Auf der diesjährigen Black Hat USA-Konferenz in Las Vegas standen nicht nur spektakuläre neue Angriffstechniken im Fokus – auch eine neue Zuversicht in puncto Software-Sicherheit machte sich bemerkbar. Zwischen Live-Demonstrationen, Forschungsergebnissen und strategischen Diskussionsrunden zeichnete sich ab: Ein Paradigmenwechsel ist im Gang.
Neue Angriffsmethoden im Fokus: Angriffspunkte auf alles, was vernetzt ist
Die Black Hat-Konferenz hat sich seit ihrer Gründung 1997 zur führenden Plattform für Security Professionals und Forscher entwickelt. Das diesjährige Event, das vom 2. bis 7. August 2025 im Mandalay Bay Convention Center stattfand, präsentierte bedenkliche Entdeckungen. So wurde unter anderem deutlich, wie stark sich Cyberangriffe weiterentwickeln – nicht nur in Raffinesse, sondern auch in Breite.
Ein herausragendes Thema war die Kompromittierung von Large Language Models (LLMs) durch sogenannte „Prompt Injection“-Techniken. Forscher der Northwestern University zeigten in einem vielbeachteten Vortrag, wie manipulierte User-Prompts in Kombination mit verstecktem Kontext dazu führen können, dass selbst gut trainierte KI-Systeme sicherheitskritische Informationen preisgeben oder falsche Anweisungen befolgen. Solche Angriffe stellen eine ernsthafte Gefahr in produktiven KI-Anwendungen dar.
Ebenfalls alarmierend: Neue Ways of Exploitation durch „Browser-in-the-Browser“-Angriffe. Laut dem Vortrag von Red Team Alliance zeigen sich Browser-Fenster als besonders verwundbare Oberfläche für Credential Harvesting. Dem Nutzer wird dabei ein Popup im Webdesign des Betriebssystems präsentiert – ein präzise nachgeahmtes Login-Fenster etwa von Microsoft oder Google. Der Trick umgeht gängige Zwei-Faktor-Verfahren durch Social Engineering mit hohem Perfektionsgrad.
Ein weiteres Highlight: Die Rekonstruktion realer Angriffe auf ICS-Systeme (Industrial Control Systems). Sicherheitsforscher der Firma IOActive führten vor, wie über manipulierte Protokolle in SCADA-Umgebungen Zugriff auf Stromverteilungssysteme gewonnen werden kann – ein mögliches Ziel auch für staatlich motivierte Akteure.
Sicherheitslage: Zahlen, Fakten, Trends
Laut dem aktuellen Sophos 2025 Threat Report sind 92 % aller befragten Unternehmen weltweit im Laufe der vergangenen zwölf Monate Ziel eines Cyberangriffs gewesen – besonders häufig durch Ransomware und Credential Stuffing. Noch dramatischer: Durchschnittlich 16 Tage dauert es laut IBM Cost of a Data Breach Report 2025, bis ein Angriff überhaupt identifiziert wird.
Die Black Hat bestätigte diesen Trend. Im Interview sagte Chris Krebs, ehemaliger Direktor der CISA und heutiger Berater für Cybersicherheitsstrategie: „Wir müssen erkennen, dass Cyberresilienz nicht länger eine Option ist – sie ist das Fundament für Vertrauen in die digitale Gesellschaft.“
Er hob hervor, wie wichtig es sei, Sicherheit schon früh in der Softwareentwicklung mitzudenken – durch Techniken wie Security-by-Design, Zero-Trust-Architekturen oder automatisierte Secure Code Reviews.
Wachsende Hoffnung: Movement Richtung sicherer Software
Trotz zahlreicher Bedrohungsszenarien war die Grundstimmung vieler Sessions erstaunlich konstruktiv. Viel diskutiert wurde der Shift vom klassischen „Patch & Pray“-Ansatz hin zu präventiven Sicherheitsmaßnahmen. Neue Werkzeugketten für Entwickler ermöglichen es, Schwachstellen bereits im Coding-Prozess zu erkennen statt erst nach Release.
Ein vielbeachteter Vortrag kam von Google-Softwareingenieur Maddie Stone, die ihre Erfolgsstrategie für das Auffinden von 0-Day-Schwachstellen vorstellte. Stone kritisierte, dass viele Organisationen zwar Bug Bounties ausschreiben, jedoch keine ausreichende Infrastruktur besitzen, um Schwachstellen nachhaltig aus Produkten zu entfernen. Ihre Forderung: stärkere Integration von Threat-Modeling in Entwicklungs-Sprints.
In einer weiteren Session erläuterten Forscher der Universität Berkeley, wie sich durch den Einsatz formaler Verifikation sicherheitskritische Komponenten beweisbar absichern lassen – bereits in der Entwurfsphase. Erste industrielle Piloten laufen unter anderem im Cloud-Bereich sowie in sicherheitsrelevanter Medizintechnik.
