OCG Journal 01 26: IT-Nachwuchs in Österreich 2026

P.b.b. Verlagspostamt 1010 Wien I 02Z031460M
Ausgabe 01 • 2026 | Jg. 51 | EUR 5,00
IT-Nachwuchs in
Österreich 2026
OCG Journal Ausgabe 01 • 2026: | Coverbild: iStock/Autor*innen

OCG Förderpreise
für hervorragende Diplom-bzw. Masterarbeiten auf dem Gebiet der
Informatik, Wirtschaftsinformatik und ihren Anwendungen
OCG Förderpreis 2026
Einreichungen müssen im
Zeitraum Oktober 2024 bis
Dezember 2025 an einer österreichischen
Universität approbiert
und mit einem Sehr gut beurteilt
worden sein. Die beste Arbeit
wird von einer Jury ermittelt. Der
Preis ist mit 2.000 Euro dotiert.
OCG Förderpreis-FH 2026
Einreichungen müssen im Zeitraum
Oktober 2024 bis Dezember
2025 an einer österreichischen
Fachhochschule approbiert und
mit einem Sehr gut beurteilt worden
sein. Die beste Arbeit wird
von einer Jury ermittelt. Der Preis
ist mit 2.000 Euro dotiert.
Einreichsfrist: 14. März 2026
Heinz Zemanek Preis
für hervorragende Dissertationen auf dem Gebiet der Informatik
Akademische Einrichtungen mit Promotionsrecht können jeweils bis zu 2
Dissertationen nominieren, die im Zeitraum 1. Jänner 2024 bis 31. Dezember
2025 in Österreich abgeschlossen wurden. Die beste Arbeit wird von einer
Jury ermittelt. Der Preis ist mit 5000 Euro dotiert.
ocg.at/hzp
Nominierungsfrist: 13. März 2026

Editorial
Sehr geehrtes OCG-Mitglied,
liebe Leserin, lieber Leser!
So wie schon in den vergangenen Jahren
holen wir mit der ersten Ausgabe des OCG
Journals 2026 den IT Nachwuchs vor den
Vorhang. Europa rückt näher zusammen,
wir bündeln unsere Kräfte, um gemeinsam
den globalen Herausforderungen entgegentreten
zu können. Die Forschungstätigkeit
im Bereich der Informatik spielt für den
Erfolg und die Unabhängigkeit des gemeinsamen
Wirtschaftsraums eine wesentliche
Rolle.
So betrachtet es die OCG als eine ihrer Kernaufgaben
den Forschungsnachwuchs zu
fördern und ausgezeichnete Leistungen zu
ehren. Jedes Jahr werden die OCG Förderpreise
für mit Sehr gut bewertete Master-/
Diplomarbeiten verliehen und in Kooperation
mit der JKU der Adolf-Adam-Informatikpreis.
Jedes zweite Jahr wird der Sieger des
Heinz Zemanek Preises für hervorragende
Dissertationen gekürt. Die Gewinnerinnen
und Gewinner haben die Gelegenheit ihre
aktuelle Forschung im OCG Journal vorzustellen
– und so sind die Preise oft auch der
Anfang für eine langjährige fruchtbare Kooperation.
Auf dem Gebiet der Cybersecurity stellen
die Teilnehmerinnen und Teilnehmer des
Young Researchers´Day im Rahmen der
IKT-Sicherheitskonferenz des BM für Landesverteidigung
und organisiert vom OCG
AK IT-Sicherheit ihre Arbeit vor. Lesen Sie in
diesem Heft dazu die aktuellen Beiträge der
österreichischen Security-Expert*innen.
Freuen Sie sich auf viele spannende Beiträge
und auf einen Einblick in Österreichs IT
Nachwuchsforschung.
Herzlichst, Ihr
Wilfried Seyruck, Präsident OCG

Inhalt
3 Editorial
von Wilfried Seyruck
6 IT-Nachwuchs in Österreich
Leitartikel
von Edgar Weippl
Young Researchers´Day
7 Cybersecurity Emergency
Simulation
Nottfallsimulationen rüsten
Führungskräfte für NIS-2-Richtlinie
von Michael Fischer, Jennifer-
Marieclaire Sturlese und Edgar
Weippl
10 Anomalie-Erkennung auf
Logdaten
Cybersecurity - Logdate-Analyse
von Viktor Beck
12 Der Mensch als Schlüssel für
Informationssicherheit
Social Skills in IT-Security-
Studiengängen
von Ines Jansta
14 ChoiceJacking: Datendiebstähle
durch Handy Ladegeräte
Risiken bei der Nutzung öffentlicher
Ladestationen
von Florian Draschbacher
16 KI-basierte Honeypots
Cybersicherheit in
Produktionsanlagen
von Olaf Saßnick
18 Gamifiziertes Forensiktraining für
FINTA*
Interesse wecken, Selbstvertrauen
stärken
von Maria Kloibhofer
20 Federated Learning
Sensible Informationen schützen
von Verena Schuster
4 OCG Journal | 01 • 2026

Wettbewerbe
22 Wie wir Quantencomputer
nutzbar machen
Quantensprung nur mit Software
von Lukas Burgholzer
24 Stealing Machine Learning Models
Without Breaking In
When intended access leaks model
secrets
von Daryna Oliynyk
26 Zero Trust in IT- und OT-
Umgebungen
Grenzen klassischer
Sicherheitssysteme
von Alois Schafferhofer
29 Ein Blick in das Innere von
Programmen
Visualisierung: Was ein Bytecode-
Interpreter tatsächlich tut
von Tobias Herber
31 Was macht mein Code?
Auf Spurensuche in verteilten
Systemen
von Lukas Freiseisen
33 Maschinencode zur Laufzeit
verändern
Software anpassen ohne Quellcode
von Alexander Voglsperger
Informatik im Unterricht
35 Sicher im Digitalen: Starke
Mädchen. Starke Zukunft.
Ein Projekt zur digitalen Sicherheit
von Jugendlichen
von Corinna Hörmann und Eva
Schmidthaler
57 Was Informatikdidaktik nicht ist
Ein persönlicher Blick auf Lehre,
Lernen und Informatik
von Corinna Hörmann
Intern
39 Veranstaltungen
39 Schriftenreihe
01 • 2026 | OCG Journal
5

Leitartikel
von Edgar Weippl
IT-Nachwuchs in Österreich
Junge Forschung ist ein zentraler Motor
für Innovation; in der Informatik ebenso
wie in angrenzenden Disziplinen gibt es
immer rascher werdende Innovationszyklen,
neue Techniken und Verfahren
setzen sich zunehmend schneller durch.
Nachwuchswissenschaftler*innen bringen
neue Themen, andere Blickwinkel
und oft auch den Mut mit, ungewöhnliche
Methoden auszuprobieren. Damit
das gelingt, braucht es neben guter Ausbildung
auch Rahmenbedingungen, die
Austausch und Sichtbarkeit ermöglichen:
Konferenzen, Mentoring, Netzwerke –
und Gelegenheiten, die eigene Arbeit zu
präsentieren.
Genau hier setzt die OCG seit Jahren an.
Mit Preisen und Auszeichnungen wie
dem OCG Förderpreis, dem OCG Förderpreis
FH sowie dem Heinz Zemanek
Preis werden wissenschaftliche Leistungen
sichtbar gemacht und der Einstieg
in eine Forschungslaufbahn unterstützt.
Viele frühere Preisträger*innen sind später
selbst in Forschung und Lehre aktiv
geworden und prägen inzwischen die Informatik
in Österreich mit.
AK IT-Sicherheit
Der Arbeitskreis (AK) widmet sich den
Gebieten Informationssicherheit und
IT-Sicherheit. Dazu gehört auch die
Förderung eines kritischen Bewusstseins
gegenüber Sicherheitsfragen.
Geleitet wird der AK von Ingrid
Schaumüller-Bichl und Edgar Weippl.
Der nächste Young Researchers‘ Day
findet bei der IKT Sicherheitskonferenz
am 16. und 17. September 2026
in Linz statt.
VERNETZUNG UND AUSTAUSCH
Auch der OCG Arbeitskreis IT‐Sicherheit
hat früh erkannt, dass Vernetzung gerade
für junge Forscher*innen entscheidend
ist: Es fehlt oft an niederschwelligen
Möglichkeiten, Ideen, Daten oder
Erfahrungen auszutauschen – besonders
dann, wenn Projekte noch in einem frühen
Stadium sind. Aus diesem Bedarf heraus
wurde der Young Researchers’ Day
etabliert, der jungen Wissenschaftler*innen
eine Bühne gibt und inzwischen fest
in das Programm der IKT‐Sicherheitskonferenz
des Österreichischen Bundesheers
eingebettet ist. So gibt es nicht nur eine
Bühne, sondern die Hauptbühne der
größten jährlichen Praxiskonferenz für
IT-Sicherheit in Österreich.
Die Beiträge in dieser Ausgabe zeigen
exemplarisch, wie breit und praxisnah
Nachwuchsforschung heute sein kann:
von Logdaten‐Analyse und Anomalie‐Erkennung
über didaktisch neue Ansätze
in der Forensik‐Ausbildung bis hin zu
Notfallsimulationen für Führungskräfte
sowie Fragen der Kommunikation und
Awareness in der Security‐Ausbildung.
VIELFALT IST STÄRKE
Gerade diese thematische Vielfalt ist ein
gutes Zeichen: Informatik ist längst nicht
mehr nur Softwareentwicklung oder reine
Technik. Sie verbindet Methodik, Systeme,
Menschen und Organisationen –
und sie wirkt in nahezu alle Bereiche von
Wirtschaft und Gesellschaft.
Als Fachcommunity können wir dazu beitragen,
dass junge Forschung nicht nur
entsteht, sondern auch ankommt: durch
faire Begutachtung, durch Austauschformate,
durch gute Betreuung und vor
allem dadurch, dass wir Nachwuchsfor-
Edgar Weippl
ist Vizedekan der
Fakultät Informatik
der Universität
Wien und Leiter der
Forschungsgruppe
Security & Privacy. Seine Forschungsinteressen
sind Cybersecurity und
Privacy.
scher*innen Gelegenheiten geben, ihre
Ergebnisse einem interessierten Publikum
zu präsentieren.
Ich danke allen Autor*innen dieser Ausgabe
für ihre Beiträge und lade die Leser*innen
ein, die Vielfalt der Themen als
Einladung zu verstehen: zum Mitdenken,
zum Diskutieren – und vielleicht auch
dazu, selbst Nachwuchs zu unterstützen,
sei es in Forschung, Lehre oder Praxis.
6 OCG Journal | 01 • 2026

