Security on JAVAPRO Germany

DevOps-Patterns und Java 26 für On-Premises LLM-Plattformen in sicherheitskritischen Umgebungen

Mon, 06 Apr 2026 07:00:00 +0000

Während die erste Welle der KI-Adoption in vielen Organisationen auf Cloud-APIs setzte, ist dieser Ansatz in sicherheitskritischen und regulierten Umgebungen häufig nicht nutzbar. Vertraulichkeitsanforderungen, Datenschutzvorgaben und der Bedarf an technisch durchsetzbaren Betriebsgrenzen stehen dem entgegen. In On-Premises-Setups erweitert sich die Architektur um zusätzliche Laufzeitkomponenten, etwa LLM-Serving, Retrieval und Wissensartefakte wie Indizes und Prompts. Der Fokus verschiebt sich damit von der reinen Modellnutzung zur Plattformfrage: Wie lassen sich Datenzugriffe und Berechtigungen entlang der Pipeline kontrollieren? Wie bleiben Änderungen an Modellen, Prompts und Indizes nachvollziehbar? Und wie lassen sich Fehlerfälle reproduzierbar eingrenzen und zurückrollen?

Gefragte Workshops zur JCON EUROPE 2026 – Tickets ab sofort

Mon, 16 Mar 2026 12:00:11 +0000

Köln – Die JCON EUROPE kehrt vom 20. bis 23. April an ihren Veranstaltungsort zurück und bietet auch in diesem Jahr ein umfangreiches Programm für Java-Enthusiasten. Neben über 100 Speakern und Sessions ist am Montag, den 20. April, ein ganzer Tag praxisorientierten Workshops gewidmet.

Im Workshop-Format werden in jeweils zweistündigen Sessions aktuelle Themen und Technologien behandelt. Teilnehmer haben die Möglichkeit, in zwei Zeitslots (13:00–15:00 Uhr und 16:00–18:00 Uhr) aus insgesamt sieben verschiedenen Workshops zu wählen. Eine Kaffeepause zwischen den Slots bietet Gelegenheit zum Netzwerken.

Immer auf dem Laufenden – mit jeder neuen kostenlosen PDF Ausgabe!

Tue, 09 Dec 2025 10:56:25 +0000

Hat Dir Teil 1 unserer Sonderausgabe „Java 25“ gefallen?
Jetzt ist Teil 2 erschienen – mit noch mehr spannenden Einblicken, Stimmen aus der Community, Highlights aus 30 Jahren Java und dem Java 25 Release.

Du willst nichts mehr verpassen?
Mit unseren kostenlosen News wirst Du automatisch benachrichtigt und erhältst alle zukünftigen PDF-Ausgaben sofort nach der Veröffentlichung per E-Mail — ganz ohne zusätzlichen Aufwand. Profitiere von exklusiven JAVAPRO Inhalten, Special Editions und bleibe immer auf dem neuesten Stand.

XDEV SSE: Verbesserung der Spring Security für moderne Anwendungen

Mon, 30 Jun 2025 07:00:00 +0000

Im sich ständig weiterentwickelnden Bereich der Webanwendungssicherheit ist es entscheidend, mit Best Practices Schritt zu halten. XDEV’s Extras for Spring Security (XDEV SSE) adressiert typische Herausforderungen, denen Entwickler beim Absichern verteilter Systeme begegnen. Diese Open-Source-Erweiterung für Spring Security bietet zahlreiche Funktionen, um die Entwicklung sicherer Anwendungen zu vereinfachen.

Überblick

Die Erweiterung stellt verschiedene Module bereit, die das Management von Sicherheitsfunktionen in Spring-basierten Anwendungen deutlich vereinfachen. Im Mittelpunkt stehen die Optimierung der OAuth2/OIDC-Verwaltung, das Session-Handling und die Speicherung von Login-Sitzungen, während gleichzeitig die Integration moderner Frontends erleichtert wird. Ein wesentlicher Vorteil ist die effizientere Verwaltung von Benutzersitzungen durch automatische Zugriffsvalidierung – selbst nach einem Serverneustart bleibt die Sicherheit über alle Anwendungen hinweg erhalten.

