenzen, ebenso wie mit üblichen Entwicklerwerkzeugen ein effektiver Angriffsvektor entstehen kann. Gezeigt werden der Angriffsvektor, die Herausforderungen bei der Umsetzung in Java sowie Grenzen und Potenziale KI-gestützter Entwicklungsprozesse im Red Teaming-Kontext.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Florian Hehenberger, Akashpreet Wedech | PwC Österreich

In diesem Vortrag teilen Florian Hehenberger und Akashpreet Wedech ihre Erfahrungen mit TIBER-AT Assessments und der Entwicklung hin zu DORA-konformen Threat-Led Penetration Tests (TLPT) in Österreich.

Als Mitglieder des PwC Offensive Security Teams beleuchten sie die spezifischen Herausforderungen und Unterschiede zwischen traditionellen Red Teaming-Ansätzen und den strukturierten Anforderungen von Threat-Led Penetration Tests, wie sie von DORA gefordert werden.

Der Vortrag bietet praxisnahe Einblicke in die Rolle der unterschiedlichen Teams und beleuchtet besonders die Anforderungen an das Control Team, das vom zu prüfenden Unternehmen geführt wird. Florian und Akashpreet diskutieren abschließend erfolgreiche Strategien sowie aufgetretene Herausforderungen und veranschaulichen, wie erfahrene Red Teams Schwachstellen erfolgreich kombinieren, um Unternehmen zu kompromittieren und warum letztendlich nur ein vielschichtiges Sicherheitskonzept versierte Angreifer stoppen kann.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Niels Pfau | Mantodea Security GmbH

Reverse engineering, komplexe states, OS-noise, das Entwickeln einer Harnessanwendung, das sind nur einige der Aspekte, welche Fuzzing sehr aufwendig machen können. 

In diesem Talk betrachten wir wie Snapshot-basiertes Fuzzing einigen dieser Probleme Abhilfe verschaffen kann.

Am Beispiel des Ivanti Endpoint Managers wird demonstriert, wie Schwachstellen mit what-the-fuzz, einem snapshot- und code-coverage basiertem Fuzzer, gefunden werden können ohne komplizierte Harnesse oder Zugang zum Source Code der Anwendung.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Florian Skopik, Benjamin Akhras, Peter Leitmann, Lukas Linauer |AIT Austrian Institute of Technology

Open Source Intelligence (OSINT) liefert wertvolle Informationen über Cyberangriffe, Bedrohungsakteure und IT-Schwachstellen. Die manuelle Auswertung dieser heterogenen Datenquellen ist jedoch zeitaufwendig und fehleranfällig.

Im Rahmen unserer Forschungsprojekte entwickeln wir das Open-Source-Tool Taranis AI, das moderne Natural Language Processing (NLP)-Methoden und Machine Learning nutzt, um OSINT automatisiert zu analysieren. Relevante Entitäten wie Firmennamen, Produkte, CVEs und Angreifergruppen werden extrahiert, Inhalte verschlagwortet und thematisch gruppiert.

Das Ergebnis: strukturierte „Stories“, die Analysten helfen, aktuelle „Hot Topics“ schnell zu erkennen. Funktionen wie semantische Suche, automatische Zusammenfassungen und Integration mit MISP steigern die Effizienz zusätzlich. Taranis AI wird bereits produktiv im zivilen und militärischen Umfeld eingesetzt und steht der Community offen zur Mitgestaltung.

Der Vortrag zeigt konkrete Anwendungsbeispiele und lädt zur aktiven Beteiligung ein.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Manuel Reinsperger| TU Wien - Interactive Programming & Analysis Lab

Immer mehr Firmen vermarkten sich mit AI unterstützten Hacking-Werkzeugen und die generelle Verwendung  von AI steigt rasant. Doch es ist nicht alles Gold was glänzt, weshalb es umso wichtiger ist festzustellen, was bereits funktioniert und was noch Zukunftsmusik ist.

Manuel Reinsperger, Forscher für die Verwendung von AI Systemen in der Offensiven Cybersicherheit, Pentester und Cybersecurity Consultant, gibt Klarheit, berichtet den aktuellen Stand der Wissenschaft und zeigt auf, was bereits produktiv in Penetration Tests verwendet werden kann.