Young Researchers´Day
Notfallsimulationen rüsten Führungskräfte für NIS-2-Richtlinie
von Michael Fischer, Jennifer-Marieclaire Sturlese und Edgar Weippl
Cybersecurity Emergency
Simulation
In einer immer stärker digitalisierten
Welt wird Cybersicherheit zur Aufgabe
der Unternehmensführung. Was früher
vor allem in der IT-Abteilung verortet
war, betrifft heute alle, die online sind.
Besonders Führungskräfte sind durch
ihre strategische Rolle gefährdet: Sie
müssen in Krisensituationen rasch Entscheidungen
treffen, oft ohne tiefgehendes
technisches Wissen. Diese Unsicherheit
kann zu einer gefährlichen
„Bedrohungsrigidität“[1] führen – also
dazu, dass man sich auf vertraute, aber
möglicherweise unzureichende Reaktionen
beschränkt.
Mit der Einführung der NIS-2-Richtlinie,
die Unternehmen nahezu aller
Größen und Branchen zu hohen Cybersicherheitsstandards
verpflichtet und
bei Versäumnissen auch Haftungsfragen
aufwirft, wächst der Druck zusätzlich.
Deshalb ist es entscheidend, auch
nicht-technische Führungskräfte gezielt
zu schulen. Genau hier kommen Notfallsimulationen
ins Spiel: Sie schaffen eine
realistische Trainingsumgebung, in der
der Ernstfall geübt werden kann – mit
all dem Druck einer echten Krise, jedoch
ohne deren tatsächliche Folgen.
wundbarkeit. Genau hier setzt unser neues
Simulations-Framework an.
Unser Ziel ist die Entwicklung eines Prototyps
für eine Executive-Notfallsimulation,
die genau diese Wissenslücke schließen
soll. Die Mechanismen von Cyberangriffen
und die entsprechenden Schutzmaßnahmen
werden dabei so dargestellt,
dass sie auch ohne technische Expertise
verständlich sind. Durch die realitätsnahe
Inszenierung von Cyberangriffen erleben
Führungskräfte denselben Entscheidungsdruck,
den klassische Trainings bislang
fast ausschließlich IT-Spezialist*innen
vorbehalten haben. Auf diese Weise
lässt sich der Gefahr einer Bedrohungsrigidität
entgegenwirken und die Anfälligkeit
gegenüber Cyberkriminalitätsdelikten
verringern.
CYBER-SPIONAGE ALS REALISTI-
SCHES FALLBEISPIEL
Als idealer Anwendungsfall für die Executive-Notfallsimulation
wählen wir das
Szenario Cyber-Spionage, das formell
anhand des in Managementkreisen weit
verbreiteten SMART-Prinzips validiert
wurde.
Spezifisch: Cyber-Spionage umfasst
konkrete Angriffstechniken wie Identitätsdiebstahl,
Spear-Phishing oder Insider-Bedrohungen,
die zunehmend als
„Spionage-as-a-Service“ angeboten werden.
Messbar: Der finanzielle Schaden ist
messbar und beläuft sich global auf Milliarden
bis hunderte Milliarden Euro jährlich.
Attraktiv: Das Thema ist verständlich und
für Entscheidungsträger*innen auf Unternehmens-
und Staatsebene hoch-relevant.
Realistisch: Fälle wie SolarWinds oder
der Anthem-Hack zeigen die reale Bedrohung
und komplexe Angriffsmuster.
BRÜCKE ZWISCHEN MANAGE-
MENT UND TECHNOLOGIE
Die Lücke zwischen dem betriebswirtschaftlichen
Blickwinkel von Führungskräften
und dem technischen Fachwissen
der IT-Expert*innen ist seit Langem
bekannt. Besonders Unternehmen, die
sich nicht als „Tech-Giganten“ verstehen,
unterschätzen häufig ihre digitale Ver-
Diese Grafik zeigt visuell die Spieldynamik der Notfallsimulation über 5 Runden. Jede Runde
kann der Red Player zwischen 3 Cyberangriffen wählen und vor jeder Runde kann der Blue Player
eine Cybersicherheitsmaßnahme setzen, um die Angriffe abzuwehren.
Grafik: JMC Sturlese
01 • 2026 | OCG Journal
7

Diese Grafik zeigt visuell, wie sich der programmierte
Red Player im Rahmen der Notfallsimulation
zwischen verschiedenen Cyberangriffen
entscheiden soll. Die Formel links oben zeigt
die mathematische Formel dahinter.
Grafik: JMC Sturlese
Timely (Zeitbezogen, dringlich): Cyber-Spionage
ist ein aktuelles Sicherheitsparadigma
des digitalen Zeitalters,
verschärft durch globale Vernetzung und
rechtliche Grauzonen.
Die Forschungsergebnisse wurden im
Oktober 2024 in Österreich auf der Fachkonferenz
ITDRR-24 [2] - IFIP Information
Technology in Disaster Risk Reduction
vorgestellt und stießen bei internationalen
Expert*innen auf große Resonanz.
PROGRAMMIERUNG DES RED
PLAYERS „SPYBOT“
Um eine dynamische und lehrreiche
Spielumgebung zu schaffen, modellieren
wir den algorithmischen Angreifer, den
sogenannten Red Player namens „Spy-
Bot“. Die zugrundeliegende Forschungsfrage
lautet: Wie lassen sich die algorithmischen
Entscheidungen des Angreifers
relevant, rational und realistisch gestalten?
Darauf schlagen wir die folgenden
Antworten und Vorgehensweisen vor:
Relevant: Der automatisierte Angreifer
„SpyBot“ folgt den sequentiellen Regeln
eines Stackelberg-Sicherheitsspiels, bei
dem der Angreifer (Red Player) auf die
zuvor etablierten Verteidigungsmaßnahmen
des Blue Players (den menschlichen
Spieler) reagiert.
Rational: Der Gegner „SpyBot“ wählt
seine Angriffsvektoren auf Basis der
ATT&CK-Matrix aus — einem etablierten
Framework, das validierte Cyberangriffe
systematisch kategorisiert.
Realistisch: Die Entscheidungslogik
des Angreifers wird durch empirische
Marktdaten gewichtet. Hierzu fließen Erkenntnisse
aus Darknet-Quellen ein; wir
analysieren Angebote im Bereich „Spionage-as-a-Service“,
um reale Marktmechanismen
in die Simulation zu integrieren.
Diese Ergebnisse wurden im Juni 2025
in Singapur auf der Fachkonferenz
ICCMSO-25 - IEEE International Conference
on Computational Modelling,
Simulation and Optimization [3] vorgestellt
und dort mit internationalem Fachpublikum
diskutiert.
REALITÄTSNÄHE DURCH
DARK-WEB-EINBINDUNG
Um den Lerneffekt der Zielgruppe zu
maximieren, begründen wir, dass die
Entscheidungen des automatisierten Angreifers
„SpyBot“ eine empirisch fundierte
Entscheidungslogik widerspiegeln soll.
Für unser Gewichtungsschema greifen
wir auf klassische ökonomische Theorien
zurück, darunter Angebots- und Nutzenfunktionen
sowie Wahrscheinlichkeitsmodelle
zur Entscheidungsfindung, um
einen sogenannten Likelihood-Score abzuleiten.
Während die Variable Preis exogen
ist und direkt aus Dark-Web-Marktplätzen
entnommen wird, werden die
Variablen Risiko, Kosten und technisches
Niveau synthetisch erzeugt, endogen geschätzt
mithilfe der Mitre ATT&CK Matrix,
um realistische Szenarien zu garantieren.
Jennifer Sturlese auf der Hauptbühne bei ihrem Vortrag im Rahmen des Young Researcher’s Day an der IKT-Sicherheitskonferenz 2025 in Dornbirn
Foto: JMC Sturlese
8 OCG Journal | 01 • 2026

Young Researchers´Day
Das entwickelte Modell basiert auf einer
sequentiellen Dynamik über fünf
Runden. In der Anfangsphase verzichtet
der Red Player bewusst darauf, sich an
jede Verteidigungsmaßnahme des Blue
Players anzupassen. Dadurch wird der
Lernprozess gefördert und schnelle Erfolgserlebnisse
ermöglicht. In späteren
Phasen sind erweiterte Modi vorgesehen,
in denen der Gegner zunehmend adaptiv
reagiert.
Auf der Fachkonferenz ITDRR-25 - IFIP
Information Technology in Disaster Risk
Reduction [4] in Japan im Oktober 2025
stellten wir die Forschungsergebnisse
vor, die bei internationalen Fachteilnehmer*innen
auf aufgeschlossenes Interesse
stießen.
ERSTER PROTOTYP, AUSBLICK
UND WEITERE FORSCHUNG
Der erste visuelle Prototyp der Notfallsimulation
wurde bereits auf der IKT-Sicherheitskonferenz
des österreichischen
Bundesheers 2025 in Dornbirn vorgestellt.
Als nächster Schritt folgt eine umfassende
Requirements-Engineering-Phase.
Mithilfe eines Mixed-Methods-Ansatzes
bestehend aus Interviews und Umfragen
werden Expert*innen, Bedarfsträger*innen
und weitere Stakeholder aktiv in den
Entwicklungsprozess eingebunden. Ziel
ist es, die Simulation passgenau auf die
Anforderungen und Erwartungen der
Zielgruppe auszurichten.
Interessierte Leser*innen, die sich als Interviewpartner*innen
einbringen möchten,
sind herzlich eingeladen, Kontakt mit
dem Forschungsteam aufzunehmen!
jmc@fhwn.ac.at
REFERENZEN
[1) Barry M Staw, Lance E Sandelands, and Jane E Dutton. Threat rigidity effects in organizational behavior: A multilevel analysis.
Administrative science quarterly, pages 501–524, 1981.
[2] Sturlese, J. M. C., & Hochreiter, R. (2024, October). Modeling the Case of Cyber Espionage for Executive Game Simulations.
In International Conference on Information Technology in Disaster Risk Reduction (pp. 66-81). Cham: Springer Nature Switzerland.
[3] Sturlese, J. M. C., & Purgathofer, P. (2025, June). Optimizing Algorithmic Decisions in Executive Game Simulations. In 2025
4th International Conference on Computational Modelling, Simulation and Optimization (ICCMSO) (pp. 238-242). IEEE.
[2] Sturlese, J. M. C., & Weippl, E. (2025). Inference of a Weighting Scheme for Cybersecurity Emergency Simulations. In The
Information Technology in Disaster Risk Reduction Conference (ITDRR 2025) http://eprints.cs.univie.ac.at/8453/
Jennifer-Marieclaire
(JMC) Sturlese
ist Leiterin des Lehrgangs
„Cyber Crime
Investigation“ an der
Fakultät Sicherheit,
FH Wiener Neustadt und promoviert
unter Betreuung durch Univ.-Prof.
Weippl. Ihre Forschungsinteressen
sind Cybercrime und Cybersecurity.
Michael Fischer
ist Fakultätsleiter der
Fakultät Sicherheit
an der FH Wiener
Neustadt. Seine
Forschungsinteressen
sind Cybercrime und qualitative
Forschungsmethoden für Polizeiwissenschaften.
Edgar Weippl
ist Vizedekan der
Fakultät Informatik
der Universität
Wien und Leiter der
Forschungsgruppe
Security & Privacy. Seine Forschungsinteressen
sind Cybersecurity und
Privacy.
01 • 2026 | OCG Journal
9