Kurze Links, klare Architektur – Ein URL-Shortener in Core Java

Tue, 10 Jun 2025 22:57:14 +0000

Ein URL-Shortener wirkt harmlos – doch wer ihn falsch implementiert, öffnet Tür und Tor für Phishing, Enumeration und Datenabfluss. In diesem ersten Teil beleuchte ich die theoretischen und sicherheitsrelevanten Grundlagen eines URL-Shorteners in Java – ganz ohne Frameworks, aber mit Fokus auf Entropie, Kollisionstoleranz, Rate-Limiting, Gültigkeitslogik und digitaler Verantwortung. Im zweiten Teil folgt die vollständige Umsetzung: modular, nachvollziehbar und möglichst sicher.

1.1 Motivation und Anwendungsfälle

In einer zunehmend fragmentierten und mobilen Informationswelt sind URLs nicht nur technische Adressierungsmechanismen, sondern zentrale Bausteine digitaler Kommunikation. Lange und schwer merkbare URLs wirken in sozialen Medien, E-Mails oder QR-Codes hinderlich, da sie nicht nur ästhetisch unattraktiv, sondern auch fehleranfällig bei der manuellen Eingabe sind. URL-Shortener begegnen diesem Problem durch die Erzeugung kompakter Repräsentationen, welche auf die ursprüngliche Zieladresse verweisen. Neben der verbesserten Lesbarkeit spielen dabei auch Aspekte wie statistische Auswertbarkeit, Zugriffskontrolle und Kampagnen-Tracking eine zentrale Rolle.

Wenn hashCode() lügt und equals() hilflos ist

Sun, 08 Jun 2025 09:53:06 +0000

Ein tiefer Blick in Java’s HashMap-Fallen – visuell demonstriert mit Vaadin Flow

Die stille Gefahr in der Standardbibliothek

Die Verwendung von HashMap und HashSet gehört zum täglich Brot in der Java-Entwicklung. Diese Datenstrukturen bieten exzellente Performance für Lookup- und Einfügeoperationen – solange ihre fundamentalen Annahmen erfüllt bleiben. Eine davon lautet: Der hashCode() eines Schlüssels bleibt stabil. Was aber, wenn das nicht der Fall ist?

https://www.youtube.com/watch?v=u-tSy27RXA8

Genau hier lauert eine der subtilsten und zugleich gefährlichsten Fallen der Java-Standardbibliothek: mutable Schlüsselobjekte. In diesem Artikel zeigen wir nicht nur, warum diese Konstellation problematisch ist, sondern führen das Phänomen interaktiv mit Vaadin Flow vor. Leserinnen und Leser erfahren, wie die HashMap intern funktioniert, warum equals() allein nicht genügt, und wie man mit modernen Sprachmitteln wie record robuste, unveränderliche Schlüssel erzeugt.

Bewährte Praktiken für CI/CD Pipelines

Wed, 30 Nov 2022 17:51:53 +0000

Diese Praktiken sollen eine Vorstellung davon vermitteln, wie einige Probleme in modernen CI/CD-Pipelines gelöst und was vermieden werden sollte. Verwenden Sie diese Muster als Richtlinie beim Implementieren Ihrer eigenen Pipelines.

Cybersecurity - Was ist SAST, DAST, IAST und RASP? - ein kleines Intro

Wed, 27 Jul 2022 10:27:40 +0000

In diesem Beitrag werden wir uns die Unterschiede der verschiedenen Abwehrtechniken im Bereich der Cybersecurity ansehen. Hier kann man vier Hauptgruppen identifizieren, die wir eine nach der anderen kurz durchgehen werden um die Vor- und Nach-teile darzustellen.

