Language

Login handouts

All participants of the Application Security Day 2016 get their login information for the handouts automatically.

If you didn't take part at the Application Security Day you can register for free to get the login to the PDF files.

Raum Rom Raum Wien/Athen
09:00 Eröffnung des HLMC Day - Application Security

09:05 Eröffnungskeynote: Security of Things: Myths vs Facts

Sam Rehman, Arxan Technologies Inc.
09:50 Zeit für Raumwechsel
10:00 AS1.1: Mobile App Hacking

Dr. Michael Spreitzenbarth, IT-Consulting Spreitzenbarth
AS2.1: Anwendungssicherheit im DevOps-Zeitalter

Nabil Bousselham, Veracode
10:45 Kaffeepause und Besuch der Ausstellung
11:15 AS1.2: White-Box Cryptography: New Attack and Countermeasures

Sven Bauer, Giesecke & Devrient GmbH
AS2.2: Einflüsse von Application Security auf den Entwicklungsprozess in medizinischer Software

Ittipan Kanluan, CE plus GmbH
12:00 Zeit für Raumwechsel
12:10 AS1.3: Telefonica Data Anonymization Platform - Big Data meets Security by Design

Jonathan Ukena, Telefonica Germany GmbH & Co.OHG
AS2.3: Lineare Software Entwicklung und asynchrone Security Requirements: Security, Entwicklungsprozess, Test und Projektmanagement im Spannungsfeld von Medizintechnik und DoD

Dr. Ulrich Bieberich, sepp.med GmbH
12:55 Mittagspause / Lunch Buffet und Besuch der Ausstellung
14:00 AS1.4: SAST is a MUST - die statischen Code Analysen als integraler Bestandteil der Softwareentwicklung

Gunner Winkenwerder, Checkmarx Ltd
AS2.4: OWASP Top 10 ProActive Controls

Ives Laaf, smarthouse adesso financial solutions GmbH
14:45 Zeit für Raumwechsel
14:55 AS1.5: Threat Modeling - Von Anfang an sichere Webanwendungen

Dominik Schadow, BridgingIT GmbH
AS2.5: Erweiterung des klassischen Entwicklungsprozesses hinsichtlich Security-Aspekten

Thomas Geigl und Benedikt Meier, Inopus GmbH
15:40 Kaffeepause und Besuch der Ausstellung
16:10 AS1.6: Original oder Fälschung? Präventiver Schutz ist effektiver als Verklagen

Günther Fischer, WIBU Systems AG
AS2.6: Einflüsse von Application Security auf den Entwicklungsprozess unter Berücksichtigung des Projektmanagements inklusive dem Aspekt, wie eine App sicher entwickelt und sicher gehalten werden kann

Bernd Fuhlert, @-yet GmbH
16:55 Zeit für Raumwechsel
17:05 AS1.7: "Stirb langsam Industrie 4.0" - Wie kann ich mich vor Stuxnet & Co. schtzen

Dietmar Wyhs, AlgoSec Ltd.
AS2.7: Sicherheit in agilen Entwicklungsprozessen oder warum ein auf Sand gebautes Haus niemals sicher wird

Bastian Braun, mgm security partners GmbH
17:50 Verabschiedung und Ausblick auf den Application Security Day 2017

Security of Things: Myths vs Facts

Referent: Sam Rehman, Arxan Technologies Inc.

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 09:05 - 09:50 Uhr

Abstract: Look around and it will be almost impossible not to notice how the digital and physical world are starting to come closer and closer together. The amazing speed of innovations anywhere from mobile to connected cars to smart medical devices are just a few signs of how the Internet of Things will truly affect our daily lives, everyone of us.
At the same time, the threat models are becoming more and more pervasive, smarter and even more difficult to sift out, while the risk profile and truly rising. Threats are evolving at a faster pace, and now in so many different angles than many developers’ can track much less keeping up with.
At Arxan, we have been helping our customers for well over a decade in protecting their mission critical and high risk profile distributed applications, and we would like to share some of our findings, and help separate the myths from the facts, and in the process a few insights around what could enterprises do to move towards agile and intelligent application protection techniques.


Sam Rehman ist Keynotesprecher des Application Security Day 2016Sam joined Arxan in May 2015, with the mission to shape the technical directions and drive innovations. Sam is a proven technology evangelist and leader with over 25 years of experience in both leading product development and professional services companies and he continues to be active in both startup and open-source communities. Prior to Arxan, Sam was CTO for EPAM Systems (NYSE:EPAM), a leading product engineering service provider with over 10,000 engineers around the globe, with the goal to transform the company and bring focus to core engineering excellence. He has also spent close to 10 years with Oracle Corporation, where he led development groups as VP of Engineering, bringing multiple innovative and profitable products from concepts to market, including Oracle’s first in memory database, to more recently the Sensor/IoT Based Platform.

