Security Conferences - Reine Zeitverschwendung?

Security Conferences

Reine Zeitverschwendung?

Stefan Friedli
von Stefan Friedli
Lesezeit: 6 Minuten

Im Jahr 2007 durfte ich eine Veranstaltung besuchen, die bis zum heutigen Tag ein der einflussreichsten Erfahrungen blieb, die ich bis dato machen durfte: Das Chaos Communication Camp 2007 in Finowfurt. Die Gründe dafür sind vielfältig und nicht ganz einfach zu erklären. Wahrscheinlich war es die Mischung aus dem ehemaligen, zum Museum umfunktionierten, Flughafen auf dem weltbekannte Researcher Vorträge in ehemaligen Bunkern hielten. Gleichzeitig präsentierten ausserhalb Tausende von Bastlern aus aller Welt ihre LED-bestückten Quadcopter, RFID-Gadgets und unzählige andere technische Spielereien, die uns 2007 noch als deutlich futuristischer vorkamen als heute, über ein halbes Dutzend Jahre später.

Das Chaos Communication Camp 2007 war nicht die erste Konferenz die ich besuchte. Schon als Teenager haben mich Events wie der jährliche Kongress des CCCs angezogen, die DEFCON in Las Vegas war damals unerreichbar, aber hatte einen einschlägigen Ruf. Auch lokale Events, meistens von Linux User Groups (LUGs) veranstaltet, waren gerngesehene Möglichkeiten zum gegenseitigen Austausch, zum Lernen von neuen Skills und boten auch eine gewisse Geselligkeit. Auch eine gewisse Serie von Invite-Only Konferenzen in Berlin, die ein heute langjähriger Freund über Jahre hinweg organisierte, hat mir enorm dabei geholfen meinen Platz in der Industrie und im Sicherheitsbereich im Allgemeinen zu finden. Später, nachdem ich meine Position bei der scip AG eingenommen hatte, kamen viele weitere Konferenzen und Conventions dazu: Die obengenannte DEFCON, die kommerzielle Schwesterkonferenz BlackHat, diverse SOURCE-Konferenzen – viele durfte ich besuchen, an vielen durfte ich selber vortragen. Eine Möglichkeit, die ich immer als Privileg betrachtet habe.

Eintrittspässe zu den hashdays.

Solche Veranstaltungen waren für mich für lange Zeit, und teilweise sind sie das noch heute, die einzige wirkliche Möglichkeit, in unserem schnelllebigen Bereich effektiv an neue Informationen und auch neue Inspiration heranzukommen. Vor einigen Jahren dann, hatte ich die Gelegenheit selber an einer Plattform zu ebendiesem Informationsaustausch mitzuarbeiten. Die damals noch als hashdays bekannte Sicherheitskonferenz wurde rasch zu einem bekannten Namen, sowohl national wie auch über die Landesgrenzen hinaus. Heute, in 2014, hat die Eventserie den neuen Namen Area41 angenommen, existiert aber im gleichen Geiste weiter – immer noch mit erfreulich grossem Erfolg.

Die Zukunft der hashdays heisst Area41.

Ich arbeite heute immer noch an der Organisation der Area41 mit. Der Zeitaufwand, der dabei zu Lasten von Freizeit und Familie anfällt ist enorm. Alleine für die Auswahl, Koordination und Betreuung von Referenten, die aus aller Welt anreisen, sind Dutzende von Arbeitsstunden notwendig. Das Organisieren von Sponsoren und Aushandeln von entsprechenden Verträgen gehört vermutlich zu den härtesten Aufgaben, die man in einem Non-Profit Umfeld bewältigen muss. Und die kleinen Detailaufgaben, zum Beispiel das Bereitstellen eines Logos, das Onlineschalten von Informationen, das Bezahlen von Bagatellrechnungen, kumulieren sich schnell einmal zu einem überraschend wohlgefüllten Wochenende. Der Aufwand hat sich bis zum heutigen Tag aber im Hinblick auf das Endprodukt stets gelohnt. Trotzdem stehe ich dem Thema Konferenzen heute kritischer gegenüber, als noch vor sieben Jahren – ein Umstand der so manchen überraschen mag.

Wofür sind Konferenzen eigentlich gut? Was nach einer etwas polemischen Fangfrage klingt, ist letzten Endes hochrelevant. Die Beweggründe, die jemanden dazu bringen eine Konferenz zu besuchen sind mannigfaltig. Für die einen ist eine reine Sache des Inhalts: Die Vorträge, die Workshops, die kleinen Kniffe die man von anderen Teilnehmern lernen kann. Für den anderen ist es die geschäftliche Komponente: Ein neuer Job, das Präsentieren als Arbeitgeber oder Servicedienstleister gegenüber potentiellen Interessenten. Noch einmal andere schätzen die rein soziale Komponenten: Mit Gleichgesinnten ein kaltes Bier oder äquivalentes alkoholfreies Getränk geniessen und über Technik und Privates plaudern. Dazu kommen vermutlich sämtliche Kombinationen der vorgängig genannten Szenarien, sowohl zwangsläufig einige, die ich im Rahmen dieses Artikels nun vernachlässige.

Heute, im Jahre 2014, leben wir in einer Welt in der Information so verfügbar ist wie niemals zuvor. Die Präsentationen, die heute an einer BSides in den USA gezeigt werden, können morgen in FullHD-Video verfügbar sein. Die Slides, vielleicht sogar Whitepapers mit Hintergrundinformationen sind vermutlich schon online bevor der Speaker überhaupt die Bühne betritt. Nur der Information halber muss heute niemand mehr eine Konferenz besuchen.

Auch die geschäftlichen und sozialen Komponenten sind weniger stark als früher: Heute buhlen dermassen viele Recruiter und HR-Verantwortliche um fähige Mitarbeiter, Jobangebote auf Twitter sind ein durchaus akzeptierter Standard. Kunden findet man an solchen Events so oder so selten, hat die Industrie für die weniger technischen Entscheidungsträger doch längst spezialisierte, weniger freakige Sales-Events organisiert. Diese kommen zwar ohne 0-Days aus, dafür aber mit mehr Anzügen und in der Regel mit teureren Apéros. Auch die rein soziale Komponente ist schwächer geworden, seit die InfoSec-Community überraschend positiv auf Twitter reagiert hat und dort sehr repräsentativ vertreten ist.

Man muss sich also schon fragen: Was bringen Konferenzen noch? Auch ich, in der Rolle als Organisator, habe mir diese Frage oft gestellt. Die Antwort gefunden habe ich bislang lediglich in den Feedback-Formularen und Anmeldungen für die diesjährige Konferenz: Der Enthusiasmus, etwas mitzuerleben. Nicht On-Demand, als mkv-File oder auf YouTube, sondern vor Ort. Als aktiver Teilnehmer mit der Möglichkeit mitzureden, und Einfluss zu nehmen. Das grosse Potenzial von Sicherheitskonferenzen liegt in ihrer inhärent kollaborativen Natur. Es sind nicht die einzelnen Aspekte, sondern das Ganze, das letzten Endes grösser als die Summe aller Teile, die den Reiz und den Wert dieser Veranstaltungen noch ausmacht.

Über den Autor

Stefan Friedli

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

Sie suchen Speaker?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv