Rückschau secIT 2025 – alte Gefahren in neuem Gewand
Auf der IT-Security-Konferenzmesse zeigt sich KI weiter als Gefahrenmultiplikator. Die moderne Cloud- und Lieferkettenkomplexität potenziert Sicherheitsrisiken.
Vom 18. bis zum 20. März 2025 öffnete die secIT wieder ihre Tore, die in Hannover ansässige IT-Security-Messe, die heise medien ausrichtet. Lesern wird der eine oder andere Name von Referenten schon bekannt vorgekommen sein. Im Fokus standen redaktionell ausgewählte Inhalte für CISOs und Admins, kuratiert von iX-Redakteurin Ute Roos und c’t-Redakteur Dennis Schirrmacher. Dabei erreichte die Messe dieses Jahr neue Bestmarken: vier statt wie bisher zwei Bühnen, über 4.000 Teilnehmer, 140 Aussteller und 21 Kilo gemahlene Espressobohnen. Zusammen mit der Nürnberger IT-sa und der IT-Defense in Leipzig bildet die secIT damit ein mittlerweile fest etabliertes Dreieck in der deutschen IT-Security-Szene – ein Pflichttermin, meint ein nicht namentlich genannter Beamter der Bundespolizei.
Am 18. März 2025 hielt die secIT Workshops von Incident Response bis Identity Management bereit, an den beiden Messetagen konnten Besucher zwischen 50-minütigen redaktionellen und 20-minütigen gesponserten Vorträgen wählen. Darüber hinaus setzte die secIT einen neuen Schwerpunkt mit einer eigenen Bühne für "Women in Tech". Dort berichtete etwa Wissenschaftsjournalistin Eva Wolfangel über ihre Erfolge beim durchaus sicherheitsrelevanten Überlisten von KI-Modellen, auch beim Panel mit Prof. Anett Mehler-Bircher, Securityexpertin Tania Khasal von der VW-Tochter CARIAD und Beraterin Sarah Kisliuk ging es um Chancen und Risiken von KI in der IT-Security.
Ein anderes anderthalbstündiges Panel widmete sich dem Thema NIS2 und beleuchtete sowohl die Sinnhaftigkeit als auch Umsetzungswege der Regulierung. Das Fazit der Expertinnen und Experten: Letztlich verlangt NIS2 keine Sicherheitsmaßnahmen, die nicht sinnvoll wären, und zwingt Unternehmen dazu, sich mit dem Thema IT-Sicherheit zu beschäftigen – was sowieso jedes Unternehmen dringend tun sollte.
Aktuelle Bedrohungslage
Stefan Strobel, Gründer der Sicherheitsberatung cirosec, leitete die Konferenz mit einem Überblick zum mittlerweile professionalisierten, arbeitsteiligen Ransomwaremarkt ein. Wer Ransomware as a Service bereitstellt, hat kaum mehr etwas mit den Angreifern zu tun, die den Zugang zum Unternehmen erlangen. Andere Akteure widmen sich wiederum bloß dem Transport der Ransomware in das Netzwerk. Diese Arbeitsteilung sorgt dafür, dass die Gefahr durch ausgenutzte Zero-Day-Lücken wächst. Die Bedrohung durch Supply Chain Attacks wiederum steigt proportional zur Komplexität moderner Systemkomponenten. Und auch Trends in der Entwicklung wie Low und No Code sowie KI stellen Risiken dar, hauptsächlich durch das unüberwachte Weitertragen von Schwachstellen.
In einem anderen Vortrag widmete sich Strobel ausführlich der Geschichte der Supply Chain Attacks. Der Angriffsvektor stecke tief in den Fundamenten der IT: Schon 1984 nahm sich Ken Thompson im Paper "Reflections on Trusting Trust" vor, einen Microcode-Bug in den C-Compiler einzuschleusen. Er zog dabei den eindeutigen Schluss: "You can’t trust code that you did not toally create yourself. [...] no amount of source-level verification or scrutiny will protect you from using untrusted code." 40 Jahre später ist die Erkenntnis aktueller denn je, wie der Bogen zeigt, den Strobel zu modernen Klassikern wie SolarWinds und XZ Utils und dem kaum zwei Wochen vor der secIT entdeckten GitVenom spannte. Die Kampagne lud über 200 spannend oder nützlich klingende Bibliotheken auf GitHub hoch und versteckte darin Malware.
Es bleibt der ernüchternde Schluss, dass Prävention in der Praxis kaum machbar ist. Nur die Konzentration auf Schadensbegrenzung und die Erkennung von verdächtigen Aktivitäten seien sinnvolle Maßnahmen, so Strobel. Zero Trust ist hier das Schlagwort, mit dem der cirosec-Chef die Zuhörer in die Kaffeepause entlässt – "Assume Breach" und "Never Trust, always verify".