Mobile App Hacking

Referent: Dr. Michael Spreitzenbarth, IT-Consulting Spreitzenbarth

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 10:00 - 10:45 Uhr

Vortragsart: Erfahrungsbericht

Abstract: Der Marktanteil von Smartphones und Tablets wächst significant im Gegensatz zu herkömmlichen PCs und hält auch in immer mehr Unternehmen Einzug. Diese Geräte haben einen enormen Funktionsumfang und werden schon lange nicht mehr nur als Gerät zum Telefonieren verwendet. Dies bereitet jedoch nicht nur neue Möglichkeiten für den Einzelnen sowie viele Firmen, sondern birgt auch ein hohes Maß an Gefahren und Risiken. Möchte ein Unternehmen Apps für mobile Plattformen wie Android und iOS einsetzen um firmenrelevante Dokumente zu verarbeiten, oder einfach nur die Verwendung dieser Plattformen im Alltag des Mitarbeiters fördern, so haben die Unternehmen bei der Betrachtung und Auswahl der Apps eigentlich nur zwei Möglichkeiten:

1. Den Werbeversprechungen des Herstellers der App vertrauen, oder
2. eigenständiges Überprüfen der versprochenen Leistungen einer App (Pentest)

Im Rahmen des Vortrags wird Dr. Michael Spreitzenbarth anhand einiger Beispiele das Pentesting von mobilen Apps zeigen und darstellen, wieso die erste Option keine gute Idee ist, wenn das Unternehmen vor hat sensible Daten mit mobilen Apps zu verarbeiten. Neben diesen praktischen Einblicken zeigt er aber auch, welche Schwachstellen man am Häufigsten in mobilen Apps für Android und iOS findet.


Dr. Michael Spreitzenbarth ist Referent des Application Security Day 2016Dr. Michael Spreitzenbarth ist als selbständiger Berater und Analyst im Bereich der Sicherheit mobiler Endgeräte tätig. Neben der forensischen Analyse von Smartphones beschäftigt er sich auch mit dem Pentesting von mobilen Apps sowie der Untersuchung von potentieller Malware. In dieser Rolle ist er auch regelmäßig als Dozent an der FAU und als Fachautor tätig.

Anwendungssicherheit im DevOps-Zeitalter

Referent: Nabil Bousselham, Veracode

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 10:00 - 10:45 Uhr

Abstract: In einer hochautomatisierten DevOps-Umgebung, wo die Software minutlich bereitgestellt wird, stellt sich jeder AppSec-Verantwortlicher die Frage: Wie kann ich gewährleisten, dass der produzierter code im selben Tempo auf Sicherheit geprüft ist?

Aber sich nur auf die Geschwindigkeit zu konzentrieren, ohne die Ziele von DevOps zu verstehen, führt öfter zu unerwünschten Kompromissen, wie unnötig Unterbrechungen der Build-Pipeline. In dieser Präsentation möchte ich Ihnen fünf wichtige Prinzipien für sichere DevOps-Entwicklung vorstellen und gemeinsam mit Ihnen den Stand der Technik im Bereich Sicherheitspraktiken von Anwendungen anschauen. Wir werden auch über die Möglichkeiten sprechen, Prinzipien und Praktiken von DevOps -wie schnelle Feedback-Schleifen und Feature Toggling- zu benutzen, um sicheren Code zu erstellen.

White-Box Cryptography: New Attacks and Countermeasures

Referent: Sven Bauer, Giesecke & Devrient GmbH

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 11:15 - 12:00 Uhr

Vortragsart: Erfahrungsbericht

Abstract: White-box cryptography aims to implement cryptographic algorithms in such a way that even an attacker with full access to the implementation is unable to extract secret keys. The talk will begin with a brief introduction to make this intuitive notion more precise and to present applications and efforts towards achieving the implementation security of true white-box cryptography.
The main part of the talk will focus on new powerful statistical attacks against existing white-box cryptography schemes. Technical improvements to these attacks will be presented.
Finally, we will look at countermeasures against these statistical attacks.


Sven Bauer has extensive experience in securing cryptography against side-channel attacks. Initially working mainly on smart cards, he has increasingly focussed on the cryptographic security of embedded systems and mobile devices. The need for scalable security solutions on mobile devices has lead him to working on white-box cryptography.