Cybersecurity - Logdate-Analyse
von Viktor Beck
Anomalie-Erkennung auf
Logdaten
Anomale Muster in Echtzeit zu erkennen,
wird zunehmend wichtiger. Besonders
in Bereichen wie Cybersecurity
oder der Produktionsüberwachung hat
sich die Anomalie-Erkennung (engl.
Anomaly Detection) zu einem unverzichtbaren
Werkzeug entwickelt. Bei
der Anomalie-Erkennung handelt es
sich um ein Verfahren des maschinellen
Lernens, das ungewöhnliche Muster
oder Ausreißer in Datensätzen identifiziert.
Solche Abweichungen können
auf Fehler, Cyberangriffe, technische
Störungen oder andere kritische Ereignisse
hindeuten. Das Ziel besteht darin,
Auffälligkeiten frühzeitig zu erkennen,
um gezielt Gegenmaßnahmen einleiten
zu können.
wenn von vielen Entwickler*innen oft
versprochen – in der Regel nicht einfach
„out-of-the-box“. Vielmehr müssen dafür
bestimmte Voraussetzungen erfüllt sein.
wurde, von den variablen Teilen zu trennen.
Aus diesem Problem heraus hat sich
ein eigener Forschungszweig entwickelt,
der sich speziell mit der Strukturierung
von Logdaten mithilfe von Parsing-Algorithmen
beschäftigt. Ein Beispiel für diesen
Prozess zeigt Abbildung 1.
Jeder Klick auf einer Website, jede Nutzung
einer App oder jeder Start einer
Maschine in einer Fabrik kann unzählige
Event-Logs generieren. Logdaten sind
automatisch generierte Protokolle, die
von Computersystemen, Anwendungen
oder Geräten erstellt werden und alle
relevanten Ereignisse im System dokumentieren
– von Nutzeraktivitäten über
Systemfehler bis hin zu Transaktionen
oder Netzwerkverkehr. Sie enthalten oft
Zeitstempel, Fehlercodes, IP-Adressen
und andere technische Informationen.
Besonders in der Cybersecurity sind
diese Daten von zentraler Bedeutung:
Genau wie in der analogen Welt hinterlassen
auch Cyberkriminelle digitale
Spuren – und diese zeigen sich häufig als
unerwartete Ereignisse in den Logdaten.
Hier kommt die Anomalie-Erkennung ins
Spiel. Allerdings funktioniert sie – auch
Abbildung 1: Log-Parsing: von Logging-Statement im Code, zu Logs, zu strukturierten Daten ©
Viktor Beck
LOG PARSING
Bevor Logdaten effizient analysiert werden
können, müssen sie in ein strukturiertes
Format überführt werden. In der
Informatik bezeichnet der Begriff Parsing
den Prozess, bei dem rohe Daten in ein
nutzbares Format transformiert werden.
Logdaten sind semi-strukturiert: Sie enthalten
zwar strukturierte Elemente wie
Zeitstempel oder IP-Adressen, aber auch
unstrukturierte Anteile – etwa systemgenerierte
Nachrichten. Diese Nachrichten
sind zwar für Fachleute lesbar, für Computer
jedoch schwer interpretierbar. Entsprechend
schwierig ist es die statischen
Teile einer solchen Nachricht, deren Formulierung
irgendwo im Code festgelegt
Auch der Bereich des Log-Parsings bleibt
vom aktuellen Hype um Sprachmodelle
nicht unberührt. Moderne Large Language
Models (LLMs) wie ChatGPT, Mistral
oder Quen lassen sich hier besonders
effektiv – und trotz ihrer Größe überraschend
effizient – einsetzen, da sie im Vergleich
zu traditionelleren Parsing-Algorithmen
die semantischen Eigenschaften
von Logdaten „verstehen“ und somit die
statischen und variablen Teile eines Logs
klassifizieren können 1 . Wie ein solches
1
https://arxiv.org/abs/2504.04877
10 OCG Journal | 01 • 2026

Young Researcher´s Day
System typischerweise aufgebaut ist und
welche Rolle das LLM darin übernehmen
kann, veranschaulicht Abbildung 2.
LOGDATEN-GENERIERUNG MIT
LLMS
Ein zentrales Problem der Logdaten-Analyse
– und damit auch der Anomalie-Erkennung
auf Logdaten – ist der
chronische Mangel an realistischen Datensätzen,
die für Design und Evaluierung
von Algorithmen genutzt werden
können. Logdaten enthalten in der Regel
sensible Informationen.
Zwar lassen sich einige dieser Daten anonymisieren,
doch allein das Verhalten
der Logs – also genau das, was analysiert
werden soll – gibt oft Aufschluss über
das zugrundeliegende Computersystem
und dessen Nutzer. Aus Gründen der Cyber-
und Informationssicherheit geben
Unternehmen ihre Logdaten daher nur
selten frei. Für die Forschung ist dies problematisch,
da Reproduzierbarkeit ohne
reale freizugängliche Daten kaum möglich
ist. Ohne Zugang zu echten Logs ist
die Anwendbarkeit in der Realität nicht
sichergestellt.
Forscher*innen greifen daher häufig auf
Simulationen zurück, um synthetische
Logdaten zu generieren. Doch solche Simulationen
sind oft aufwändig: Gerade
in großen Infrastrukturen sorgen zahlreiche
Nutzer*innen, Applikationen und
Hintergrundprozesse für ein komplexes
Normalverhalten. Bisher wird das Problem
diese zu simulieren meist durch
starre, vorgefertigte Skripte gelöst, die
Infrastruktur und Nutzer*innen im System
abbilden. Diese Skripte sind jedoch
Abbildung 2: LLM-basiertes Log-Parsing © Viktor Beck
unflexibel und müssen für jeden Anwendungsfall
neu erstellt werden.
Hier bieten LLMs eine vielversprechende
Lösung. Ein konkretes Beispiel: Die Simulation
von Systemadministrator*innen
durch LLMs ermöglicht die automatische
Generierung realistischer Logdaten. Dabei
interagiert die KI dynamisch mit dem
Terminal – ähnlich wie ein menschlicher
Nutzer. Das LLM erhält eine konkrete
Aufgabe (z. B. Fehlerbehebung oder Wartung),
führt Befehle aus und reagiert adaptiv
auf Systemrückmeldungen. Sogar
Tippfehler oder Umwege werden dabei
protokolliert. Das Ergebnis sind Logdaten,
die nicht nur technisch korrekt, sondern
auch verhaltensbezogen authentisch
wirken. Der größte Vorteil liegt in der
Skalierbarkeit: Innerhalb kürzester Zeit
lassen sich vielfältige Szenarien simulieren
– perfekt für Sicherheitstests oder die
Evaluierung von Anomalie-Erkennungsalgorithmen.
ZUKÜNFTIGE FORSCHUNG
Zukünftige Forschung sollte sich auf
die zentralen Herausforderungen und
Voraussetzungen konzentrieren, um
Anomalie-Erkennung auf Logdaten realistischer
und anwendungsfähiger zu
machen. Unter anderem sollte der Fokus
darauf liegen, wie Algorithmen automatisch
an neue Daten angepasst werden
können 2 , oder wie die Zusammenarbeit
mehrerer Systeme, mit einem gemeinsamen
Modell, die Erkennungsleistung
steigern kann, ohne Datensouveränität
zu gefährden. Ein weiteres wichtiges Thema
wäre, wie Detektions-Algorithmen
auf verändertes Datenverhalten reagieren,
zum Beispiel bei Systemupdates.
2
https://ieeexplore.ieee.org/abstract/document/10825202
Viktor Beck
ist PhD Student an
der TU Wien und
arbeitet als Junior
Scientist am AIT
Austrian Institute of
Technology an EU-Forschungsprojekten.
Sein Forschungsschwerpunkt
liegt auf Anomalie-Erkennung und
Logdaten-Analyse im Kontext der
Cybersicherheit.
01 • 2026 | OCG Journal
11

Social Skills in IT-Security-Studiengängen
von Ines Jansta
Der Mensch als Schlüssel für
Informationssicherheit
Die Digitalisierung schreitet voran,
IT-Systeme werden komplexer und mit
ihnen wachsen die Herausforderungen
für Unternehmen und Gesellschaft.
Während Firewalls, Verschlüsselung
und technische Schutzmaßnahmen immer
ausgefeilter werden, bleibt ein Aspekt
oft im Schatten: der Mensch.
Social Engineering, Phishing und andere
Angriffsformen, die gezielt menschliches
Verhalten ausnutzen, nehmen stetig zu.
Doch wie gut sind künftige IT-Security-Expert*innen
darauf vorbereitet? Ein
Blick auf die österreichischen Studiengänge
zeigt: Psychologische und soziale
Aspekte werden bislang nur am Rande
behandelt.
DER BLINDE FLECK IN DER AUS-
BILDUNG
Eine systematische Analyse aktueller Curricula
offenbart eine deutliche Schieflage:
Im Durchschnitt entfallen nur rund 3,6 %
der ECTS auf soziale Kompetenzen, Awareness-spezifische
Inhalte machen sogar
weniger als 0,5 % aus. Damit bleibt ein
zentrales Risiko für Organisationen weitgehend
unadressiert. Die Ausbildung fokussiert
weiterhin auf Technik – obwohl
der Mensch nachweislich das schwächste
Glied in der Sicherheitskette ist.
WARUM SOCIAL SKILLS FEHLEN
Warum werden Social Skills so wenig berücksichtigt?
Interviews mit Expert*innen
aus Information Security und Social Skills
liefern Antworten:
• Viele Curricula werden von Personen
mit rein technischem Hintergrund gestaltet.
• Es fehlt an Lehrenden mit interdisziplinärem
Profil.
• Soziale Kompetenzen werden oft als
„Soft Skill“ Zusatzthema betrachtet
– nicht als integraler Bestandteil der
Ausbildung.
WAS BRAUCHT ES FÜR WIRKSA-
ME SECURITY AWARENESS?
Die Expert*innen sind sich einig: Um Security
Awareness nachhaltig zu etablieren,
braucht es mehr als klassische Vorlesungen.
Gefragt ist ein Methodenmix,
der Theorie und Praxis verbindet. Dazu
zählen:
• Phishing-Simulationen und realitätsnahe
Übungen
• Gamification-Ansätze, die Motivation
und Lernerfolg steigern
• Zielgruppenspezifische Kommunikation,
die unterschiedliche Vorkenntnisse
und Bedürfnisse adressiert
Als zentrale soziale Kompetenzen werden
Kommunikationsfähigkeit,
Empathie,
Präsentationsskills sowie Team- und Konfliktmanagement
genannt. Gerade bei
technisch orientierten Zielgruppen ist die
Vermittlung dieser Fähigkeiten jedoch
eine Herausforderung und verlangt nach
innovativen, interaktiven Lehrformaten.
EIN LEITFADEN FÜR DIE PRAXIS:
DAS KOMPETENZMODELL
Wie können Hochschulen Social Skills
gezielt und wirksam integrieren? Im Rahmen
der Masterarbeit wurde ein praxisnahes
Kompetenzmodell entwickelt, das
fünf zentrale Bereiche abdeckt:
• Kommunikations- und Präsentationsfähigkeit:
Inhalte klar, verständlich und
zielgruppengerecht vermitteln
• Strukturelle Hürden und ein traditionell
technikzentrierter Blick prägen
die Studiengänge.
Darstellung der durchschnittlichen ECTS-Verteilung der Studiengänge, Grafik: Ines Jansta
12 OCG Journal | 01 • 2026

