NDC Security 2026 in Oslo: Security als integraler Bestandteil der Softwareentwicklung
Auch dieses Jahr waren wir wieder mit einem kleinen Team an der NDC Security in Oslo präsent. Vier Tage lang drehte sich alles um das Thema Security. An den ersten beiden Tagen standen intensive Hands-on-Workshops auf dem Programm, an den letzten beiden Tagen Vorträge und Diskussionen rund um aktuelle Security-Themen. In einer Zeit, in der sich die Ereignisse rund um KI-Agenten, Agentic Coding und Vibe Programming geradezu überschlagen, ist es wichtig, bestehende Prozesse zu hinterfragen und neue Risiken mitzudenken. Dafür müssen wir auch die Perspektive der Angreifer einnehmen: Wie gehen sie vor, welche Schwachstellen nutzen sie aus und wo entstehen durch neue Technologien neue Risiken? Die NDC Security liefert genau das: praxisnahes Wissen, das direkt angewendet werden kann.
Unsere DevOps-Experten Oli und Nenad haben die diesjährige NDC Security in Oslo besucht und fassen die Highlights aus ihrer Sicht zusammen.
Highlights aus den Workshops
Full Stack Pentesting Laboratory
Im Workshop von Dawid Czagan haben wir Dutzende Angriffsszenarien aus der Perspektive eines Pentesters durchgespielt. Von Cloud-Fehlkonfigurationen und Injection-Angriffen über Reverse-Proxy-Bypasses und manipulierten Datei-Uploads. Der Fokus lag bewusst auf der Seite der Angreifer, denn wer versteht, wie sie vorgehen, kann Schwachstellen bereits in der Entwicklung vermeiden, in der CI/CD-Pipeline automatisiert erkennen und im Betrieb gezielt überwachen.
Bulletproof APIs: Hands-On API Security
Im zweiten Workshop von Philippe De Ryck drehte sich alles um API-Sicherheit. Der Mix aus Deep-Dive-Talks, Hands-on-Labs und Quizzes war gut gewählt. Wir haben APIs sowohl aus der Angreifer- als auch aus der Verteidigerperspektive unter die Lupe genommen. Thematisch ging es quer durch die typischen API-Schwachstellen: fehlerhafte Autorisierung (BOLA, BOPLA), JWT-Probleme, SSRF und CORS-Fehlkonfigurationen, mit einem besonderen Fokus auf OAuth 2.x. Letzteres ist für uns zentral, da wir vielerorts OAuth 2 für unsere Kunden implementieren, beispielsweise in unserem geopilot.
Security Development Lifecycle und KI-bedingte Herausforderungen
Michael Howard, seit über 30 Jahren bei Microsoft und Co-Architekt des Security Development Lifecycle, eröffnete die Konferenz mit einem ehrlichen Rückblick auf 25 Jahre Security Development Lifecycle. Er erläuterte, was funktioniert hat und was nicht und wie sich aus seiner Sicht der SDL im Zeitalter von KI weiterentwickeln muss.
Auch in den weiteren Talks drehte sich vieles um KI, aber immer mit klarem Praxisbezug:
-> Wie schützt man LLM-basierte Anwendungen vor Prompt Injection?
-> Wie verhindert man, dass KI-generierter Code gleich die nächste Schwachstelle mitliefert (Prompt Hardening)?
-> Was passiert, wenn autonome Agenten plötzlich Admin-Rechte haben?
Die Botschaft war klar: KI-Tools sind mächtig, aber die bewährten Security-Prinzipien wie Least Privilege, Input-Validierung und Code-Review gelten weiterhin, einfach auf einer neuen Ebene.
Web- & API-Sicherheit sind Pflichtprogramm
Für unser Team besonders relevant waren auch die Talks rund um Web- und API-Sicherheit: Autorisierung in .NET konsequent einsetzen und die ernüchternde Erkenntnis, dass unsere Websites Code ausführen, den wir nie gesehen haben.
Unser Fazit
Security ist keine Einmalaufgabe auf der Checkliste für das eine oder andere Audit, sondern muss kontinuierlich in Entwicklung und Betrieb eingebettet werden und ist integraler Bestandteil der Softwareentwicklung und des Build- und Deployment-Prozesses.
Die sehr informative Auffrischung an der NDC Security mit ihrer Mischung aus Hands-on-Workshops und Konferenzvorträgen lieferte uns fundierte Grundlagen und schärfte das Bewusstsein für die neuen Herausforderungen.