Einflüsse von Application Security auf den Entwicklungsprozess in medizinischer Software

Referent: Ittipan Kanluan, CE plus GmbH

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 11:15 - 12:00 Uhr

Vortragsart: Vorgehensbericht

Abstract: Medizinische Software oder Apps sind mittlerweile nicht nur „kleine Spielereien“ sondern haben aufgrund ihrer Effektivität bereits Platz im Kostenerstattungswesen gefunden. Mit der zunehmenden Digitalisierung spielen Big Data, Cloud Computing und das Internet der Dinge auch in der medizinischen Software eine immer größere Rolle. Jedoch birgt die Digitalisierung häufig das Risiko, dass persönliche Informationen missbraucht werden könnten, oder im schlimmsten Fall durch Cyber-Angriff zu wirtschaftlichen oder sogar gesundheitlichen Schäden führen. Entsprechend muss der Application Security im medizinischen Feld eine besondere Rolle zugewiesen werden.

Dieser Vortrag gliedert sich in drei Teile und befasst sich mit dem Einfluss und der Integration von Application Security im Rahmen des Entwicklungsprozesses von medizinischer Software.

Der erste Teil des Vortrags erläutert anhand von Beispielen die Bedeutung von Application Security in der medizinischen Software und warum sie konsequenterweise immer mehr in den Fokus rückt. Dabei werden die Lücken der Anforderungen an Application Security in den europäischen Regularien für medizinische Software beleuchtet.

Der zweite Teil des Vortrags beginnt mit der Einführung der harmonisierten Norm EN 62304 für die Lebenszyklusprozesse von medizinischer Software. Es wird erläutert, wie Application Security anhand von risikobasierter Betrachtung in den Software-Entwicklungsprozess integriert werden kann. Dabei werden die verschiedenen Entwicklungsphasen wie Anforderungsanalyse, Architekturentwurf, Implementierung und Test berücksichtigt.

Im abschließenden Teil wird das Vorgehen durch ein fiktives Beispiel veranschaulicht. Das fiktive Szenario beschäftigt sich mit medizinischer Software, die Vorhofflimmern durch EKG erkennt und Nachrichten an den Arzt sendet. Drei Sicherheitsaspekte werden betrachtet: Update von Security-Patch, Authentifizierung und Verschlüsselung. Es wird gezeigt, wie diese drei Aspekte in dem Entwicklungsprozess von Anforderungsanalyse, Risikoanalyse bis zur Validierung implementiert werden können.


Ittipan Kanluan ist Referent des Application Security Day 2016Ittipan Kanluan ist als Regulatory Affairs Expert bei der CE plus GmbH tätig. Sein Schwerpunkt liegt in der regulatorischen Betreuung von aktiven Medizinprodukten, insbesondere medizinischer Software/Apps. Unter Berücksichtigung von Standards wie IEC 62304 oder ISO 14971 unterstützt er Medizinproduktehersteller in Ihrem Entwicklungsprozess, angefangen bei der Anforderungsspezifikation bis hin zur Validierung. Er absolvierte sein Studium der Elektro- und Informationstechnik am Karlsruher Institut für Technologie (KIT) und arbeitete vor seiner Tätigkeit bei CE plus als Softwareentwickler bei einem multinationalen Medizintechnik-Unternehmen.

Telefónica Data Anonymization Platform - Big Data meets Security by Design

Referent: Jonathan Ukena, Telefónica Germany GmbH & Co. OHG

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 12:10 - 12:55 Uhr

Vortragsart: Produktbericht

Abstract: Deutsche Datenschutzbestimmungen werden oft als unvereinbar angesehen mit konkurrenzfähigen Big-Data-Produkten. In Politik- und insbesondere Lobbyistenkreisen ist deshalb in diesem Zusammenhang gradezu mantraartig vom "Standortnachteil Deutschland" die Rede und es werden immer wieder Bestrebungen unternommen, die Privatsphäre des Einzelnen aufzuweichen. Wir möchten eine Alternative zu dieser Sichtweise aufzeigen. Umfassende statistische Auswertung personenbezogener Daten unter Wahrung strikter Datenschutzrichtlinien ist per se durchaus nicht unmöglich. Und gerade wegen der besonders restriktiven Datenschutzgesetzgebung hierzulande könnte "Privacy made in Germany" zu einem Qualitätsmerkmal werden, das auch international als Werbeargument für gesellschaftliche Akzeptanz von Big-Data-Anwendungen nutzbar ist. Die Telefónica Data Anonymization Platform (DAP) wurde mit dem Anspruch entwickelt, Mobilfunkdaten vielseitig nutzbar zu machen im Einklang mit den weltweit strengsten Datenschutzstandards. Eine besondere Herausforderung bestand dabei darin, dass selbst ein böswilliger Betreiber der Plattform durch hohe technische Hürden an möglichen Privatsphärenverletzungen gehindert wird. Vertreter der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) hoben bei Begutachtung der DAP lobend hervor, dass nicht einfach nur das juristisch notwendige Minimum an Daten- und Privatsphärenschutz gewährleistet wird; vielmehr setze die DAP neue Maßstäbe.

