Testen mit zufällig generierten Eingaben ("Fuzzing") ist ein etabliertes Verfahren, um automatisch und kostengünstig Schwachstellen in Programmen zu finden. Rein zufällige Eingaben dringen eignen sich jedoch nicht, tief in den Programmcode vorzudringen.

In meinem Vortrag stelle ich aktuelle Techniken und Werkzeuge des grammatikbasierten Fuzzing vor, mit denen sich beliebig viele syntaktisch gültige Eingaben erzeugen lassen - Techniken, die etwa im Firefox-Webbrowser bisher mehr als 4000 Fehler gefunden haben. Zukünftig wird es sogar möglich sein, Grammatiken automatisch aus Programmen zu extrahieren, was das Testen dann vollends automatisiert.

SAP-Systeme sind gerade bei großen Konzernen als zentraler ERP-Bestandteil weit verbreitet. Diese Systeme enthalten typischerweise viel selbst entwickelten ABAP-Code und sind zunehmend auch über das Internet zugänglich. Damit stellen sie ein lohnendes Ziel für Angriffe auf die Unternehmen dar.

Wir stellen ein Analyseframework vor, das Sicherheitsprobleme im ABAP-Code aufdeckt und den Entwicklern zugänglich macht. Das Framework nutzt dafür eine inter-prozedurale Datenflussanalyse, die Werte aus Nutzereingaben im Datenfluss verfolgt (taint analysis). Um diese Analyse effizient auf großen Codemengen (mit Historie) auszuführen nutzen wir eine inkrementelle Analyse, die für jede Änderung nur den davon beeinflussten Code neu analysiert. Gefundene Probleme werden dann visuell aufbereitet und dem Entwickler angezeigt. Diese Analyse ist Teil unserer Software Intelligence Suite Teamscale.

Es ist allgemein anerkannt, dass Sicherheitstests möglichst automatisiert durchgeführt werden sollen. Hierzu gibt es eine Vielzahl von verschiedenen Werkzeugen von verschiedenen Anbietern. Da unterschiedliche Testwerkzeuge unterschiedliche Vor- und Nachteile besitzen, legt die Auswahl des für die eigene Entwicklung geeigneten Werkzeuges die Grundlage von Erfolg oder Misserfolg von Sicherheitstests in der Entwicklung.

In diesem Vortrag werde ich und Überblick, was man von (kommerziellen) Application Security Testing Werkzeugen erwarten kann, worauf man bei der Auswahl Wert legen sollte und berichten über meine Erfahrungen bei der Einführung in eine großen, weltweiten Entwicklungsorganisation.

Sichere SW-Entwicklung ist besonders eine Frage der richtigen Fokussierung und Prioritäten.

Dabei ist es für die nicht-funktionale Anforderung einer "sicheren" Softwarehäufig sehr schwer im Konkreten zu entscheiden: wann hat man genug getan?

Der pragmatische Einsatz von Threat Modelling hilft beim Identifizieren der kritischen Komponenten und vorhandener Sicherheitsrisiken. Die daraus abgeleiteten Sicherheitsanforderungen erlauben eine nachvollziehbare klare Priorisierung bei der Planung und Umsetzung von SW-Entwicklungs- und Implementierungs-Projekten.

Im Vortrag werden Grundlagen, Erfahrungen, Best Practices und typische Beispiele und mögliche Fallstricke präsentiert.

Immer mehr Unternehmen entscheiden sich für die Einführung von agilen Software-Entwicklungsmethoden, um zum Beispiel schnell auf neue Kundenanforderungen reagieren zu können. Allerdings werden diese agilen Methoden hauptsächlich von Projektmitgliedern aus Fachbereichen und der Softwareentwicklung genutzt. Für das schnelle Ausliefern von neuen Software-Features und neuen Innovation, müssen die anderen Einheiten der IT-Organisation wie bspw. der IT-Betrieb auch mit eingebunden werden. Daher wird empfohlen, anstatt einer klassischen Silo-orientierten IT-Organisation, eher Cross-funktionale IT-Teams in der IT-Abteilung zu integrieren. Daher entscheiden sich immer mehr Unternehmen solche Cross-funktionalen DevOps Teams in ihrer Organisation zu integrieren.

Prominente Beispiele wie Amazon zeigen, dass sie mit Hilfe von DevOps in der Lage sind alle elf Sekunden zu deployen. Allerdings ist neben diesen prominenten Beispielen wenig über die Einführung des DevOps Konzeptes bekannt. Daher haben wir uns entschieden eine Studie zum Thema DevOps durchzuführen und zehn Firmen zu befragen, die bereits seit längerer Zeit DevOps-orientiert arbeiten. Das Ziel der Umfrage war, herauszufinden, mit welchen Herausforderungen und Problemstellungen die Unternehmen konfrontiert sind, sowie die praktischen Vorteile von DevOps zu eruieren. In der Präsentation werden unsere Ergebnisse und praktischen Implikationen dargestellt.

Durch die Agile Transformation und die Adaption von DevOps werden bestehende Security Prozesse unbrauchbar, die bei einem Vorgehen nach Wasserfallmodell sichergestellt haben, dass Security in die entwickelte Software eingebaut wird. Es gilt neue Ansätze zu nutzen, die nicht außerhalb der Softwareentwicklung verankert werden, sondern Prinzipien wie Team Empowerment und Werkzeuge wie Continious Delivery (CD) verwenden.

Dieser Vortrag gibt einen Überblick über DevSecOps und Security Belts, die bei der AXA als Anreiz- und Maturity-Modelle für Entwicklungsteams verwendet werden. Außerdem wird die Integration von Security Tests und insbesondere Security Architecture Analysis in CD vorgestellt.

The industrial internet of things (IIOT) is one of the cornerstones that drive the so called Industry 4.0 trend into a fully digitalized industrial landscape. The presentation will give insights into the approaches of bespoke solution and platform approach. It will show the required components and architecture for such IoT solutions. A further deep dive into the platform approach will show

• use cases examples
• challenges when operating such platforms
• security considerations and concepts that are implemented

Cumulocity, as one of the leading platform providers that powers the IoT solutions in many fields of IIoT and beyond, is supporting Enterprises and large communication providers in deploying large scale IIoT solutions.