Tips, Tricks und Erfahrungsberichte sollen helfen, hinter das Marketing "bla, bla" zu blicken und etwas für die eigene Anwendung mitzunehmen.

*** Dieser Programmpunkt wird live via YouTube übertragen. ***

Gabor Szivos, Darius Beckert | slashsec Red Teaming GmbH

In den vergangenen ein bis zwei Jahren haben wir ein zunehmendes Interesse an Sicherheitsüberprüfungen im physischen Bereich beobachtet. Dieses Interesse geht über klassische Social-Engineering-Engagements hinaus und konzentriert sich zunehmend darauf, wie gut physische Sicherheitsmaßnahmen konventionellen Einbruchsversuchen standhalten.

In diesem Vortrag stellen wir unseren Ansatz zur Durchführung physischer Sicherheitsüberprüfungen vor und zeigen auf, welche Methoden wir anwenden, um realistische Angriffsszenarien zu simulieren. Darüber hinaus gehen wir auf typische organisatorische Fehler ein, die bei solchen Engagements immer wieder auftreten, und teilen praxisnahe Erkenntnisse, wie sich diese vermeiden lassen.

Alexander Aigner, Stephan Hutterer | CyberUp GmbH

Der Cyber Resilience Act (CRA) der EU stellt Anforderungen an Produkte mit digitalen Elementen, mit einer verbindlichen Umsetzungsfrist bis Dezember 2027.

Dieser Vortrag vermittelt praxisnahe Umsetzung der CRA-Vorgaben im Softwareentwicklungsprozess. Ausgehend von ersten realen Projekterfahrungen wird gezeigt, wie Hersteller ihre Secure Software Development Lifecycles (SSDLC) effizient auf CRA-Compliance ausrichten können. Die Teilnehmenden erhalten Einblicke in häufige Stolpersteine, strategische Planungsansätze sowie hilfreiche Tools, Leitfäden und Quick-Wins. Zudem werden offene Fragen und Interpretationsspielräume beleuchtet, insbesondere dort, wo die Praxis der Theorie (noch) voraus ist.

Der Vortrag richtet sich an Produktverantwortliche, Entwicklerinnen und Sicherheitsexpertinnen und liefert wertvolle Impulse zur Umsetzung eines der wichtigsten regulatorischen Vorhaben der kommenden Jahre, um Produkte nicht nur gesetzeskonform, sondern nachhaltig resilient zu gestalten.

Georg Ungerböck, Stephan Bauer |ARCANIX OG

Die zunehmende Vernetzung von IT-, IoT- und Embedded-Systemen stellt neue Anforderungen an die sichere Wartung und Aktualisierung von Software. Over-the-Air (OTA) Updates gewinnen dabei als Schlüsseltechnologie an Bedeutung. Mit der Plattform ARCANIX entwickeln wir einen ganzheitlichen Ansatz, der Sicherheitsanforderungen von der Softwareentwicklung bis zum sicheren OTA-Update-Deployment adressiert. Im Rahmen der IT-SECX 2025 zeigen wir, wie regulatorische Vorgaben wie der Cyber Resilience Act (CRA) die Anforderungen an OTA-Update-Prozesse verschärfen und welche technischen und organisatorischen Lösungen sich daraus ableiten.

Der Vortrag gibt einen Überblick über die technischen und regulatorischen Anforderungen des CRA an sichere Update-Mechanismen. Anhand von ARCANIX wird gezeigt, wie sich sichere OTA-Update-Prozesse für granulare Fileupdates und vollständige Imageupdates technisch umsetzen lassen. Dabei werden sowohl technische Lösungsansätze als auch Lessons Learned aus der Praxis vorgestellt.

Der Beitrag adressiert aktuelle Herausforderungen an Secure Development, Embedded Security und Governance im Kontext regulatorischer Rahmenbedingungen und zeigt praxisnahe Lösungswege für ein zunehmend vernetztes und sicherheitskritisches IT-Ökosystem auf.

Rainer Poisel, Stefan Riegler | honeytreeLabs Cooperation

Embedded-Systeme übernehmen zunehmend sicherheitskritische Aufgaben und stellen Entwicklungsteams vor die Herausforderung, trotz steigender regulatorischer Anforderungen schnell und zuverlässig zu liefern. In diesem Vortrag zeigen wir, wie sich der DevSecOps-Ansatz sinnvoll auf Embedded-Projekte übertragen lässt – und wie Künstliche Intelligenz dabei hilft, Geschwindigkeit und Sicherheit in Einklang zu bringen.