Wir wollen sowohl einen Einblick in die funktionale Leistungsfähigkeit der DAP vermitteln als auch in dahinterliegende Design-Prinzipien und Beispieltechniken aus der Kryptographie, mit denen der entsprechende Spagat zwischen Datenschutz und Datennutzung gelingt.


Nach einer Ausbildung zum IT-Systemkaufmann spezialisierte sich Herr Ukena im Studiengang Informationsorientierte Betriebswirtschaftslehre an der Universität Augsburg in den Themen Business Intelligence und Mobile Commerce und erwarb zwei Abschlüsse als Bachelor of Science und Diplomkaufmann. Seit 2010 ist er im Digitalbereich von Telefónica Deutschland tätig, wo er seit 2012 die Business-Development-Aktivitäten für den Themenkomplex Big Data verantwortet. Dabei war er unter anderem federführend in der Konzeption der Telefónica Data Anonymization Platform (DAP). Als Business Owner leitet Herr Ukena heute die strategische Weiterentwicklung der Plattform als technische und rechtliche Grundlage einer Vielzahl von Geschäftsmodellen im neu gegründeten Geschäftsbereich Advanced Data Analytics. Herr Ukena verfügt über 15 Jahre Praxiserfahrungen in den Bereichen Informationstechnik und Softwareentwicklung, welche er sich u.a. als Projektleiter in einem mittelständischen Systemhaus, als selbstständiger Berater sowie als Mitarbeiter in der universitären Forschungsgruppe wi-mobile aneignete.

Lineare Software Entwicklung und asynchrone Security Requirements: Security, Entwicklungsprozess, Test und Projektmanagement im Spannungsfeld von Medizintechnik und DoD

Referent: Dr. Ulrich Bierberich, sepp.med GmbH

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 12:10 - 12:55 Uhr

Vortragsart: Erfahrungsbericht

Abstract: Der Vortrag zeigt:
Wie eine in Milestones organisierte Softwareentwicklung im Medizintechik Umfeld mit asynchronen Anforderungen aus NIST STIGs, Vulnerability Listen (CVE, Patchdays), Security Tests nach Anforderungen des Department of Defence und Penetration Tests in Einklang zu bringen sind.
Wie Requirements, die die Funktion des Produkts und solche, die die Sicherheitsanforderungen beschreiben, formuliert und getestet werden können.
Wie die Zusammenarbeit zwischen Softwareentwicklung, TestCenter, externen Pentestern und externen Auditoren funktionieren kann.


Dr. Ulrich Bieberich ist Referent des Application Security Day 2016Ulrich Bieberich arbeitet seit 2001 in der Qualitätssicherung von Medizinprodukten. Sein Schwerpunkt liegt in der Bereitstellung von Testumgebungen, explorativem Test und Planung, Durchführung und Dokumentation von Tests zur Produktsicherheit.

„SAST is a MUST“ – die Statische Code Analyse als integraler Bestandteil der Softwareentwicklung

Referent: Gunner Winkenwerder, Checkmarx Ltd.

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 14:00 - 14:45 Uhr

Vortragsart: Vorgehensbericht

Abstract:

"Der größte Schritt, den Unternehmen heute auf dem Weg zu einer Risikoreduzierung unternehmen können, ist die Herbeiführung wesentlicher Verbesserungen bei mangelhaft entwickelten und unsicheren Softwareanwendungen.“
John Pescatore, Senior Analyst, Gartner