Young Researchers´Day
• Persönliche Kompetenzen: Empathie,
Selbstreflexion und die Bereitschaft,
sich weiterzuentwickeln
• Psychologische und analytische Fähigkeiten:
Verständnis für menschliches
Verhalten, Entscheidungsprozesse
und Motivation
• Team- und Konfliktmanagement: Zusammenarbeit
fördern, Konflikte konstruktiv
lösen
• Führungs- und Managementkompetenzen:
Verantwortung übernehmen,
Teams leiten und Veränderungen gestalten
Zu jedem Bereich werden konkrete Methoden
wie Rollenspiele, Storytelling,
Simulationen oder Reflexionsaufgaben
vorgeschlagen. Das Modell ist flexibel und
kann an die jeweiligen Anforderungen
der Hochschule angepasst werden.
VOM RANDTHEMA ZUM ER-
FOLGSFAKTOR
Die gezielte Integration sozialer Kompetenzen
in IT-Security-Studiengängen ist
keine Kür, sondern eine dringende Notwendigkeit.
Nur durch eine bewusste Verankerung
dieser Inhalte in den Curricula können
künftige Fachkräfte umfassend auf die
Herausforderungen der digitalen Arbeitswelt
vorbereitet werden. Die regelmäßige
Überprüfung und Weiterentwicklung
der Studienpläne ist dabei ebenso wichtig
wie die Förderung interdisziplinärer
Lehransätze und die Sensibilisierung von
Lehrenden und Studierenden für die Bedeutung
von Social Skills.
ZUKUNFT BRAUCHT MEHR ALS
TECHNIK
Die Ergebnisse der Masterarbeit zeigen
klar: Die Entwicklung von Social Skills darf
nicht länger als „Soft Skill“ Zusatzthema
betrachtet werden. Sie ist ein integraler
Bestandteil einer modernen IT-Security-Ausbildung
und der Schlüssel, um den
menschlichen Faktor in der Informationssicherheit
wirksam zu adressieren. Wer
die Sicherheit von morgen gestalten will,
muss heute schon den Menschen in den
Mittelpunkt der Ausbildung stellen.
Ines Jansta
ist Masterabsolventin
des Studiengangs
IT-Security an der
FH Technikum Wien
und Expertin für
Information Security Governance, Risk
& Compliance bei Greiner AG.
Übersicht untersuchter Studiengänge, Grafik: Ines Jansta
IKT Sicherheitskonferenz 2025, Ines Jansta auf der Hauptbühne; Foto: SBA
01 • 2026 | OCG Journal
13

Risiken bei der Nutzung öffentlicher Ladestationen
von Florian Draschbacher
ChoiceJacking: Datendiebstahl
durch Handy Ladegeräte
Das Aufladen des Smartphones gehört
für die meisten Menschen zum Alltag.
Immer häufiger stehen dafür auch im
öffentlichen Raum – etwa an Flughäfen,
Bahnhöfen oder Hotels – Ladegelegenheiten
zur Verfügung, die in der Regel
dankbar angenommen werden. Kaum
jemand macht sich dabei Gedanken
über mögliche Sicherheitsrisiken. Das
wäre allerdings durchaus angebracht,
wie wir in unserer Forschung herausgefunden
haben.
Die grundlegende Problematik ist nicht
neu. Smartphones besitzen meist nur
eine einzige physische Schnittstelle, die
nicht nur dazu dient, das Gerät zu laden.
Derselbe Anschluss kann auch benutzt
werden, um etwa Dateien mit einem
Computer auszutauschen, oder Eingabegeräte
wie Tastaturen anzuschließen. Wie
Forscher*innen schon vor mehr als zehn
Jahren in sogenannten JuiceJacking-Angriffen
zeigten, konnte ein manipuliertes
(nun bösartiges) Ladegerät sich daher
unbemerkt als Computer ausgeben und
auf am Smartphone gespeicherte Daten
zugreifen.
Als Reaktion darauf führten Android und
iOS Sicherheitsmechanismen ein: Ein
Dateiaustausch über USB ist nur mehr
möglich, wenn der*die Nutzer*in diesen
explizit bestätigt – etwa durch einen Dialog
am Bildschirm. Diese Maßnahme galt
lange als wirksam, neue Angriffe mit vergleichbarer
Tragweite blieben aus.
VON JUICEJACKING ZU CHOICE-
JACKING
Unsere Arbeit zeigt jedoch, dass diese
Schutzmaßnahme auf einer Annahme
beruht, die in der Praxis nicht immer zutrifft:
Man ging davon aus, dass ein Ladegerät
entweder als Computer oder als
Eingabegerät auftreten kann, aber nicht
beides gleichzeitig. Damit könnte ein Ladegerät
nicht gleichzeitig als Computer
eine Verbindung zum Dateiaustausch
herstellen und als Eingabegerät den Bestätigungsdialog
akzeptieren.
Diese Annahme ist zwar bei isolierter
Betrachtung der USB-Spezifikation gültig,
nicht aber bei ganzheitlicher Betrachtung
moderner Smartphone-Betriebssysteme.
Genau hier setzen unsere
ChoiceJacking-Angriffe an. Der Name ist
bewusst gewählt: Anders als bei Juice-
Jacking wird nicht einfach heimlich eine
Datenverbindung aufgebaut, sondern
die Entscheidung der Nutzer*innen zur
Freigabe dieser Verbindung wird manipuliert
oder umgangen.
DREI WEGE ZUM ZIEL
Im Rahmen unserer Forschung konnten
wir drei unterschiedliche Angriffsvarianten
identifizieren. Alle haben gemein-
Grundprinzip von Choice Jacking - Angriffen; Foto: Florian Draschbacher
14 OCG Journal | 01 • 2026

Young Researchers´Day
sam, dass ein manipuliertes Ladegerät
über USB gleichzeitig zwei Kommunikationskanäle
aufbaut: Einen für den Dateiaustausch
selbst und einen weiteren zur
selbständigen Bestätigung des Dateiaustauschs.
Eine erste, eher naheliegende Variante
nutzt eine initiale USB-Eingabeverbindung,
um das Smartphone mit einem
Bluetooth-Eingabegerät zu koppeln, das
im Ladegerät verbaut ist. Anschließend
kann die USB-Verbindung auf Dateiaustausch
umgeschaltet werden und die
Bestätigung mittels des Bluetooth-Eingabegeräts
erfolgen. Dieser Angriff funktioniert
sowohl unter Android als auch
iOS, ist jedoch vergleichsweise langsam.
Eine zweite Variante nutzt eine Race Condition
im Eingabesystem von Android.
Das Ladegerät schickt als USB-Eingabegerät
eine schnelle Abfolge von Eingabeevents
und schaltet die Verbindung
dann rasch auf Dateiaustausch um. Während
der Bestätigungsdialog dafür schon
angezeigt wird, ist das Eingabesystem
noch damit beschäftigt, die vielen Eingabeevents
abzuarbeiten. So kann der Dialog
mit in der Vergangenheit erzeugten
Eingabeevents bestätigt werden. Dieser
Ansatz ist schneller, erzeugt aber deutlich
sichtbare Bildschirmaktivität.
Die effektivste und schnellste Variante
nutzt schließlich ein Android-spezifisches
USB-Protokoll zur Anbindung
von speziellem Zubehör. Dieses kann so
missbraucht werden, dass das Ladegerät
während einer Verbindung zum Dateiaustausch
auch Eingabeevents schicken
kann. In vielen Fällen genügt ein sehr kurzer
Moment – teils nur wenige Hundert
Millisekunden –, um vollständigen Zugriff
auf Dateien zu erlangen.
DER RICHTIGE MOMENT
Allen ChoiceJacking-Angriffen ist gemeinsam,
dass das Gerät meist während
des Ladens zumindest kurz entsperrt
sein muss. Das klingt zunächst nach einer
starken Einschränkung, ist im Alltag aber
erstaunlich realistisch. Wer sein Smartphone
unterwegs lädt, tut dies häufig aus
der Notwendigkeit heraus, erreichbar zu
bleiben. Oft wird das Gerät also entsperrt,
um Nachrichten zu lesen, Musik zu hören
oder zu telefonieren – und bleibt dabei
auch immer wieder unbeachtet.
Um diesen Moment zuverlässig zu erkennen,
kann für ChoiceJacking-Angriffe
ein Power-Line-Side-Channel ausgenutzt
werden. Dabei analysiert das Ladegerät
minimale Schwankungen im Stromverbrauch
des Smartphones. Bestimmte
Nutzungsszenarien – etwa ein laufendes
Telefonat mit abgeschaltetem Display –
lassen sich so erkennen. Das Ladegerät
kann den Angriff so gezielt dann starten,
wenn der*die Nutzer*in das Display nicht
im Blick hat.
BETROFFENE GERÄTE UND RE-
AKTIONEN
In unserer Evaluierung waren alle getesteten
Geräte anfällig – darunter Smartphones
von acht großen Android-Herstellern
sowie ein aktuelles iOS-Gerät. Je
nach Hersteller und Konfiguration war
sogar ein Zugriff auf gesperrte Geräte
oder Entwicklerfunktionen möglich. Wir
haben alle Ergebnisse verantwortungsvoll
an die betroffenen Unternehmen
gemeldet. Die meisten Hersteller, darunter
Google, Samsung, Xiaomi und Apple,
haben die Schwachstellen bestätigt und
mittlerweile behoben.
WEITERE SCHWACHSTELLEN
Im Rahmen unserer Arbeit zu ChoiceJacking-Angriffen
stießen wir auch auf einige
weitere schwerwiegende Schwachstellen,
die über USB Dateizugriff auf
gesperrte Geräte erlaubten. Eine dieser
Lücken erlaubte über USB das Löschen
sämtlicher Nutzerdaten auf gesperrten
Smartphones der Hersteller Huawei und
Honor. Ein anderer Logikfehler erlaubte
unter bestimmten Voraussetzungen das
USB-basierte Auslesen von Dateien auf
aktuellen Google-Pixel-Geräten trotz gesperrten
Bildschirms. Auch diese Sicherheitslücken
haben wir an die betroffenen
Hersteller gemeldet, sodass sie mittlerweile
behoben werden konnten.
WAS NUTZER*INNEN TUN KÖN-
NEN
Auch wenn die meisten der gefundenen
Schwachstellen mittlerweile behoben
sind, sollten sicherheitsbewusste Endnutzer*innn
dennoch vorsichtig bleiben.
Unsere wichtigsten Empfehlungen sind
einfach, aber wirksam: Öffentliche Ladegeräte
möglichst meiden, im Zweifel
lieber eine eigene Powerbank verwenden
oder das Smartphone während des
Ladens ausschalten. USB-Datenblocker,
die nur Strom durchlassen, können ebenfalls
helfen – sofern man sie konsequent
dabeihat.
Florian
Draschbacher
ist Doktorand am Institute
of Information
Security der Technischen
Universität
Graz. In seiner Forschung beschäftigt
er sich mit verschiedenen Aspekten
von Mobile Security.
01 • 2026 | OCG Journal
15