Dabei demonstrieren wir ausgewählte Use-Cases live – etwa die automatische Testfallgenerierung oder die KI-gestützte Interaktion mit Zielhardware. Weitere Szenarien wie die Analyse von CI/CD-Logs werden ergänzend eingeordnet. Die gezeigten Lösungen basieren auf Technologien wie LLMs, semantischer Suche und dem Model Context Protocol (MCP).

Der Vortrag bietet einen konkreten Einblick in das Potenzial KI-gestützter Entwicklung – und gibt einen Ausblick auf die nächsten Schritte hin zu effizienteren, sichereren und zukunftsfähigen Embedded-Systemen.

Daniel Dorfmeister | Software Competence Center Hagenberg GmbH

Industrial-scale reverse engineering poses a significant threat to manufacturers of modern industrial systems, where replicating complex software is often faster and more cost-effective than developing it from scratch. We thus develop innovative protection mechanisms to safeguard the intellectual property embedded in software and AI models. Our approach binds correct program execution to unique and unclonable hardware properties, making unauthorized replication and reverse engineering significantly more difficult and resource intensive. Unlike traditional protections, our methods do not require specialized security hardware and thus work with legacy systems.

Jakob Heigl-Auer | insitu Software GmbH

In der symmetrischen Kryptografie stellt sich eine altbekannte Frage: Wie tauschen zwei Kommunikationspartner ihren geheimen Schlüssel aus, ohne dass jemand mithören kann? Klassischerweise nutzt man asymmetrische Verfahren – doch Quantencomputer (sollten diese seit Jahrzehnten prophezeiten Geräte jemals Realität werden) könnten diese in Zukunft brechen. Wie löst man dieses Problem?

Eine Antwort bietet die Radio Key Distribution, auch bekannt als Physical Layer Key Generation. Hier wird der Schlüssel nicht übertragen. Stattdessen messen beide Kommunikationspartner den Funkkanal zwischen ihnen. Physikalisch bedingt sind diese Kanaleigenschaften – wie zum Beispiel Signalstärken oder Laufzeiten – für beide Seiten identisch, aber für Dritte verschieden.

Aus diesen identischen Messwerten erzeugen beide Geräte durch verschiedene Verfahren denselben Schlüssel – ohne dass sie diesen jemals austauschen müssen. Ein Lauscher misst einen anderen Kanal und erhält daher einen anderen Schlüssel. Kein Austausch bedeutet kein Abhören.

Florian Plainer, André Meindorfer | Verein Segmentation Vault

Es ist Zeit für eine Premiere auf der IT-SECX! Eure Quizmaster Flocom und Xoh, ihres Zeichens Vertreter des Hackerspace St. Pölten (Segmentation Vault), haben ein Quizshow-Format in kompakte Vortrags-Slot-Länge gebracht und laden zum gleichermaßen unterhaltsamen wie lehrreichen Bits, Bytes and Brains! Tapfere Kandidat*innen können gegeneinander antreten um ihr geballtes Infosec und Technik-Wissen unter Beweis zu stellen.

Angeblich gibt es sogar ausgeprochen tolle Preise (haben wir gehört).

Bina Ramamurthy

Blockchain technology promises decentralization, immutability, sovereignty, trust, and transparency; yet its security landscape remains complex and is continually evolving.
This presentation examines critical vulnerabilities across the blockchain ecosystem, including wallet security and transaction attacks, smart contract exploits, consensus mechanism attacks such as 51% attacks and finality issues, governance vulnerabilities, and rug pulls or exit scams.Key security challenges include crypto wallet protection, smart contract immutability risks, and human factors in decentralized governance.
We present practical mitigation strategies, including secure key and password management, smart contract-based access controls and permissions, and comprehensive smart contract auditing. Drawing on recent security research, personal experiences and practices, real-world incidents, and industry best practices, attendees will gain actionable insights for implementing security-first blockchain development practices in this rapidly maturing ecosystem.