Die meisten Firmen denken beim Thema Sicherheit an ihre IT Infrastruktur und wie man die Sicherheit an den (Außen-) Grenzen erhöhen kann. Die sich häufenden Ereignisse der letzten Zeit - Datenverlust und gezielte Angriffe auch auf namhafte Unternehmen - zeigen klar, daß dieses bei weitem nicht mehr ausreichend ist. Klares Ziel muß es sein Sicherheit bereits während der Entwicklung von Software pro-aktiv zu berücksichtigen, so das eine Applikation in der Lage ist, sich idealerweise selber von innen heraus zu schützen.
Software Security Assurance (SSA) ist eine systematische Strategie zur Beseitigung von Sicherheitsrisiken in Software und zur Einhaltung der behördlichen Vorschriften. Während Software Quality Assurance die korrekte Funktion und Leistung der Software sicherstellen soll, sorgt SSA dafür, dass die Software nicht auf schädliche Weise verwendet werden kann. SSA befasst sich nicht nur mit der Beseitigung akuter Schwachstellen in aktiven Anwendungen, sondern hilft auch systematisch bei der langfristigen Sicherheit neu entwickelter und neu angeschaffter Software.
Abhängig davon wann, wie, wo und von wem diese Softwareanwendungen letztendlich entwickelt wurden, kann die statische Code Analyse (sowie weiterführende Technologien) in unterschiedlichen Betriebsarten zielführend sein.


Gunner Winkenwerder ist Referent des Application Security Day 2016Mr. Winkenwerder joined Checkmarx in 2015 after spending the previous 20 years in various positions in leading IT/Security companies like HP Enterprise Security, Mercury Interactive and PTC. Since 2010 he has a dedicated focus on application security solutions.
Mr. Winkenwerder holds an M.Sc. in Engineering from Texas Tech University, Lubbock, TX, USA. Apart from his native German he speaks English and French.
Checkmarx is a leading provider of security and compliance solutions for the modern enterprise that wants to mitigate risk in their sophisticated and demanding environment and defend against advanced threats.

OWASP Top 10 ProActive Controls

Referent: Ives Laaf, smarthouse adesso financial solutions GmbH

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 14:00 - 14:45 Uhr

Vortragsart: Vorgehensbericht

Abstract: Auf was können und sollten Entwickler achten, beim programmieren um die 'Standard'-Risiken zu vermeiden und zu verhindern, auch bekannt als OWASP Top 10 Risks. Die ProActive Controls setzen davor an, denn üblicherweise steht hinter jedem dieser Risiken eine Zeile Code die am Ende der Auslöser des tatsächlichen Risikos ist. Der Fokus liegt hier auf Web-Anwendungen aber nicht nur, die Beispiele umfassen mehrere Programmiersprachen, da die vorgestellten Konzepte sprachunabhängig sind.

Der Vortrag basiert auf den Folien vom entsprechenden OWASP Projekt.


Ives Laaf ist Referent des Application Security Day 2016- Seit 20 Jahren im Bereich der IT unterwegs immer mit Bezug zu IT-Sicherheit und verteilten Systemen
- Seit 2015 Zertifizierung als CISSP (Certified Information Systems Security Professional)
- Seit 10 Jahren im Bereich der Web-Entwicklung bei Smarthouse
- Als technischer Projektleiter Kundenprojekte entwickelt und Teams betreut, Windows und C# Umfeld
- Als Head of Systems Integration interne Middleware und Projekte operativ betreut
- Seit 2,5 Jahren als Head of Compliance & Quality verantwortlich für IT-Sicherheit, Kundenaudits und generelle QA Maßnahmen
- Ausbildung als Diplom-Informatiker mit Schwerpunkten: Verteilte Systeme, IT-Sicherheit in Verteilten Systemen und Datenbanken
- Viel praktische Erfahrung im Studium durch Mitarbeiten in Studentennetzwerk mit 2.500 Mitgliedern und im Fraunhofer IDMT als Systemadministrator (Unix, Linux, VPN)
- Erfahrung mit PKI-Infrastrukturen durch Mitarbeit im OpenCA-Projekte später OpenXPKI

Threat Modeling - Von Anfang an sichere Webanwendungen

Referent: Dominik Schadow, BridgingIT GmbH

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 14:55 - 15:40 Uhr

Vortragsart: Vorgehensbericht

Abstract: Jede Webanwendung sieht sich einer Vielzahl allgemeiner und spezifischer Bedrohungen ausgesetzt. Zur Entwicklung einer möglichst sicheren Webanwendung ist es daher unbedingt notwendig, sich bereits vor der Implementierung mit möglichen Bedrohungen und den dazu notwendigen Gegenmaßnahmen zu beschäftigen. Nur so lässt sich eine Webanwendung „von innen heraus“ sicher entwickeln.

