Auch dieses Jahr richtet das German Chapter des Open Worldwide Application Security Project (OWASP) seine nationale Konferenz aus. Am 12. und 13. November erwartet alle Interessierten in Leipzig eine Mischung aus Seminaren, Talks und Abendveranstaltungen – alle mit dem Ziel: Austausch von Wissen und Erfahrungen.
Besonders der Hauptveranstaltungstag am 13. November bietet eine Vielzahl an technischen und nicht-technischen Vorträgen zum Thema Anwendungssicherheit. Auch Experten der usd sind mit einem Vortrag vertreten: „SAP from an Attacker's Perspective – Common Vulnerabilities and Pitfalls“.
Nicolas Schickert und Ole Wagner, Pentester im usd HeroLab, führen regelmäßig Pentests von SAP-Systemen durch und wissen um die Besonderheiten, erforderlichen Fachkenntnisse und Stolpersteine, auf die es bei der Analyse von SAP-Infrastrukturen ankommt. Ihre Erkenntnisse aus einer Vielzahl von Prüfungen möchten sie daher mit der Community teilen.
„Die Sicherheit von SAP-Systemen stellt eine zunehmende Herausforderung für Unternehmen dar. Unser Vortrag beleuchtet häufige Schwachstellen und Angriffsvektoren in SAP-Systemen aus der Sicht eines Angreifers und bietet praktische Ratschläge zur Minderung dieser Bedrohungen. Anhand von Beispielen und Tools wie unserem sncscan möchten wir Administrator*innen und anderen Security Expert*innen aufzeigen, wie sie Verschlüsselungs- und Signierungseinstellungen von SAP-Systemen bewerten können, um die Vertraulichkeit und Integrität sensibler Daten zu gewährleisten.“
Nicolas Schickert, usd HeroLab
Angesichts der wichtigen Rolle des German OWASP Day für den Austausch unter Sicherheitsexpert*innen unterstützt die usd die Veranstaltung zudem als Sponsor.
Über OWASP:
Das Open Worldwide Application Security Project (OWASP) ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen, Diensten und Software im Allgemeinen zu verbessern. Durch Schaffung von Transparenz sollen Endanwender und Organisationen fundierte Entscheidungen über wirkliche Sicherheitsrisiken in Software treffen können.
Daher unterstützt OWASP den Aufbau von wirkungsvollen Projekten, entwickelt und pflegt Gemeinschaften durch Veranstaltungen und Chapter-Treffen weltweit und stellt Publikationen und Ressourcen zur Verfügung, um Entwickler*innen in die Lage zu versetzen, bessere Software zu schreiben, und Sicherheitsexpert*innen zu befähigen, Software sicherer zu machen.
Update 14.11.2024: Aufzeichnung des Talks verfügbar
Für alle, die nicht in Leipzig dabei sein konnten, hat der Chaos Computer Club hier eine Aufzeichnung des Talks zur Verfügung gestellt: https://media.ccc.de/v/god2024-56278-sap-from-an-attackers-pers