Naghmeh Moradpoor | Edinburgh Napier University

As Connected Autonomous Vehicles (CAVs) become more common on public roads, ensuring the trustworthiness and verifiability of their real-time decisions, especially during coordination scenarios, has emerged as a critical and underexplored challenge.
While federated learning has improved the privacy of model training, it remains unclear how to verify what vehicles do with those models during real-world operation. This talk introduces a novel framework that enables CAVs to reason locally over knowledge graphs and regulatory rules, make context-aware decisions in dynamic environments, and generate zero-knowledge proofs (ZKPs) to attest to the correctness of those decisions without exposing sensitive data.

We present a lightweight, edge-compatible reasoning engine and ZKP module that supports privacy-preserving coordination in critical use cases like intersection negotiation, convoy formation, and emergency rerouting. This work bridges technical gaps between secure learning, explainable AI, and auditable autonomy, paving the way for transparent, compliant, and trustworthy AV ecosystems.

Kristaps Felzenbergs | Vidzeme University of Applied Sciences

The EU NIS2 directive introduces stringent cybersecurity requirements for critical infrastructure, demanding continuous monitoring and rapid incident response capabilities that traditional manual compliance approaches cannot sustain. This presentation explores how organizations can leverage automation technologies to transform NIS2 compliance from a periodic checkbox exercise into a continuous, integrated security posture.

We'll examine practical implementation strategies using Security Orchestration, Automation and Response (SOAR) platforms, automated vulnerability management systems, and AI-driven threat detection to meet NIS2's technical requirements. 

The session covers real-world case studies demonstrating automated incident reporting workflows, continuous risk assessment mechanisms, and supply chain monitoring solutions that ensure ongoing regulatory adherence.

Attendees will learn insights of scalable compliance architectures that reduce manual overhead while improving security outcomes, turning NIS2 obligations into competitive advantages through strategic automation implementation.

Constanze Roedig

We believe end users should not be responsible for writing security rules for third-party software, rather, we show how vendors can distribute benign runtime-behavior rules along their supply chain using a “Bill of Behavior” (BoB) inside OCI artifacts.

A BoB is a profile of known syscalls, fileaccess, network and capabilities generated using eBPF, and allows anomaly detection. Thus, users can infer both malicious behavior and tampering without writing/maintaining custom runtime rules.

We detail which parts of the BoB specification translate across ecosystems, languages, stacks, and tools and why the process must be transparent for users. We will also discuss the current scope and ongoing evolution of BoB, laying out a strategic roadmap as it progresses towards a de-facto standard, thus complementing our security ecosystem of seccomp profiles, SBOMs and policy engines.

A public on-demand lab of the reference implementation using well-known cloud native tools will be supplied.

Martin Schmiedecker, Markus Donko-Huber

In this talk we'll give an overview on how to effectively block online ads in 2025.

Not only since AI is allegedly taking over everything & Google changed the extension API for the most popular browser in the world to force-choke ads down their users throat, many still don't realize that they are foremost not a technology company but an online advertisement company before anything else.

We'll present how to block ads on a local machine, on an entire network, and for others.

Reinhard Kugler | SBA Research GmbH

Kernel Space, the final frontier. 
These are the voyages of SBA Research and its mission: to explore strange new technologies, to boldly go where only a few have gone before - using eBPF. 

The Cyberspace is vast and numerous threats are lurking in the dark. A new trend arises: abusing the Kernel to backdoor and assimilate sane Linux systems using the eBPF technology. The integration of eBPF in the Kernel allows attackers to change the behavior of the system. How can it be exploited and what can an attacker do with those capabilities? This talk explores the attacker's view on the eBPF technology and how to abuse it to their advantage. Set phasers to stun and learn about offensive techniques for defenders and analysts in SOCs.

Tomasz Haberny, Sandra Vrdoljak | Deutsche Telekom Security

On July 19th, 2024, a routine CrowdStrike update disrupted (security) operations globally, causing massive outages across all sectors.
As a Managed Security Service Provider (MSSP) responsible for managing a six-digit number of affected endpoints, we were on the front lines of the chaos.

In this talk, we’ll provide a behind-the-scenes look at modern Endpoint Detection and Response (EDR) systems, dissect CrowdStrike’s update mechanism, and analyze what went wrong that day. We’ll walk you through a detailed timeline of the incident from the perspective of an MSSP, share the challenges faced during remediation, highlight the pitfalls encountered, and discuss the tough lessons learned as well as key takeaways for MSSPs, vendors, and customers.