An genau dieser Stelle setzt das Threat Modeling an. Mit dessen Hilfe können viele vorhandene Bedrohungen einer Webanwendung bereits frühzeitig während dem Entwurf für alle Beteiligten sichtbar gemacht werden. Während der Entwicklung müssen die notwendigen Gegenmaßnahmen anschließend "nur noch" implementiert werden. Welche Gefahren einer Webanwendung drohen ist für Entwickler allerdings gar nicht so einfach feststellbar, pauschale Lösungen helfen kaum weiter. Die Session stellt daher die Grundlagen des Threat Modelings vor und zeigt, wie Entwickler und Architekten bereits vor der Implementierung die entscheidende Basis für die Sicherheit einer Webanwendung legen können. So kann jeder Threat Models der eigenen Webanwendung erstellen, auf Bedrohungen analysieren und die notwendigen Gegenmaßnahmen rechtzeitig einplanen und umsetzen.


Dominik Schadow ist Referent des Application Security Day 2016Dominik Schadow besitzt viele Jahre Erfahrung in der Java-Entwicklung und -Beratung und arbeitet als Senior Consultant beim IT-Beratungsunternehmen bridgingIT. Er ist spezialisiert auf die Architektur und Entwicklung von Java Enterprise Applikationen, Enterprise Application Integration und die sichere Softwareentwicklung mit Java. In Trainings und Coachings überzeugt er andere Entwickler von der sicheren Entwicklung mit Java. Daneben ist er seit vielen Jahren regelmäßiger Speaker auf verschiedenen Konferenzen rund um die Themen Java und sichere Softwareentwicklung, Buchautor (Java-Web-Security - Sichere Webanwendungen mit Java entwickeln) und Autor zahlreicher Fachartikel. In seiner Freizeit leitet er das Open-Source-Projekt JCrypTool, mit dem Anwender für die Kryptografie begeistert werden und ihre eigenen Krypto-Plug-ins entwickeln können.

Erweiterung des klassischen Entwicklungsprozesses hinsichtlich Security-Aspekten

Referenten: Thomas Geigl und Benedikt Meier, Inopus GmbH

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 14:55 - 15:40 Uhr

Vortragsart: Vorgehensbericht

Abstract: Dieser Vortrag behandelt die Erweiterung des klassischen Entwicklungsprozesses hinsichtlich Security-Aspekten, sowie die daraus resultierenden Einflüsse.
Zu Beginn wird dem Zuhörer näher gebracht, was eine Application ist und warum Security heutzutage nötig ist inkl. Einiger Beispiele aus heutige Zeit.
Anschließend werden kurz klassische Entwicklungsmodelle vorgestellt, sowie was das Risikomanagement und Meilenstein-Planung für diesen Prozess bedeutet.
Daraufhin wird vorgestellt wie der klassische Entwicklungsprozess durch den Security Aspekt erweitert werden muss.
Dazu gehören auch Security Standards, wo ein Überblick gegeben wird und die jeweilige Vorgehensweise wie Common Criteria, NIST, ISO 29119 sowie auch Maturity Modelle wie opensamm und bsimm.
Zu guter Letzt präsentieren wir dem Zuhöhrer die praktische Umsetzung exemplarisch anhand der Inopus ALM² SW. Dies ist eine webbasierte Application Lifecycle Management Anwendung, womit sich die Security Aspekte sehr gut abbilden lassen.


Thomas Geigl ist Referent des Application Security Day 2016Thomas Geigl

Benedikt Meier ist Referent des Application Security Day 2016Benedikt Meier

Original oder Fälschung? Präventiver Schutz ist effektiver als Verklagen.

Referent: Günther Fischer, WIBU Systems AG

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 16:10 - 16:55 Uhr

Vortragsart: Vorgehensbericht

Abstract: Produktpiraterie ist das Geschwür der heutigen Wirtschaft. Es handelt sich um eine fortschreitende Krankheit, die unbemerkt wuchert und mit rasanter Geschwindigkeit wächst. Kopiert wird heute nahezu alles. Das Einsparpotential bei Investitionen in Forschung und Entwicklung treibt die Plagiate-Industrie geradezu an. Die Bedrohungsszenarien der Originalhersteller sind dabei vielfältig. Es fängt bei rückläufigen Absatzzahlen der eigenen Produkte an und geht über die Kooperation mit Zulieferern weiter. Denn auch das Verarbeiten von Suppliern gelieferten gefälschter Komponenten birgt das Risiko später in die Gewährleistung zu gehen. Danach helfen nur noch juristische Maßnahmen und das kann teuer und sehr aufwendig werden. Physische Güter sind heute leider schwer zu schützen. Das Know-how heutiger Produkte steckt aber nahezu ausschließlich in der mit den Geräten gelieferten Software. WIBU Systems bietet hierfür langjährige Erfahrungswerte und vielfach erprobten Lösungen zu Softwareschutz, Know-how-Schutz und Integritätsschutz. Im Fokus steht dabei immer die Software – ob als PC-Software oder als Embedded-Anwendung im Gerät.