Hier sind drei praktische Empfehlungen für Unternehmen und Entwicklerteams:
- Führen Sie automatisierte SAST (Static Application Security Testing) frühzeitig in Ihren DevSecOps-Prozess ein
- Nutzen Sie Threat-Modeling-Workshops vor dem Release größerer Feature-Versionen
- Erheben Sie Metriken zur Mean-Time-to-Patch (MTTP) und optimieren Sie Ihre Reaktionszeiten kontinuierlich
Gespräch mit einem Sicherheitsexperten: Dr. Lisa Bender (CISO, QuantumWave Systems)
Im Rahmen der Konferenz hatten wir die Gelegenheit, mit Dr. Lisa Bender über aktuelle Herausforderungen und Chancen zu sprechen. Die promovierte Kryptografin und heutige Chief Information Security Officer (CISO) bei QuantumWave Systems gilt als Vordenkerin in Sachen Software-Absicherung auf Basis von Codeanalysetools und automatisierten CI/CD-Prozessen.
TechMagazin.de: Frau Dr. Bender, was war Ihr persönliches Highlight der diesjährigen Black Hat?
Dr. Bender: Definitiv das Panel zur Sicherheit von KI-Modellen. Wir stehen an einem Punkt, an dem wir maschinelles Lernen in fast jedem Produkt finden – aber es fehlen oft noch Normen, wie Angriffsszenarien systematisch abgeprüft werden. Ich plädiere für einen KI-Sicherheits-Standard ähnlich dem OWASP Top 10 für Web-Apps.
TechMagazin.de: Wo sehen Sie im Moment die größten Lücken bei der Software-Sicherheit?
Dr. Bender: Es fehlt vielerorts am Security Ownership – also dem klaren Verantwortungsbewusstsein im Entwicklerteam. Sicherheitsvorgaben sind oft delegierte Anforderungen, aber nicht mentaler Bestandteil der Produktverantwortung. Wer Software sicherer machen will, muss Sicherheit lieben wie Funktionalität.
TechMagazin.de: Vielen Dank für das Gespräch!
Ausblick: Wann wird Software „sicher genug“ sein?
Ein zentrales Leitthema der Konferenz lautete auch: Wie lange dauert es noch bis zu einem Reifegrad, bei dem Software als verlässlich und dauerhaft sicher gelten kann? Die kurze Antwort vieler Experten: Wahrscheinlich nie – aber das Ziel sollte sein, Risiken gezielt zu minimieren und kontinuierlich zu lernen.
Security-by-Design wird zum anerkannten Standard, wie neue Commitment-Initiativen großer Cloudanbieter belegen. So verpflichteten sich beispielsweise Microsoft, Amazon und Google auf der RSA 2025 zu gemeinsamen Standards für sichere Softwarelieferketten – inklusive automatisierter Signaturen, reproducible Builds und Rollback-Verfahren.
Das Thema Lieferkettensicherheit – „Software Supply Chain Security“ – war erwartungsgemäß auch auf der Black Hat omnipräsent. Eine aktuelle Umfrage von Palo Alto Networks unter 1.500 Sicherheitsverantwortlichen ergab: Über 78 % der Unternehmen planen in den nächsten 12 Monaten Investitionen in SBOMs (Software Bill of Materials), um ihre Abhängigkeiten transparenter und nachvollziehbarer zu machen. Diese Maßnahme wird zunehmend regulatorisch gefordert, etwa durch das US National Cybersecurity Strategy Framework.
Zusätzlich gewinnen neue Standards wie SLSA (Supply-chain Levels for Software Artifacts) und Sigstore als Open-Source-Projekt zur sicheren Code-Verifizierung an praktischer Bedeutung.
Fazit: Zwischen Bedrohung und Bewegung – der Wandel ist spürbar
Die Black Hat 2025 hat erneut bewiesen, dass die IT-Sicherheit nicht stehen bleibt. Während Angreifer neue Wege nutzen, zeigt die Security-Community zunehmende Professionalität, technologische Reife und strategische Weitsicht. Der Druck steigt – nicht nur durch zunehmende regulatorische Anforderungen, sondern auch durch das Erwartungsniveau der Kunden in Sachen Vertrauenswürdigkeit digitaler Produkte.
Für Unternehmen bedeutet das: Je früher Sicherheit integraler Bestandteil von Architekturentscheidungen wird, desto besser. Für Entwickler: Weiterbildung, Tools und Security-Awareness gehören heute zur Kernkompetenz. Für uns alle: Sicherheit ist Teamarbeit.
Diskutieren Sie mit: Was war für Sie das spannendste Thema der Black Hat 2025? Welche Trends sind für Ihre Organisation am relevantesten? Schreiben Sie uns oder teilen Sie Ihre Eindrücke in den Kommentaren!