Cybersicherheit in Produktionsanlagen
von Olaf Saßnick
KI-basierte Honeypots
Produktionsanlagen sind heutzutage
hochgradig vernetzt und automatisiert.
Das erhöht die Effizienz und Flexibilität,
schafft aber auch neue Sicherheitsrisiken.
Im Folgenden wird ein Ansatz vorgestellt,
wie KI genutzt werden kann,
um Produktionsanlagen besser zu
schützen.
In den vergangenen Jahren haben sich
industrielle Produktionsanlagen im Zuge
von Industrie 4.0 durch eine fortschreitende
Digitalisierung zu hoch vernetzten
Systemen gewandelt. Fertigungsprozesse
werden durchgehend automatisiert,
besser überwacht und optimiert. Damit
einhergehend ist jedoch die virtuelle Angriffsfläche
gegenüber Cyberangriffen
erheblich gewachsen [1]. Cyberangriffe
verfolgen unterschiedliche Ziele, darunter
Monetarisierung etwa durch Erpressungssoftware
(Ransomware), Industriespionage
oder auch Sabotage durch die
gezielte Manipulation von Prozessparametern.
Zur wirksamen Abwehr sind
moderne Sicherheitskonzepte erforderlich,
die jedoch Anforderungen von OT
(Operational Technology), wie Echtzeitfähigkeit
und funktionale Sicherheit, berücksichtigen
müssen. In diesem Kontext
werden KI-basierte Honeypots für Produktionsanlagen
erforscht, die im Folgenden
vorgestellt werden.
KI-BASIERTE HONEYPOTS
Ein Honeypot ist eine scheinbar normale
Komponente im Netzwerk, die jedoch
bewusst nicht produktiv genutzt wird.
Sie existiert ausschließlich, um potenzielle
Angreifer vom realen Produktionssystem
abzulenken und soll deshalb als
Angriffsziel möglichst interessant oder
lohnenswert wirken. Eine Interaktion mit
dem Honeypot löst einen Alarm aus und
enttarnt somit den Angreifer. Aufgrund
seiner Funktionsweise kann ein Honeypot
ein herkömmliches signaturbasiertes
Intrusion-Detection-System (IDS) gut
ergänzen, da er auch bei unbekannten
Sicherheitslücken wirksam ist und durch
die Interaktion mit dem Angreifer dessen
Angriff verzögert wird. Die potenzielle
Interaktionsdauer steigt mit dem Detailgrad
des Honeypots.
Während sich das Verhalten von Servern
oder Desktop-PCs vergleichsweise leicht
imitieren lässt, da Betriebssystem, Programme
und Daten rein virtuell sind,
ist das bei Produktionsmaschinen mit
hohem Detailgrad für einen Honeypot
aufwendiger, da es sich um Cyber-Physical
Systems (CPS) handelt, die mit der
physischen Umgebung interagieren. Sie
verfügen über Aktuatoren und Sensoren,
die den Fertigungsprozess umsetzen
und überwachen. Um das Verhalten von
CPS nachzubilden, verwenden bestehende
publizierte Honeypots nahezu ausschließlich
Simulationsmodelle [2]. Das
manuelle Erstellen von Simulationsmodellen
und Anpassen an reale Abläufe für
bestehende Anlagen ist jedoch zeitaufwändig.
Mit steigender Komplexität der
abzubildenden Prozesse wird es immer
weniger kosteneffizient ein Simulationsmodell
zu erstellen. Deshalb besteht der
Ansatz dieser Forschungsarbeit darin,
mit Hilfe generativer KI-Modelle Datenschnittstellen
der realen Produktionsmaschinen
zu beobachten und so deren
Verhalten zu erlernen. Die KI-Modelle
agieren autonom, womit der Aufwand
zum Erstellen eines Honeypots stark reduziert
wird und gut skalierbar ist. Dabei
können die in der Fertigung involvierten
Prozesse physikalischer oder chemischer
Natur sein.
DYNAMISCHES DEPLOYMENT
In weiterer Folge könnten Honeypots
nicht nur permanent in einem Netzwerk
Abbildung 1 Ein Angreifer bewegt sich in einem Firmennetzwerk, welches in Planning, Supervision und Shopfloor segmentiert ist. Der Angreifer hat
Zugriff auf eine Operator Workstation, wird jedoch bei der Kommunikation in den Shopfloor vom Intrusion Detection System (IDS) als ungewöhnliche
Aktivität erkannt und dynamisch auf ein virtuelles KI-basiertes Honeynet umgeleitet.; Grafik: Olaf Saßnick
16 OCG Journal | 01 • 2026

Young Researchers´Day
positioniert werden, sondern auch dynamisch
als Reaktion auf eine verdächtige
Aktivität, die von einem IDS erkannt wird.
In der in Abb. 1 gezeigten schematischen
Darstellung versucht ein Angreifer über
eine Operator-Workstation auf eine Produktionsmaschine
zuzugreifen, um etwa
Prozessparameter zu manipulieren. Diese
ungewöhnliche Aktivität wird von dem
IDS erkannt. Statt diese Aktivität jedoch
direkt zu blockieren und damit den Angreifer
indirekt über dessen Enttarnung
zu informieren, kann eine Umleitung auf
einen Honeypot erfolgen. Dazu wird von
dem IDS aus dynamisch ein Honeypot instanziiert,
der den aktuellen Zustand der
Produktionsmaschine imitiert, anschließend
jedoch völlig isoliert arbeitet.
Weiterführend kann in einem derartigen
Szenario der Zugriff auf das industrielle
Netzwerk mit Produktionsmaschinen
völlig getrennt werden und, soweit
operativ möglich, in einem Modus ohne
Kommunikation nach außen laufen.
Währenddessen wird der Angreifer auf
ein dynamisch erstelltes virtuelles Netzwerk
umgeleitet, in dem Honeypots verschiedener
Produktionsmaschinen instanziiert
sind und miteinander agieren.
Die verschiedenen Honeypots zusammen
bilden ein Honeynet. Der Aufbau
könnte auch als eine Sandbox bezeichnet
werden. In weiterer Folge kann das
Verhalten des Angreifers isoliert studiert
werden. Zugleich wird Zeit für ein Incident-Response-Team
gewonnen. Der
Angreifer hat zwar nicht länger Zugriff
auf die Produktionsanlage (Shopfloor), jedoch
muss analysiert werden, wie der Angreifer
auf die Operator-Workstation gelangt
ist (Lateral Movement Analysis). Je
nach Bedenklichkeit des Angriffs kann es
auch sinnvoll sein, das Firmennetzwerk
vollständig zu isolieren, wobei zwischen
sicherheitstechnischen und operativen
Interessen abzuwägen ist.
AKTUELLER STAND UND AUS-
BLICK
Der Zustand eines CPS kann mit einer
definierten Menge an Variablen vollständig
beschrieben werden. Zeitlich betrachtet
bewegt sich folglich das CPS auf
einer Trajektorie in einem Zustandsraum.
Diese Trajektorie ist als eine multivariate
Zeitreihe darstellbar, wobei KI-basierte
Vorhersagemodelle zum Generieren der
Zeitreihe eingesetzt werden können. Es
erfolgte dazu bereits eine erste prototypische
Umsetzung [3], wo das Verhalten
eines CPS auf einer industriellen Kommunikationsschnittstelle
mit einem Long
Short-Term Memory (LSTM) Modell generiert
wurde. Weiterführend wurden
verschiedene universelle KI-Vorhersagemodelle
mit einem eigenen Datensatz,
der charakteristische Merkmale einer
diskreten Fertigung aufweist, in unterschiedlichen
Einsatzszenarien evaluiert
[4]. Hierbei zeigte sich besonders, dass
die mit Standard-Benchmarks entstandene
Reihung der Vorhersagemodelle
mit diesem Datensatz nicht länger zutreffend
ist. Derartige KI-Modelle sind
nicht nur für Honeypots nutzbar, sondern
auch beispielsweise, um vorausschauende
Wartung, Anomalieerkennung oder
Prozessoptimierung zu ermöglichen. Im
Vergleich dazu ergeben sich jedoch für
den Honeypot spezielle Anforderungen.
Ein trainierter Honeypot muss in der Lage
sein langzeitstabile Zeitreihendaten zu
generieren. Initial erhält er den Zustand
der realen Maschine als Eingabe und
muss anschließend isoliert Daten gene-
REFERENZEN
[1] T. Miller, A. Staves, S. Maesschalck, M. Sturdee und B. Green, „Looking back to
look forward: Lessons learnt from cyber-attacks on Industrial Control Systems,“ Int.
Journal of Critical Infrastructure Protection, Jg. 35, 2021. doi: https://doi.org/10.1016/j.
ijcip.2021.100464.
[2] J. Franco, A. Aris, B. Canberk und A. S. Uluagac, „A survey of honeypots and
honeynets for internet of things, industrial internet of things, and cyber-physical
systems,“ IEEE Communications Surveys & Tutorials, Jg. 23, Nr. 4, S. 2351–2383, 2021.
[3] O. Saßnick, G. Schäfer, T. Rosenstatter und S. Huber, „A Generative Model Based
Honeypot for Industrial OPC UA Communication,“ in Computer Aided Systems
Theory – EUROCAST 2024, Cham: Springer Nature Switzerland, 2025-04, S. 320–334.
doi: 10.1007/978-3-031-83885-9_29.
[4] O. Saßnick, T. Rosenstatter, A. Unterweger und S. Huber, „Deep Learning-based
Time Series Forecasting for Industrial Discrete Process Data,“ in 8th IEEE Conference
on Industrial Cyber-Physical Systems (ICPS), Emden, Germany: IEEE, 2025-05.
doi: 10.1109/ICPS65515.2025.11087869.
rieren. Fehler addieren sich, wodurch, die
realen und die generierten Daten auseinanderdriften.
Hier könnte der Einsatz von
Neural Ordinary Differential Equations
(Neural ODEs) zielführend sein. Anstelle
aus einem Ausgangszustand direkt den
Folgezustand zu erlernen, lernen diese
die zeitliche Ableitung des Zustands. Um
den Folgezustand zu bestimmen, wird
die zeitliche Ableitung des Zustands integriert,
womit eine bessere Stabilität
erreicht werden kann. Zudem kann das
Verhalten gewöhnlicher Differentialgleichungen,
die sich besonders zur Modellierung
physikalischer Abläufe eignen,
durch Neural ODEs gut wiedergegeben
werden.
Der Honeypot muss außerdem charakteristische
höherfrequente Signalanteile
wiedergeben können, beispielsweise
eine lastabhängige Restwelligkeit bei
einem Motorstrom. Fehlt diese, kann auf
einfache Weise zwischen Honeypot und
realem System unterschieden werden.
Modelle im Zeitbereich können diese
jedoch nur unzureichend erlernen. Ein
möglicher Ansatz könnte darin bestehen,
die höherfrequenten Signalanteile
mithilfe von Gauß-Verteilungen im Frequenzbereich
zu regenerieren.
Um letztlich ein Honeynet zu bilden, können
bereits bestehende Honeypots gemeinsam
eingesetzt werden. Zusätzlich
muss jedoch auch eine SCADA-Komponente
(Supervisory Control and Data Acquisition)
imitiert werden, die die Orchestrierung
der Honeypots wie bei einem
realen Produktionsablauf übernimmt.
Zusammenfassend zeigen KI-basierte
Ansätze vielversprechende Einsatzmöglichkeiten,
während zugleich jedoch weiterer
Forschungsbedarf besteht.
Olaf Saßnick
arbeitet als Forscher
am Josef Ressel Zentrum
für Intelligente
und Sichere Industrieautomatisierung
(JRZ ISIA) der Fachhochschule Salzburg,
mit Schwerpunkt Cybersecurity.
Daneben ist er Lehrbeauftragter im
Fachbereich Mechatronik, mit Fokus
auf Sensorik und Embedded-Systems.
01 • 2026 | OCG Journal 17