Wer das Video zu diesem Blogpost

auf Youtube sehen möchte:

https://youtu.be/pA1UnQ6J6Nc

SAST - Static Application Security Testing

SAST bezeichnet den Vorgang bei dem die Komponenten von einer Anwendung einer statischen Analyse unterzogen werden. Hierbei werden nicht nur Sicherheitslücken gesucht, sondern auch die Lizenzen der einzelnen Elemente bestimmt. Im nachfolgenden werde ich mich in diesem Beitrag allerdings ausschließlich um die Betrachtung der Vulnerabilities kümmern.

Bewährte Praktiken für APIs

Wed, 27 Jul 2022 10:17:43 +0000

Das Tor zum Himmel. Alle oben genannten Mechanismen sind langwierig zu implementieren und zu warten. Anstatt das Rad neu zu erfinden, sollten Sie sich für eine ausgereifte und leistungsstarke API-Verwaltungslösung mit all diesen Optionen entscheiden, um Geld, Zeit und Ressourcen zu sparen und Ihre Markteinführungszeit zu verkürzen. Ein API-Gateway hilft Ihnen, Ihren Datenverkehr zu sichern, zu kon

Bewährte Praktiken für IT-Compliance-Audits

Wed, 06 Jul 2022 16:20:34 +0000

Wenn Sie in einer regulierten Branche tätig sind, gehören Prüfungen der Einhaltung von Vorschriften zu Ihrem Alltag. Ohne die richtigen Prozesse zur Befolgung der geltenden Normen kann die Einhaltung der Vorschriften schwierig sein, und Audits können entmutigend sein. Damit Sie die in Ihrer Branche geltenden Normen erfolgreich einhalten können, müssen Sie eine Reihe von Werkzeugen und Verfahren al

Ein Ansatz für Cloud-Transformation und Cloud-Migration - erster Teil

Fri, 24 Jun 2022 18:07:31 +0000

Die anhaltende COVID 19-Pandemie stellt fast alle Branchen vor neue Herausforderungen. Sie hat erhebliche Auswirkungen auf Geschäfts- und Betriebsmodelle. Unternehmen denken darüber nach, wie sie ihr Geschäft für solch große Störungen robuster gestalten können, wie sie schneller Neurungen einbringen und ihren Kunden neue Dienstleistungen anbieten können, wie sie die Gesamtbetriebskosten senken kön

Die Zukunft von Containern - Was kommt als Nächstes?

Wed, 15 Jun 2022 17:29:13 +0000

Vielleicht haben Sie schon die Schlagworte gehört, die in aller Munde sind, wenn es um die Zukunft von Containern geht. Seltsame Namen wie “Micro-VMs”… “Unikernel”… “Sandboxes”… Haben Sie sich gefragt, was diese Dinge sind und wie Sie sie nutzen können? Oder sollten Sie diese überhaupt verwenden?

PCI DSS-Sicherheitsauditverfahren - alles, was Sie wissen müssen

Thu, 02 Jun 2022 14:56:43 +0000

Die Einhaltung des Datensicherheitsstandards (DSS) der Zahlungskartenbranche (PCI, engl.: Payment Card Industry) erfordert eine jährliche Berichterstattung. Diese jährliche Berichterstattung umfasst umfangreiche PCI-DSS-Auditverfahren für Organisationen, die die höchsten Transaktionsvolumina abwickeln. Die Auditverfahren werden im Rahmen einer Vor-Ort-Bewertung durchgeführt, die als Konformitätsbe

Die NIS-Richtlinie

Wed, 01 Jun 2022 17:15:33 +0000

Die Richtlinie über die Sicherheit von Netz- und Informationssystemen ist eine Richtlinie, welche in die nationale Gesetzgebung der einzelnen Mitgliedsstaaten übersetzt wird. Dies bedeutet, dass es Unterschiede in der Anwendung geben kann.