Arshia Reisi |KPMG Security Services GmbH

Modern cloud identity systems promise strong security but attackers know exactly where trust breaks down. This purple team–focused talk explores real-world techniques to bypass Conditional Access, defeat phishing-resistant MFA, and achieve stealthy remote code execution via Custom Script Extension abuse.

For every attack, we’ll cover the detection angles and practical defenses that matter. From covert sign-ins to silent API misuse, you'll see how these threats unfold and how to spot them before they escalate.

Mario Kahlhofer | Dynatrace Research

Techniques to deceive hackers are nothing new. You may be familiar with honeypots, which are used to lure and trick hackers. But are you also familiar with modern cyber deception techniques? This talk will explore how organizations of all sizes can deploy deception techniques within real production environments.

We will demonstrate traps for the application layer, such as fake “passwords.txt” files, or fake API routes like “/admin”, which are designed to attract and detect attackers. Drawing on empirical results from our Honeyquest study, we will invite the audience to interactively identify enticing cyber traps and learn what makes them effective.

We will also demonstrate Koney, our open-source tool that automates the deployment and monitoring of deception assets in Kubernetes using a policy-as-code strategy. Attendees will learn modern methods for tricking hackers and will leave equipped with the knowledge and tools to embed cyber deception into their own systems.

André Meindorfer | NVISO

Security Operations Centers (SOCs) are a cornerstone of modern cybersecurity; at least in theory. In practice, many SOCs fall into the same traps: adopting models and methods that seem promising on paper, but lead to inefficiency, frustration, or burnout when applied uncritically.

This talk takes a critical look at real-world anti-patterns in the SOC world: recurring design or operational choices that tend to fail despite good intentions. It challenges the idea that "more is always better" and questions the blind adoption of frameworks in contexts where they don't belong.

Whether you're planning to work in a SOC, build one, or just want to understand the difference between textbook and real world, this session will help you spot harmful habits before they cause real damage.

Sabine Kölly | EY Österreich

In unserem Vortrag geben wir Einblicke in die Praxis von Ransomware-Verhandlungen im Rahmen der Cyber Incident Response. Ausgehend von einer Ransom-Note zeigen wir typische Vorgehensweisen der Angreifergruppen, ihre Forderungen und Zusicherungen. Anhand realer Fälle beleuchten wir Verhandlungsstrategien, Risiken und taktische Elemente, wie etwa „Proof of Life“, fiktive Rollen oder Methoden zur Zeitgewinnung.

Ergänzend diskutieren wir psychologische Aspekte, technische Verifizierungsansätze, rechtliche Rahmenbedingungen und die Einbettung in Notfallpläne. Abschließend geben wir praktische Empfehlungen für Gegenangebote und zeigen, wie man typische Fehler vermeidet und erfolgreich kommuniziert – auch mit professionellen Angreifergruppen.

Alexander Ressl, Stefan Pfeiffer | Accenture

This presentation critically examines the state of agentic AI by contrasting the ambitious visions of tech giants like Google, Microsoft, and ServiceNow with the practical realities of its current application. We will dissect the selling points of “a world of autonomous agents seamlessly managing our digital lives” and weigh them against the "real-life" challenges of implementation, reliability, and unforeseen consequences. 

The session will explore the concerns, questioning the black-box nature of agent decision-making, and the implications of delegating complex tasks to machines. By analyzing what these companies are promising versus what their technology can currently deliver, this talk aims to continue last year’s discussion about the true trajectory of AI with the new agentic AI approach.

Susanne Schön | Materna

Following the presentations "1001 Scan" (2023) and "1001 Logline" (2024), this marks the third installment in our series showcasing the services offered by a Security Operations Center (SOC). Each part sheds light on the hidden corners of network infrastructure.

In recent years, we've observed a growing trend among our customers: Endpoint Detection and Response (EDR) is increasingly viewed as a viable alternative to traditional Network Traffic Monitoring for security purposes.

This presentation explores:

The evolution of network traffic over the past ten years
Shifts in the nature and frequency of network incidents
The development of tools used to monitor and analyze traffic

Finally, we address a key question: Is Network Traffic Analysis still a relevant and effective tool in the SOC toolkit today?