Was lernen die Zuhörer in dem Vortrag:

Technisch-präventiver Schutz von Software, Daten und Geräten:

• Softwareschutz durch Verschlüsselung
• Schutz sensibler Aufzeichnungsdaten vor Manipulation durch Integritätsschutz
• Schutz vertraulicher Daten vor Missbrauch durch Verschlüsselung
• Integritätsschutz von Geräten durch Einsatz von Zertifikaten und Verschlüsselung
• Bedarfsgerechte Wartungs- und Pay Per Use Modelle
• Zeitlich gesteuerte Rechtevergabe für Wartungstechniker


Günther Fischer ist Referent des Application Security Day 2016Günther Fischer arbeitet bei der WIBU-SYSTEMS AG, als Senior Licensing and Protection Consultant. Er berät ISVs bei der Planung und Umsetzung von geschützten SW Systemen. Sein Ziel ist es dabei Know-How Schutz, Manipulationsschutz und gleichzeitig neue Geschäftsmodelle zu ermöglichen. Er ist seit mehr als 29 Jahren in der SW Industrie tätig.

Einflüsse von Application Security auf den Entwicklungsprozess unter Berücksichtigung des Projektmanagement inklusive dem Aspekt, wie eine App sicher entwickelt und über den gesamten Lebenszyklus sicher gehalten werden kann

Referent: Bernd Fuhlert, @-yet GmbH

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 16:10 - 16:55 Uhr

Vortragsart: Vorgehensbericht

Abstract: Aufgrund der vielfältigen Anwendungsmöglichkeiten sind Apps mittlerweile aus dem Unternehmensalltag nicht mehr wegzudenken. Doch aufgrund der verbreiteten Nutzung von Apps im Unternehmensumfeld steigt auch die Notwendigkeit des Testens. Denn Fakt ist, dass beim Programmieren Fehler unterlaufen und in bestimmten Bereichen und Branchen, wie Banking, zusätzlich gezielte Manipulationen ein hohes Risiko darstellen. Von daher ist es generell unbedingt empfehlenswert, jede App auf die geläufigen Schwachstellen bei der Programmierung zu überprüfen und im Rahmen des Secure Software Development Lifecycle sicherzustellen, dass definitiv nur die geprüften Versionen auch bei Mitarbeitern und Kunden zum Einsatz kommen.

Im Rahmen des Vortrags sollen folgende Aspekte näher beleuchtet werden:

- Wie wird es möglich von der Beauftragung über die Vertragsgestaltung (e.g. Herausgabe Source Code), die Entwicklung bis hin zum fertigen Produkt inklusive Auslieferung und Nutzung den Einsatz vertrauenswürdiger Software zu gewährleisten
- Grundlagen der sicheren App-Programmierung
- Risiken durch Manipulation und unsichere Software
- Prozesse und Techniken zum sicheren Secure Software Development Lifecycle


Bernd Fuhlert ist Referent des Application Security Day 2016Bernd Fuhlert ist Geschäftsführer der @yet GmbH. Seine zentralen Handlungsfelder sind Datenschutz und Online Reputation Management.

Als freier Dozent ist er an der Quadriga Hochschule Berlin sowie für den Management Circle tätig.

Für den BvD e.V. doziert er zum Thema Neue Medien bundesweit an Schulen der Sekundarstufe I & II und veröffentlicht monatlich eine Kolumne in der Zeitung „Datenschutz Digital“ des VNR Verlages. Zudem ist er Autor/Urheber zahlreicher weiterer Veröffentlichungen. Er verfügt über TÜV-Zertifizierungen als Datenschutzbeauftragter, Datenschutzauditor sowie als Chief Information Security Officer, der mit allen Fragen rund um § 11 BDSG-Audits (Bundesdatenschutzgesetz) vertraut ist. Bernd Fuhlert ist als externer Datenschutzbeauftragter renommierter Unternehmen bestellt.

"Stirb langsam Industrie 4.0" - Wie kann ich mich vor Stuxnet & Co schützen?