Interesse wecken, Selbstvertrauen stärken
von Maria Kloibhofer
Gamifiziertes Forensiktraining
für FINTA*
Mit rund 75 % stellen Männer immer
noch den Großteil der Arbeitskräfte in
der Cybersecurity. In der Infrastruktur
wird Diversität bereits mitgedacht, etwa
mit der „Diversity in Defense“-Strategie,
bei der verschiedene Hersteller eingesetzt
werden, um die Chancen von
Angreifern zu mindern. Eine ähnliche
Vielfalt an Sichtweisen und Lebenserfahrung
kann auch in anderen Bereichen
der Cybersecurity helfen, Probleme
zu lösen und neue Strategien zu
finden.
Im Rahmen der Bachelorarbeit „Interest,
Confidence and Murderous Animatronics
– Gamified, Story-Driven Forensics
Education“ wurde ein gamifiziertes, story-getriebenes
Training über die digitale
Forensik erarbeitet und für eine bestehende
Initiative zur Förderung von Frauen
und die gesamte Gruppe der FINTA*
in der Cybersecurity abgehalten.
GRÜNDE FÜR DIE GENDER-GAP
Warum existiert diese Geschlechterdifferenz
überhaupt? Ein Teil lässt sich aus
historischen Gründen erklären, aber auch
einige aktuelle Strukturen und Mindsets
schließen etwa Frauen aktiv sowie passiv
aus diesem Bereich aus.
Im Zuge der Arbeit wurden einige der
häufig genannten Gründe in zwei Kategorien
unterteilt.
Interesse
Durch die niedrige Frauenquote ergeben
sich automatisch weniger Vorbilder und
* FINTA* steht für Fraunen, intergeschlechtliche,
nichtbinäre, trans und agender Personen.
mögliche Repräsentation, sowohl im echten
Leben als auch in den Medien. Vielen
Berufsanfänger*innen ist auch nicht bewusst,
wie vielseitig die Cybersecurity ist
und welche Tätigkeitsbereiche sich daraus
ergeben. Obwohl sich mittlerweile
einige Initiativen darum kümmern, hier
zu informieren und zu stärken, spürt
man die Diskrepanz noch stark. Dadurch
ergibt sich weniger direkter Kontakt zu
dem Feld und damit auch die Möglichkeit,
sich selbst in diesem Berufsbild zu
sehen.
Was bleibt also übrig, wenn es keine Vorbilder
gibt? Es bleiben die Bilder im eigenen
Kopf und die Bilder, die in der Gesellschaft
generell vorherrschen. Und die sind
in der Cybersecurity einerseits männlich
geprägt, aber auch sehr klischeebehaftet
– denn woran denkt man instinktiv, wenn
man an einen „Hacker“ denkt? An einen
jungen Mann im schwarzen Kapuzenpullover.
Selbstvertrauen
Ein weiteres Problem, von dem Frauen
sowohl während der Ausbildung als auch
später im Berufsleben berichten, ist das
Imposter (Hochstapler) Syndrom. Dabei
handelt es sich um das Gefühl, an den
eigenen Fähigkeiten zu zweifeln und die
Angst, als Hochstapler entlarvt zu werden,
obwohl es keine objektiven Gründe dafür
gibt. Ein Gefühl, dass oft noch verstärkt
wird, wenn man als einzige Frau auftritt
und sich so nicht nur selbst, sondern quasi
alle Frauen repräsentiert. Hier kann das
Bilden von Netzwerken helfen, um dieses
Gefühl der Isolation zu verringern.
Zusammengefasst ergaben sich daraus
die zwei Aufgabenbereiche Interesse (wecken,
halten) und Selbstvertrauen (mit einem
niederschwelligen Angebot Selbstvertrauen
zu geben).
Die Arbeit untersucht, ob das Training etwas
an der Selbsteinschätzung in diesen
Bereichen ändert und welche Maßnahmen
den größten Einfluss nehmen.
FINTA* STÄRKEN
Mittlerweile gibt es einige Initiativen, die
FINTA* in der Cybersecurity unterstützen.
Eine davon ist Shecurity von Stephanie
Jakoubi, die kostenlose und niederschwellige
Cybersecurity-Trainings für
diese Zielgruppe anbietet. So können die
Teilnehmer*innen in einem geschützten
Rahmen in verschiedene Teilbereiche
der Cybersecurity hineinschnuppern und
sich mit anderen austauschen. Diese Initiative
war die Inspiration für die Bachelorarbeit
und in ihrem Rahmen wurde
auch das daraus entstandene Training
abgehalten.
Bei dem online abgehaltenen Training
wurden zuerst in einem Theorieteil ausgewählte
Grundlagen der digitalen Forensik
vermittelt, auch für Teilnehmer*innen
ohne Vorkenntnisse. Dabei wurde
der Fokus weniger auf umfassendes Wissen
und mehr auf grundlegendes Verständnis
des forensischen Prozesses und
ausgewählte Teilbereiche gelegt, um die
späteren Übungen auch verstehen zu
können.
Für den Praxisteil wurden sechs Übungen,
die sogenannten „Challenges“ ausgearbeitet.
Um die Übungen realitäts-
18 OCG Journal | 01 • 2026

Young Researchers´Day
naher zu gestalten, konnten forensische
Tools für die Lösung verwendet werden,
etwa zur Arbeitsspeicheranalyse oder
Datenwiederherstellung. Für die Gamifizierung
sorgten die unterliegende Geschichte,
die in den gefundenen Artefakten
erzählt wird, sowie „Auszeichnungen“
(Achievements), die durch das Absolvieren
einzelner Übungen sowie das Finden
von Easter Eggs, kleinen versteckten Zusatzartefakten,
verliehen wurden.
Beim Erstellen wurde mit einem vierteiligen
Ansatz gearbeitet:
• Gamification – die Übungen sollen
sich anfühlen wie ein Spiel, um freies
Erforschen zu fördern, weniger Leistungsdruck
aufzubauen und das „Impostor
Syndrom“ zu minimieren. Viele
andere gamifizierte Übungen bauen
vor allem auf Wettbewerb, Ranglisten
und Geschwindigkeit auf. Auf diese
Elemente wurde bewusst verzichtet.
• Story driven – eine durchgehende Geschichte
über eine vermisste Freundin
und mörderische animatronische
Figuren soll als zusätzliche Motivation
dienen. Die Geschichte wird sowohl
aktiv durch die Übungsbeschreibungen
vermittelt, als auch passiv durch
die eingesetzten Artefakte.
• Selbstständigkeit – alle Übungen sind
alleine und ohne Input/Bestätigung
von außen erledigbar, in der eigenen
Geschwindigkeit. Auch hier wurde darauf
geachtet, keinen Leistungs- und
Zeitdruck zu erzeugen, sondern die
Teilnehmer*innen so mit den Übungen
interagieren zu lassen, wie sie
möchten.
• Inklusion – ein ganzheitlicher Ansatz,
um möglichst viele Barrieren abbauen
zu können; das Training war explizit
nur für Menschen, die nicht der männlichen
Norm entsprechen. Es wurde
online abgehalten, um Menschen die
zeitlich/örtlich eingeschränkt sind zu
inkludieren. Die Hardwareanforderungen
für die Übungen waren minimal
und sowohl die verwendete Software
als auch das Training selbst sind kostenlos,
um niemanden aufgrund ihrer
finanziellen Situation auszuschließen.
Das selbstständige Arbeiten und der klare
Praxisbezug sollen Teilnehmer*innen
weiter stärken und zeigen: Ich kann das
auch.
ERGEBNISSE UND AUSBLICK
Rund 60 Teilnehmer*innen nahmen bei
diesem ersten Training, mit dem die Daten
für die Bachelorarbeit erhoben wurden,
teil.
Obwohl keine nennenswerten Unterschiede
zwischen der Selbsteinschätzung
vor und nach dem Training gefunden
werden konnten, beurteilten die Teilnehmer*innen
die gesetzten Maßnahmen
durchwegs positiv. (Zahlen aufgerundet)
Ein Großteil bevorzugte diese Art des Lernens
zu anderen Arten (77 %) und gab
an, dass die Storyelemente ihr Interesse
in die digitale Forensik positiv beeinflusst
hätten (69 %). Die bestbewerteten Faktoren,
die das Selbstvertrauen der Teilnehmer*innen
positiv beeinflussten, waren
das Schaffen eines reinen FINTA-Trainings
(62 %), der zusätzlich Kontext zum
Ablauf und Erwartungen vor dem
Training (58 %) und das Abschließen der
einzelnen Challenges (58 %). Der Motivation
zuträglich waren unter anderem die
Anwesenheit eine*r Trainer*in für Rückfragen
(69 %), das Erforschen der unterliegenden
Geschichte (62 %) und das Finden
von Easter Eggs innerhalb der Challenges
(50 %). Das qualitative Feedback spiegelt
wider, dass es besonders wichtig ist, auf
das Skilllevel der Teilnehmer*innen zu
achten, unterschiedlich viele Hilfestellungen
zu bieten und Kooperation zwischen
Teilnehmer*innen zu ermöglichen.
Mit einem einzelnen Training lässt sich an
der 25%-Quote nicht direkt etwas verändern.
Aber es wurden wichtige Erkenntnisse
für spätere Iterationen gewonnen,
um zukünftige Trainings noch besser zu
gestalten.
Maria Kloibhofer
ist Masterstudentin
an der Hochschule
für Angewandte
Wissenschaften St.
Pölten und zusätzlich
als IT Systems Engineer tätig. In ihrer
Freizeit baut sie ihr Forensiktraining
weiter aus.
Ergebnisse vom ersten Training, Grafik: Maria Kloibhofer
01 • 2026 | OCG Journal
19

