Die DEF CON – das legendäre Hacker-Event in Las Vegas – hat auch in ihrer 33. Ausgabe einmal mehr gezeigt, wie vielschichtig und herausfordernd die moderne IT-Sicherheitswelt geworden ist. Unter dem Motto „Access Everywhere“ diskutierten Forschende, Hacker:innen und Sicherheitsprofis vom 7. bis 10. August 2025 über die Sicherheitsrisiken globaler Infrastrukturen, neue Bedrohungen durch künstliche Intelligenz sowie systemische Schwächen im Umgang mit bekannten Schwachstellen.
Im Fokus standen dieses Jahr unter anderem:
- Erkenntnisse zu Zero-Trust-Zugangstechnologien (ZTNA),
- eine intensive Debatte über die Zukunft des CVE-Programms,
- sowie Ergebnisse der DARPA AI Cyber Challenge, bei der KI zur automatisierten Schwachstellenbehebung eingesetzt wurde.
Doch die DEF CON ist mehr als nur ein Ort für Vorträge: In praxisorientierten Villages, wie dem AI Village, der Blue Team Village oder dem klassischen Capture-the-Flag-Wettbewerb, wurden Sicherheitsstrategien getestet, Tools entwickelt und neue Perspektiven auf die Rolle von Open Source, Community-Wissen und Cyberresilienz eröffnet.
Neue Schwachstellen im Zero-Trust-Zugangsmodell
Ein brisantes Thema war die kritische Analyse von ZTNA-Plattformen. Forschende des AmberWolf-Teams stellten Schwachstellen bei großen Anbietern wie Check Point, Zscaler und Netskope vor. Die Probleme reichten von fehlerhafter Authentifizierung bis hin zu grundsätzlichen Design-Mängeln, die dem Prinzip des „Zero Trust“ widersprechen. Das Fazit war ernüchternd: Viele dieser Lösungen bieten in der Praxis kaum mehr Schutz als traditionelle VPNs – und sind dabei oft schwerfälliger in der Verwaltung.
Besonders alarmierend: Angreifer könnten mit vergleichsweise einfachen Mitteln Sicherheitsmechanismen umgehen und sich Zugriff auf interne Systeme verschaffen. Die Vortragenden forderten ein Umdenken in der Architektur dieser Produkte sowie transparentere Prüfmechanismen durch unabhängige Dritte.
CVE: Ein Sicherheitsfundament in der Krise?
Eine der meistdiskutierten Sessions war dem Common Vulnerabilities and Exposures (CVE)-System gewidmet. Das standardisierte Verzeichnis bekannter Sicherheitslücken ist ein zentrales Fundament der globalen IT-Sicherheit – doch es steht zunehmend unter Druck.
Der Hintergrund: Die Verwaltung des CVE-Programms liegt bei der US-Organisation MITRE, deren Vertrag mit der CISA Anfang 2025 beinahe nicht verlängert worden wäre. In der Diskussion auf der DEF CON wurde deutlich, wie abhängig die weltweite Sicherheits-Community von diesem System ist – und wie verletzlich es bei politischen oder organisatorischen Instabilitäten sein kann.
Gefordert wurden eine internationale Governance-Struktur, ein nachhaltigeres Finanzierungsmodell und vor allem: mehr Offenheit und Mitbestimmung durch die internationale Sicherheitsforschung.
KI trifft Cybersicherheit: Die DARPA AI Cyber Challenge
Ein echter Höhepunkt war die Präsentation der Finalisten der DARPA AI Cyber Challenge. Drei Teams – darunter Trail of Bits, Theori und Team Atlanta – zeigten eindrucksvoll, wie künstliche Intelligenz dabei helfen kann, Schwachstellen in Software automatisch zu erkennen und zu beheben.
Die Tools analysierten komplexe Codebasen in kürzester Zeit und entwickelten automatisch Patches, die in Tests sogar Zero-Day-Exploits erfolgreich entschärften. Noch bemerkenswerter: Die gewonnenen Lösungen wurden Open Source veröffentlicht.
Diese Entwicklung könnte die Art und Weise, wie Unternehmen künftig Schwachstellen-Management betreiben, grundlegend verändern – und langfristig helfen, die wachsende Bedrohungslage effektiver einzudämmen.
Capture the Flag – Cybersicherheit als Sport
Wie jedes Jahr war auch 2025 das „Capture-the-Flag“-Turnier ein Publikumsmagnet. Teams aus der ganzen Welt traten gegeneinander an, um reale Sicherheitslücken zu identifizieren, auszunutzen und anschließend zu patchen.
Das Team Plaid Parliament of Pwning (PPP) aus Pittsburgh holte sich in Kooperation mit Maple Bacon und Theori.io zum neunten Mal den Sieg. Dieses Turnier unterstreicht die Kreativität, Präzision und technische Exzellenz, die in der Offensive Security gefordert sind und liefert zugleich wertvolle Erkenntnisse für die Verteidigung.
Community als Sicherheitsfaktor: Die Villages der DEF CON
Neben den großen Bühnen waren es vor allem die themenspezifischen Villages, die das Herz der Konferenz bildeten:
- In der Blue Team Village tauschten sich Verteidiger:innen über Incident Response, Threat Detection und Forensik aus.
- Die AI Village beschäftigte sich mit den Chancen und Risiken von KI im Sicherheitskontext.
- Die Social Engineering Village zeigte, wie leicht man Menschen manipulieren kann.
- Und die Lockpicking Village stellte die physische Seite der Sicherheit auf die Probe.
Die Vielfalt zeigt: Cybersicherheit ist längst kein rein technisches Feld mehr – sondern ein interdisziplinäres, gesellschaftlich relevantes Thema.
Fazit: Die DEF CON ist mehr als eine Hacker-Party
DEF CON 33 war ein beeindruckendes Schaufenster der aktuellen Sicherheitsdebatten. Die Konferenz zeigte, dass viele technologische Fortschritte – von ZTNA über KI bis zur Open-Source-Defense – gleichzeitig neue Risiken mit sich bringen. Doch sie machte auch Mut: Denn die Community arbeitet intensiv an Lösungen, diskutiert offen über Missstände und zeigt, dass Zusammenarbeit und Wissenstransfer entscheidende Faktoren für mehr Sicherheit sind.
Gerade angesichts der zunehmenden Professionalisierung von Cyberkriminellen – wie in den aktuellen Lageberichten von TÜV und BSI beschrieben– braucht es Plattformen wie die DEF CON. Sie sind nicht nur ein Ort für Hacking-Wettkämpfe, sondern vor allem ein Ort für Lernen, Vernetzen und Verantwortung.