OOP Konferenz by heise: Programm für 2026 online – Praxis, Wissen und Inspiration für Softwarearchitekten und Entwickler

Die OOP Konferenz by heise öffnet vom 10. bis 13. Februar 2026 ihre Türen für Softwarearchitekt:innen, erfahrene Entwickler:innen, IT-Projektmanager und Product Owner: Vier Tage voller praxisnaher Workshops, rund 120 Vorträge und sieben parallele Tracks pro Tag erwarten die Teilnehmenden. Unter der Leitung von Jutta Eckstein wurde das Programm mit mehr als 120 Vorträgen aus über 400 Einreichungen kuratiert, unterstützt von 11 Trackchairs und mehr als 100 Reviewern aus der Community. Alle Aspekte der Softwareentwicklung und Softwarearchitektur sind vertreten – von Agilität, DevOps und Testing über Künstliche Intelligenz bis zu Produktmanagement und User Experience.

Tag 1: Workshops und TutorialsDer erste Tag der Konferenz steht ganz im Zeichen des praktischen Lernens. In zahlreichen Workshops und Tutorials können Teilnehmende Methoden direkt anwenden, neue Techniken kennenlernen und von erfahrenen Praktikern profitieren. Die praxisorientierten halb- oder ganztägigen Sessions bieten tiefgehende Einblicke in aktuelle Herausforderungen und Lösungen der Softwarewelt.

Tag 2 bis 4: Fachvorträge in sieben parallelen TracksAb dem zweiten Tag geht es in die Vortragsstränge: Drei Tage lang finden von morgens bis abends jeweils sieben parallele Sessions pro Tag statt. Jeder Track wird von einem erfahrenen Trackchair moderiert und bietet eine Mischung aus Innovation, Best Practices und Erfahrungswissen. So erhalten Teilnehmer:innen die Möglichkeit, gezielt ihre Themenfelder zu vertiefen und Inspiration für die tägliche Arbeit zu gewinnen.

Community-orientierte ProgrammgestaltungDie OOP Konferenz lebt von und mit der Community. Jutta Eckstein und ihr Team haben die Vorträge sorgfältig ausgewählt, um ein ausgewogenes, praxisnahes und aktuelles Programm zu gewährleisten. Die Auswahl aus über 400 Einreichungen spiegelt die Vielfalt und Tiefe der Softwareentwicklungs- und Architekturwelt wider und garantiert wertvolle Impulse für alle Teilnehmenden.

Networking und AusstellungEin weiteres wichtiges Konferenzerlebnis ist das Networking – auch mit namhaften Sprecher:innen, die oft mehrere Tage vor Ort sind und sich auf den Austausch freuen. Die Veranstaltung bietet mit Pausen, Partys, dem legendären IT-Stammtisch zahlreiche Gelegenheiten, sich mit Gleichgesinnten auszutauschen, Erfahrungen zu teilen und wertvolle Kontakte zu knüpfen. Begleitend zur Konferenz wird es zudem eine Ausstellung geben, in der Unternehmen aus der Branche ihre Produkte, Lösungen und Services vorstellen. So können Teilnehmende neue Tools kennenlernen, sich inspirieren lassen und direkte Gespräche mit wegweisenden Unternehmen der Szene führen.

Im April sorgten sie für große Aufmerksamkeit: Experten der israelischen IT-Sicherheitsfirma Oligo Security hatten massive Angriffsflächen in Apples lokalem Streamingprotokoll AirPlay entdeckt, mit dem sich diverse Geräte angreifen lassen – und zwar einfach nur dadurch, dass man sich im gleichen WLAN befindet. Während Apple die Probleme in iOS, macOS, iPadOS und seinen anderen Betriebssystemen (inklusive HomePod-Software) schnell behoben hat, kommen Hersteller AirPlay-fähiger Geräte vom Heim-Unterhaltungssystem bis zum Lautsprecher nur langsam mit dem Patchen hinterher.

Einige Produkte werden wohl nie abgedichtet. Dabei kaum beachtet wurde allerdings, dass auch CarPlay betroffen ist, dessen Wireless-Protokoll ebenfalls auf AirPlay basiert. Zwar hat Apple hier ebenfalls gepatcht, die Software steckt aber (auch) in der sogenannten Headunit in Autos – und genau dafür gibt es noch erstaunlich wenige Updates. Das beschreiben die Oligo-Security-Sicherheitsforscher Uri Katz, Avi Lumelsky und Gal Elbaz in einem Paper, das bereits in der vergangenen Woche erschienen war.