Sensible Informationen schützen
von Verena Schuster
Federated Learning
In der heutigen datenzentrierten Welt
ist der Austausch von Daten für weitere
Analysen oft erforderlich. Während
der Austausch von Daten in vielen Bereichen
akzeptabel sein mag, stellt der
Schutz sensibler Informationen wie
Patientengesundheitsdaten und Finanzunterlagen
eine Herausforderung
dar und ist zudem durch Vorschriften
wie die Datenschutz-Grundverordnung
(DSGVO) vorgeschrieben.
In Szenarien, in denen Daten dezentral
erfasst werden – beispielsweise, wenn
sie von Edge-Geräten wie Sensoren,
Fahrzeugen oder mobilen Endgeräten
stammen oder in größeren Datensilos
etwa bei Gesundheitsdienstleistern vorliegen
– kann die Zusammenführung aller
Daten an einem zentralen Ort neben
datenschutzrechtlichen Aspekten auch
aus praktischen Gründen problematisch
sein. Einschränkungen hinsichtlich der
verfügbaren Netzwerkbandbreite sowie
der Verfügbarkeit der beteiligten Geräte
können eine zentrale Datensammlung
zusätzlich erschweren.
Daher ist es notwendig, Strategien zu
entwickeln, die eine Zentralisierung der
Daten vermeiden und gleichzeitig deren
Analyse ermöglichen. Der traditionelle
Ansatz von Machine Learning (ML) besteht
darin, aus einem einzelnen, zentralen
verfügbaren Datensatz zu lernen.
Im Gegensatz dazu erfolgt das Training
im Federated Learning (FL) [1] dezentral,
wobei lediglich ein zentraler Server, auch
bekannt als Aggregator, die lokal erlernten
Informationen (Modelle oder lokale
Gradienten) zusammenführt, um ein
kollaboratives Training zu ermöglichen.
Federated Learning stellt somit ein vielversprechendes
Paradigma dar, bei dem
die Daten der Clients lokal verbleiben.
Federated Learning reduziert folglich die
Federated Learning Prozess; Grafik: Verena Schuster
Notwendigkeit einer Zentralisierung der
Daten.
FEDERATED LEARNING
PROZESS
Der Ablauf des Federated Learning Prozesses
(siehe Abbildung) gestaltet sich
wie folgt:
• Initialisierung:
Der zentrale Server definiert das Modell,
das als Ausgangsmodell für alle
Clients dient. Dieses Startmodell kann
entweder neu initialisiert oder bereits
vortrainiert sein.
• Client-Auswahl:
In diesem Schritt wählt der zentrale
Server die an der jeweiligen Kommunikationsrunde
teilnehmenden
Clients aus. Abhängig vom Anwendungsfall
tragen entweder alle Clients
in jeder Runde bei, oder es wird in
jeder Runde eine vordefinierte Teilmenge
von Clients ausgewählt.
• Verteilung:
Der zentrale Server überträgt das
globale Modell an die ausgewählten
Clients.
• Client-Berechnung:
Jeder Client trainiert das globale
Modell auf seinen lokalen Daten und
sendet anschließend das aktualisierte
Modell oder ausschließlich
die berechneten Gradienten an den
zentralen Server zurück.
• Aggregation:
Der zentrale Server aggregiert die
Parameter der empfangenen Modelle
mithilfe eines ausgewählten Aggregationsverfahrens.
Verschiedene
Aggregationsmethoden werden im
Abschnitt zur verwandten Arbeit zu
Aggregationsmethoden diskutiert.
• Aktualisierung des globalen Modells:
Der zentrale Server aktualisiert das
globale Modell unter Verwendung der
aggregierten Parameter.
Anschließend wird das globale Modell
an die Clients zurückgesendet und dient
dort als Ausgangsmodell für die nächste
Trainingsrunde. Danach werden die
Schritte 2 bis 6 wiederholt, bis das Modell
konvergiert oder die maximale Anzahl an
Iterationen, auch als Kommunikationsrunden
bezeichnet, erreicht ist.
AGGREGIERUNGSANSÄTZE
Der am weitesten verbreitete Ansatz ist
Federated Averaging (FedAvg) [1], bei
dem die lokalen Modellparameter der
Clients gewichtet gemittelt werden, typischerweise
proportional zur Größe der
jeweiligen lokalen Datensätze. FedAvg
20 OCG Journal | 01 • 2026

Young Researchers´Day
zeichnet sich durch seine Einfachheit
und Effizienz aus, ist jedoch anfällig gegenüber
stark nicht-i.i.d. verteilten Daten.
Zur Erhöhung der Robustheit gegenüber
Ausreißern wurde FedMedian [2] eingeführt.
Anstelle des arithmetischen Mittels
wird hierbei der Median der Modellparameter
über alle Clients berechnet, wodurch
der Einfluss einzelner stark abweichender
Updates reduziert wird.
FedAvgM [3] erweitert FedAvg um einen
Momentum-Term auf Serverebene.
Durch die Berücksichtigung vergangener
Aggregationsschritte kann die Konvergenz
beschleunigt und die Stabilität
des Trainings verbessert werden, insbesondere
bei stark schwankenden lokalen
Updates.
Mit FedProx [4] wird ein Regularisierungsterm
in das lokale Optimierungsproblem
der Clients eingeführt, der große
Abweichungen vom globalen Modell
penalisiert. Dieser Ansatz adressiert explizit
die Herausforderungen durch statistische
Heterogenität zwischen den Clients
und ermöglicht stabileres Training in
nicht-i.i.d.-Szenarien.
FedLAW [5] (Federated Learning with
Adaptive Weights) verfolgt einen adaptiven
Aggregationsansatz, bei dem die
Beiträge der Clients dynamisch gewichtet
werden. Im Gegensatz zu FedAvg, bei
dem die Gewichtung der Clients üblicherweise
statisch erfolgt, passt FedLAW
die Gewichtung der einzelnen Beiträge
flexibel an. Ziel ist es, Clients mit qualitativ
hochwertigeren oder konsistenteren Updates
stärker zu berücksichtigen und so
die globale Modellleistung zu verbessern.
Neben parameterbasierten Mittelungsverfahren
existieren auch strukturorientierte
Aggregationsansätze, die speziell
für unterschiedliche Modellarten
zugeschnitten sind. Insbesondere für
Neuronale Netzwerke wurden Verfahren
wie PFNM [6] (Probabilistic Federated
Neural Matching) und FedMA [7] (Federated
Matched Averaging) entwickelt.
Diese Methoden verfolgen das Ziel, einzelne
Neuronen zwischen den lokalen
Modellen explizit zuzuordnen, anstatt die
Modellparameter – wie bei klassischen
Ansätzen – koordinatenweise zu aggregieren.
Neben den hier vorgestellten Aggregierungsverfahren
existieren eine Vielzahl
an weiteren Ansätzen in der Literatur.
Diese unterscheiden sich unter anderem
hinsichtlich ihrer Robustheit gegenüber
heterogenen Datenverteilungen, ihrer
Kommunikations- und Rechenkosten
sowie ihrer Widerstandsfähigkeit gegenüber
fehlerhaften oder adversarialen Clients.
Verena Schuster
ist eine Researcherin
bei SBA Research
und Masterstudentin
im Programm
Data Science an der
TU Wien. Ihre Interessen liegen bei
Federated Databases und Federated
Learning..
QUELLEN:
[1] Brendan McMahan, Eider Moore, Daniel Ramage, Seth Hampson, and Blaise Aguera y Arcas. Communication-Efficient Learning
of Deep Networks from De-centralized Data. In Aarti Singh and Jerry Zhu, editors, Proceedings of the 20th International
Conference on Artificial Intelligence and Statistics, volume 54 of Proceedings of Machine Learning Research, pages 1273–1282.
PMLR, April 2017.
[2] Dong Yin, Yudong Chen, Ramchandran Kannan, and Peter Bartlett. Byzantine-Robust Distributed Learning: Towards Optimal
Statistical Rates. In Jennifer Dy and Andreas Krause, editors, Proceedings of the 35th International Conference on Machine
Learning, volume 80 of Proceedings of Machine Learning Research, pages 5650–5659. PMLR, July 2018.
[3] Tzu-Ming Harry Hsu, Hang Qi, and Matthew Brown. Measuring the Effects of Non-Identical Data Distribution for Federated
Visual Classification, September 2019. arXiv:1909.06335 [cs, stat].
[4] Tian Li, Anit Kumar Sahu, Ameet Talwalkar, and Virginia Smith. Federated Learning: Challenges, Methods, and Future Directions.
IEEE Signal Processing Magazine, 37(3):50–60, May 2020.
[5] Zexi Li, Tao Lin, Xinyi Shang, and Chao Wu. Revisiting Weighted Aggregation in Federated Learning with Neural Networks.
In Andreas Krause, Emma Brunskill, Kyunghyun Cho, Barbara Engelhardt, Sivan Sabato, and Jonathan Scarlett, editors, Proceedings
of the 40th International Conference on Machine Learning, volume 202 of Proceedings of Machine Learning Research,
pages 19767–19788. PMLR, July 2023.
[6] Mikhail Yurochkin, Mayank Agarwal, Soumya Ghosh, Kristjan Greenewald, Nghia Hoang, and Yasaman Khazaeni. Bayesian
Nonparametric Federated Learning of Neural Networks. In Kamalika Chaudhuri and Ruslan Salakhutdinov, editors, Proceedings
of the 36th International Conference on Machine Learning, volume 97 of Proceedings of Machine Learning Research, pages
7252–7261. PMLR, June 2019.
[7] Hongyi Wang, Mikhail Yurochkin, Yuekai Sun, Dimitris Papailiopoulos, and Yasaman Khazaeni. Federated Learning With
Matched Averaging. In International Conference on Learning Representations, April 2020.
01 • 2026 | OCG Journal
21