Referent: Dietmar Wyhs, AlgoSec Ltd.

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 17:05 - 17:50 Uhr

Vortragsart: Vorgehensbericht

Abstract: - Unterschiede sowie Vor- und Nachteile verschiedener Techniken und Technologien (Code Scanning, Binäre Schutzmechanismen, Fuzzing, etc.)
- Die Risiken der Industrie 4.0 (IoT) oder „Stirb Langsam 4.0“ - Ist das nun Fiktion oder Realität?
- Thesen zu Security in Industrie 4.0
- Welche Möglichkeiten habe ich einen besseren Schutz zu erreichen
- Applicationsecurity: SAST, SCA, DAST und IAST
- Housekeeping (monitoring): FPM + IoC/Thread Management


Dietmar Wyhs ist Referent des Application Security Day 2016Dietmar Wyhs

Sicherheit in agilen Entwicklungsprozessen oder warum ein auf Sand gebautes Haus niemals sicher wird

Referent: Dr. Bastian Braun, mgm security partners GmbH

Tag und Uhrzeit: Dienstag, 06. Dezember 2016, 17:05 - 17:50 Uhr

Vortragsart: Erfahrungsbericht

Abstract: Dieser Vortrag soll neue Herausforderungen bezüglich der Sicherheit agil entwickelter Webanwendungen beleuchten. Die bisher etablierten klassischen Prozesse sehen eine Phase während der Entwicklungszeit vor, in der die Webanwendung auf Schwachstellen untersucht wird. Diese Phase wird üblicherweise zwischen dem Abschluss der Implementierung und der Veröffentlichung („Release“) der Anwendung eingeplant. Vor dem Hintergrund einer zyklischen agilen Entwicklung, in deren Rahmen neu implementierte Funktionen zeitnah in Produktion gehen und sich Entwicklung und Release zeitlich nicht mehr trennen lassen, ist eine solche Testphase allerdings nicht eindeutig festzulegen. Im Status Quo werden üblicherweise neu entwickelte Funktionen zunächst zurückgehalten und erst zu einem späteren Zeitpunkt gesammelt in die Produktionsumgebung eingepflegt („deployment“). Vor diesem künstlich eingeführten Deployment findet dann wie bisher eine Testphase statt. Insofern werden dem neuen agilen Vorgehen die klassischen Phasen übergestülpt, um die Qualitätssicherung und Sicherheit gewährleisten zu können. Damit beraubt man diesen Prozess jedoch seiner größten Vorteile. Andererseits wäre eine Testphase in jedem Entwicklungszyklus wirtschaftlich nicht abbildbar.

Dieser Vortrag soll die bisherigen Erfahrungen, die in Zukunft zu einer Best Practice für die Herstellung von Sicherheit in agil entwickelter Software führen sollen, zusammenfassen. Auf sich als weniger praktikabel herausgestellte Ideen soll dabei im gleichen Maße eingegangen werden, wie auf gelungene Ansätze. Wir können dabei auf die Erfahrung aus der Begleitung von Entwicklungsprozessen in zahlreichen Projekten unterschiedlicher Unternehmen zurückgreifen. Diese Begleitung beginnt üblicherweise in der Design-Phase einer Anwendung und dauert bis zu einer stabilen Produktivversion. Wir zeigen neben den Besonderheiten der agilen Entwicklung auch Beispiele für die Überlegenheit der Security by Design, die die Sicherheit während der gesamten Entwicklungsphase sicherstellt, gegenüber einer testgesteuerten Sicherheitsphilosophie, die nur zu wenigen Zeitpunkten oberflächliche Überprüfungen vornimmt.

Unsere Erkenntnisse sollen anderen mit Software-Entwicklung befassten Verantwortlichen helfen, auf bestmögliche Art IT-Sicherheit in ihre agilen Prozesse zu integrieren und dabei Fehlentwicklungen zu vermeiden. Wir sind gleichermaßen an den Erfahrungen anderer interessiert, um unsere Prozesse zu verfeinern.


Bastian Braun arbeitet als Senior Consultant IT Security bei mgm security partners. Er unterstützt Entwickler-Teams bei der Integration von IT-Sicherheit, gibt Seminare für Entwickler, Projektleiter, Entscheidungsträger und Penetrationstester und führt Produkt- und Sicherheitsanalysen durch. Bastian ist Mitglied des deutschen OWASP Chapter Boards und regelmäßiger Sprecher auf einschlägigen Konferenzen.

Copyright © 2017 HLMC Events GmbH