AirPlay-Lücke steckt auch in CarPlay

Die Methodik namens „Pwn My Ride“ basiert auf dem Stack-Overflow-Fehler mit der CVE-ID 2025-24132. Er kann ausgenutzt werden, wenn ein Gerät mit dem Multimediasystem des Autos verbunden wird. Laufen verschiedene ältere SDKs (AirPlay Audio vor 2.7.1, AirPlay Video vor 3.6.0.126 und CarPlay Communication Plug-in vor R18.1) sind – je nach Fahrzeugmodell – sogar Zero-Click-Angriffe ohne Nutzerinteraktion möglich. Es ist das Erlangen von Root-Rechten möglich. Dies ist sowohl via WLAN als auch via Bluetooth möglich – letzteres muss dann allerdings aktiv sein. Unklar blieb zunächst, ob Angriffe auch kabelgebunden möglich sind, denn es gibt viele Fahrzeuge, die Wireless CarPlay nicht unterstützen. Die Forscher konzentrierten sich auf das Drahtlos-Szenario.

Mit dem Root-Zugriff auf das Unterhaltungssystem sind diverse Möglichkeiten verbunden – von der Manipulation des Systems über das Abgreifen von Daten bis zu Spionagemöglichkeiten. Der Angreifer muss sich dazu mit der CarPlay-Implementierung des Fahrzeugs beschäftigt haben, es gibt allerdings häufig verwendete Systeme. Bei der AirPlay-Lücke in Lautsprechern hatten die Oligo-Security-Forscher unter anderem gezeigt, wie sie auf deren gegebenenfalls vorhandenen Bildschirmen Schabernack treiben konnten – die Möglichkeiten sind breit. In einem Demonstrationsvideo zeigen die Forscher, wie sie nach Anmeldung auf dem WLAN-Hotspot des Autos ein „Hacked“-Bild auf dem Bildschirm des Unterhaltungssystems platzieren konnten. Dabei hilft das Auto den Angreifern, denn über das iAP2-Protokoll wird das WLAN-Passwort übertragen.

Patchen in der Werkstatt – wenn es einen Patch gibt

Um das Problem zu lösen, sind nun die Autohersteller gefragt. Es könnte, schätzen die Sicherheitsforscher, mehrere Millionen auf der Straße befindliche Fahrzeuge betreffen, die noch ungepatcht herumfahren. Oft sind Firmware-Updates zudem nicht Over-the-Air (OTA), sondern nur per USB-Stick und/oder auch nur in der Werkstatt möglich. Da die Zyklen oft unterschiedlich lang sind, kann dies eine kleine Ewigkeit dauern – wenn der Hersteller sich überhaupt darum kümmert.

„Wenn eine Schwachstelle in einem weitverbreiteten SDK wie Apples AirPlay entdeckt wird, besteht die Herausforderung nicht nur darin, den Fehler zu beheben, sondern auch darin, sicherzustellen, dass jeder Anbieter, der auf das SDK angewiesen ist, die Korrektur tatsächlich implementiert und an die Endbenutzer weitergibt“, schreibt Oligo Security. Bei Autos sei dies besonders schwierig. „Im Gegensatz zu einem Smartphone oder Laptop, das über Nacht aktualisiert wird, sind die Aktualisierungszyklen bei Fahrzeugen langsam, fragmentiert und erfordern oft einen Besuch beim Händler oder eine manuelle Installation über USB.“

(bsc)

Linux-Administratoren stehen täglich vor der Aufgabe, ihre Systeme sicher zu betreiben. SELinux (Security-Enhanced Linux) unterstützt sie dabei, indem es zusätzliche Schutzmechanismen bereitstellt, die über klassische Unix-Dateisystemberechtigungen hinausgehen. Dennoch wird SELinux oft nicht genutzt oder deaktiviert, weil die Konzepte komplex erscheinen oder wenig bekannt sind. SELinux hilft dabei, Systeme vor Sicherheitslücken und Programmfehlern zu schützen, die über Berechtigungen allein schwer zu kontrollieren wären.

Das lernen Sie im Workshop

• Unterschiede zwischen Mandatory Access Control (MAC) in SELinux und klassischer Discretionary Access Control (DAC)
• Absicherung von Server-Diensten am Beispiel des BIND 9 DNS-Servers
• Funktionsweise und Anpassung von SELinux-Richtlinien
• Praktische Anpassung von Richtlinien für eigene Anwendungen
• Analyse und Behebung typischer Probleme bei SELinux-Installationen

Zur Teilnahme genügen ein aktueller Browser, eine Kamera sowie ein Headset oder Mikrofon. Sie haben während des Workshops jederzeit die Möglichkeit, dem Referenten Fragen zu stellen oder sich mit den anderen Teilnehmern in Diskussionsrunden auszutauschen. Damit dies gut gelingt, ist die Gruppengröße auf maximal 15 Personen begrenzt.

Es handelt sich um einen zweitägigen Online-Workshop, der am 07. und 08. Oktober 2025 jeweils von 9:00 bis 17:00 Uhr stattfindet und 1.550,00 Euro kostet. Weitere Informationen sowie Details zur Anmeldung finden Sie auf der Seite zum Workshop von heise academy.

(abr)