PCI-DSS 4.0 endlich am Start

Tue, 17 May 2022 18:14:27 +0000

Nach längerer Verzögerung wurde am 31. März 2022 die Version 4.0 des Datensicherheitsstandards (DSS, engl.: Data Security Standard) der Zahlungskartenbranche (PCI, engl.: Payment Card Industry) veröffentlicht. [1], [2]

Durchdachtes Log-Management für Industrie 4.0

Fri, 10 Jul 2020 12:51:25 +0000

Log- und Protokollmanagement ist eine oft wenig beachtete, aber dennoch eine der dringlichsten Herausforderungen zur Absicherung von IT-Strukturen. Dieser Artikel zeigt ein Best Case in Form eines Sicherheitskonzeptes über zehn Etappen und bedient sich dabei zur Veranschaulichung aus der Industrie 4.0-Themenwelt.

Sichere Identitäten gelten als wesentlicher Ausgangspunkt für Sicherheitsketten, welche die Datenerhebung, Datentransport und Datenverarbeitung auf Hardware-, Software- und Prozess-Ebene absichern. Damit bilden sie die Voraussetzung für viele weitere Schutzmaßnahmen, die Unternehmen in puncto Datensicherheit ergreifen sollten, um sich compliant und wettbewerbsfähig aufzustellen. Denn klar ist: Sobald es einem Angreifer gelingt, sich unberechtigt einer Identität zu bemächtigen, laufen alle darauf aufbauenden Maßnahmen wie zum Beispiel der Zugriffsschutz ins Leere. So bietet die Gewährleistung sicherer Identitäten über automatisierte Kommunikation ein solides Startglied in der Vertrauenskette. Mit der Einführung eines Sicherheitsprozesses leiten IT-Verantwortliche die notwendigen organisatorischen Veränderungen ein, definieren eine Strategie und nutzen Hilfsmittel zur Erreichung der Sicherheitsziele.

Die 10 wichtigsten Schritte zur Verhinderung eines Datenschutzverstoßes

Thu, 30 Apr 2020 11:10:33 +0000

Heute leben wir mehr denn je in einer digitalen Welt, die sich schneller verändert, als wir die von uns gespeicherten Dateien und Daten schützen können. Es gibt keine Patentrezepte oder magische Lösung, um einen Datenschutzverstoß zu verhindern, aber es gibt wichtige Schritte, die Sie zum Schutz Ihrer Daten ergreifen können. Es gibt technisch gesehen einige wenige Arten von Datenlecks, wie interne oder externe Quellen. Obwohl Unternehmen Maßnahmen ergreifen und aktiv handeln, scheint es, dass die Zahl der Datenschutzverletzungen von Jahr zu Jahr zugenommen hat. Es kann sich wie ein unendliches Katz-und-Maus-Spiel anfühlen, weil es tatsächlich so ist. Jedes Mal, wenn Unternehmen einen neuen Weg finden, Daten zu schützen, scheint es, als ob Kriminelle einen besseren Weg finden, auf diese Daten zuzugreifen, und dann gibt es interne Lecks, die durch menschliches Versagen oder Vorsatz verursacht werden. Daten sind wertvoll und es gibt eine Vielzahl von Dingen, die mit gehackten, durchgesickerten oder gestohlenen Daten durchgeführt werden können. Die häufigste Art von Daten, die von Hackern und Cyberkriminellen verwendet werden, sind Namen, Geburtsdatum, Sozialversicherungsnummern und manchmal Kreditkarten- oder Debitkartennummern. Gesundheitsdaten sind die wertvollsten auf dem Schwarzmarkt und im dunklen Netz. Eine Sozialversicherungsnummer kann für etwa 15 US-Dollar gekauft und die Gesundheitsdaten von jemandem können für bis zu 200 US-Dollar verkauft werden. Es gibt so viele verschiedene Möglichkeiten, wie Datenschutzverletzungen auftreten können, aber es gibt einfache Schritte, die jeder tun kann, um zumindest die Grundlagen der Cybersicherheit abzudecken. Dies sind die grundlegenden Schritte, die Sie mindestens unternehmen sollten, um Verletzungen der Datensicherheit zu verhindern.