Quantensprung nur mit Software
von Lukas Burgholzer
Wie wir Quantencomputer
nutzbar machen
Wenn wir in den Medien von Quantencomputern
hören, dominieren meist
Bilder von futuristischer Hardware: vergoldete
Kronleuchter-Strukturen in riesigen
Kühlaggregaten oder Laserlabore,
die an Science-Fiction erinnern. Das Versprechen
ist gigantisch: Probleme, an
denen heutige Supercomputer scheitern,
sollen in Sekunden lösbar werden.
Doch bei aller Faszination für die Physik
wird eine entscheidende Komponente
oft übersehen: die Software.
Ohne Software ist der beste
Quantencomputer nur ein teures
physikalisches Experiment.
Vergleichen Sie es mit einem modernen
Smartphone ohne Betriebssystem und
Apps – ein Stück High-Tech-Hardware,
mit dem man nichts anfangen kann. Im
Quantencomputing stehen wir heute an
einem ähnlichen Punkt. Die Hardware
macht rasante Fortschritte, aber die Software
hinkt oft hinterher. Es fehlt an stabilen
Werkzeugen, an Standards und an
etablierten Schnittstellen. Im Moment
gleicht die Landschaft einem Wildwuchs
aus inkompatiblen Insellösungen.
Genau hier setzt unsere Arbeit an. Als Informatiker
betrachten wir den Quantencomputer
nicht primär als physikalisches
System, sondern als Rechenmaschine,
die programmiert, gesteuert und kontrolliert
werden muss. Unser Ziel ist es, den
„Software Stack“ so robust zu machen,
dass Anwender*innen sich auf die Lösung
ihrer Probleme konzentrieren können,
statt sich mit der Fragilität einzelner
Qubits herumzuschlagen. Dabei ignorieren
wir die Hardware nicht – im Gegenteil.
Effektive Software muss die Eigenheiten
der zugrunde liegenden Technologie verstehen
und optimal nutzen.
DIE KUNST DER ÜBERSETZUNG:
VOM ALGORITHMUS ZUM CHIP
Ein Quantenalgorithmus existiert zunächst
oft nur als mathematisches Konzept
oder als abstrakter Programmcode.
Damit dieser auf einem realen Chip ausgeführt
werden kann, bedarf es einer
komplexen Übersetzungskette. Dieser
Prozess ähnelt dem Kompilieren klassischer
Software, ist aber ungleich schwieriger.
Die Herausforderung liegt in den physikalischen
Beschränkungen der Maschinen.
Heutige Quantenprozessoren sind
„noisy“ – also fehleranfällig – und eingeschränkt
in ihrer Konnektivität. Nicht jedes
Qubit kann direkt mit jedem anderen
kommunizieren. Wenn ein Algorithmus
eine Interaktion zwischen zwei weit entfernten
Qubits verlangt, muss der Compiler
die Informationen schrittweise über
den Chip transportieren. Das ist wie ein
komplexes Schiebe-Puzzle, das optimal
gelöst werden muss. Jeder unnötige
Schritt verlängert die Laufzeit und erhöht
die Gefahr, dass das empfindliche Quanten-Signal
im Rauschen untergeht.
Software für Quantencomputing muss
also zaubern können: Sie muss den abstrakten
Wunsch des Programmierers so
effizient wie möglich auf die imperfekte
Hardware abbilden. Wir entwickeln Algorithmen,
die genau das automatisch
erledigen – und zwar oft besser, als es
menschliche Expert*innen von Hand
könnten. Dabei greifen wir auf Methoden
zurück, die in der klassischen Chip-Entwicklung
(„Electronic Design Automation“)
seit Jahrzehnten erprobt sind, und
passen sie für die Quantenwelt an.
Anwendung
Sim ula tion
Kom pilierung
Verifika tion
Fehler -
Korrektur
Ha rdwa re
Da tenstrukturen & Methoden
Illustration wichtiger Schritte entlang des Software-Stacks von Anwendung bis Hardware, geschützt durch Datenstrukturen und Methoden;
Grafik: Lukas Burgholzer
22 OCG Journal | 01 • 2026

Heinz Zemanek Preis
EFFIZIENZ DURCH CLEVERE DA-
TENSTRUKTUREN
Ein weiteres Nadelöhr ist die Entwicklung
und das Testen neuer Ideen. Bevor man
teure Zeit auf einem echten Quantencomputer
bucht, möchte man wissen, ob
ein Algorithmus überhaupt korrekt funktioniert.
Dazu simuliert man den Quantencomputer
auf klassischen Rechnern.
Das Problem dabei: Die Komplexität eines
Quantenzustands explodiert förmlich.
Jedes zusätzliche Qubit verdoppelt
den Speicherbedarf. Um einen Zustand
von nur 50 Qubits exakt zu speichern,
bräuchte man mehr Arbeitsspeicher, als
auf der ganzen Welt existiert[KR2.1].
Sind Simulationen jenseits von 40 oder
50 Qubits also unmöglich? Nicht unbedingt.
Hier kommt die Informatik ins
Spiel. Oft enthalten die Zustände, die in
der Praxis auftreten, viele Redundanzen
und Strukturen. Statt stur eine riesige Tabelle
von Zahlen abzuspeichern, nutzen
wir graphenbasierte Datenstrukturen, sogenannte
„Entscheidungsdiagramme“.
Diese Technik, die an der JKU Linz und
der TU München intensiv erforscht wird,
erlaubt es uns, enorme Zustandsräume
extrem kompakt darzustellen, indem
gleiche Teilbäume nur einmal gespeichert
werden.
Das Ergebnis ist oft verblüffend: Simulationen,
die mit herkömmlichen Vektoren
unmöglich wären, laufen dank dieser
Technik in Minuten auf einem normalen
Laptop. Das demokratisiert die Forschung,
da man für Experimente keinen
Supercomputer mehr braucht. Natürlich
funktioniert das nicht für jeden beliebigen
Quantenzustand – das würde die
Gesetze der Physik verletzen –, aber für
viele praxisrelevante Fälle ist es ein „Game
Changer“.
VERTRAUEN IST GUT, VERIFIKA-
TION IST BESSER
Eine der brennendsten Fragen im Quantencomputing
lautet: „Ist das Ergebnis
überhaupt richtig?“ Quantencomputer
machen Fehler. Zudem ist es bei Aufgaben,
die klassisch nicht mehr lösbar sind,
schwer, das Ergebnis zu überprüfen.
Wir müssen uns also zumindest darauf
verlassen können, dass die Software keine
zusätzlichen Fehler einbaut. Wenn unser
Compiler einen Algorithmus optimiert,
darf er dessen logische Funktion nicht
verändern. In der klassischen Informatik
ist Compiler-Verifikation ein etabliertes
Feld. Für Quantenschaltungen betreten
wir Neuland.
Auch hier helfen uns Datenstrukturen
aus der Informatik wie Entscheidungsdiagramme.
Sie ermöglichen es in vielen
Fällen, analytisch zu beweisen, dass
zwei Quantenschaltungen – etwa die
ursprüngliche und die optimierte Version
– äquivalent sind. Das schafft das nötige
Vertrauen, um Quantencomputing
zukünftig auch in sensiblen Bereichen
einzusetzen. Ohne solche Verifikationsmethoden
bliebe die Technologie eine
Black Box.
VOM FORSCHUNGSPROJEKT
ZUM GLOBALEN STANDARD
Viel zu oft endet akademische Software
als „Paperware“ – veröffentlicht, aber
kaum nutzbar. Wir haben uns 2019 entschieden,
einen anderen Weg zu gehen.
Alle unsere Werkzeuge bündeln wir im
„Munich Quantum Toolkit“ (MQT).
Das MQT ist eine Open-Source-Plattform,
die Simulation, Kompilierung, Verifikation,
Benchmarking, und mehr unter einem
Dach vereint. Uns war wichtig, dass
diese Tools nicht nur funktionieren, sondern
auch einfach zu bedienen sind. Wir
investieren viel Zeit in saubere Dokumentation,
einfache Installationsprozesse und
stabile Schnittstellen.
Dieser Aufwand hat sich gelohnt. Das
MQT wird mittlerweile weltweit genutzt –
von Forschungsgruppen in Asien bis hin
zu Start-ups in den USA. Tausende Downloads
pro Monat und eine aktive Community
auf GitHub zeigen, dass der Bedarf an
robuster, zugänglicher Software riesig ist.
Es ist ein schönes Beispiel dafür, wie Forschung
aus Österreich und Deutschland
internationale Standards setzen kann.
DIE BRÜCKE IN DIE INDUSTRIE
Open Source ist der Motor der Wissenschaft,
aber industrielle Anwender benötigen
mehr: Verlässlichkeit, Support
und langfristige Roadmaps. Um diese
Lücke zu schließen, haben wir vor gut einem
Jahr die Munich Quantum Software
Company (MQSC) als Spin-off gegründet.
Die MQSC nimmt den Kern der akademischen
Forschung und schmiedet daraus
Produkte für den Unternehmenseinsatz.
Ein großes Thema ist derzeit die Integration
von Quantenprozessoren in klassische
Rechenzentren. Im Rahmen des
Munich Quantum Valley arbeiten wir daran,
dass Quantencomputer nicht isoliert
stehen, sondern als Beschleuniger in die
bestehende High-Performance-Computing
(HPC) Infrastruktur eingebunden
werden – ähnlich wie heute Grafikkarten
oder andere Beschleuniger.
Dafür braucht es offene Standards und
Kooperation. Wir wollen keine geschlossenen
Ökosysteme, sondern offene
Schnittstellen, die Innovation fördern.
Die Auszeichnung meiner Arbeit mit
dem Heinz Zemanek-Preis der OCG ist
für mich eine wunderbare Bestätigung,
dass wir mit diesem Fokus auf Software
und Design-Automatisierung auf dem
richtigen Weg sind. Am Ende wird sich
Quantencomputing nicht durchsetzen,
weil wir die besten Qubits haben, sondern
weil wir die beste Software haben,
um sie zu nutzen.
Lukas Burgholzer
ist Postdoc am
Lehrstuhl für Design
Automation der TU
München und CTO
der Munich Quantum
Software Company (MQSC). Er
promovierte an der JKU Linz zum
Thema Entwurfs-Automatisierung
und Software für Quantencomputer.
Seine Forschung wurde vielfach
ausgezeichnet, unter anderem mit
dem EDAA Outstanding Dissertation
Award und dem Heinz Zemanek Preis
der OCG.
01 • 2026 | OCG Journal
23

When intended access leaks model secrets
von Daryna Oliynyk
Stealing Machine Learning
Models Without Breaking In
Threats to the confidentiality of proprietary
assets are not new. What makes
machine learning models special is that
they can be stolen through their intended
interface, without compromising
the underlying system.
Machine learning (ML) models often require
significant resource investment
and may represent a core business asset.
Stealing such a model can therefore
result in significant economic damage,
such as enabling competitors to offer
equivalent services without comparable
development effort. At the same time,
confidentiality is not only an economic
concern: access to a model can facilitate
attacks on system integrity or enable its
misuse in unintended or malicious ways.
HOW DOES MODEL STEALING
WORK?
In the most common model stealing
scenario, an attacker interacts with a model
through its intended interface, such
as an API, and aims to reproduce its functionality.
By querying the model with
selected data samples and using the returned
predictions as labels, the attacker
can train a local substitute that approximates
the original model’s behavior. Figure
1 illustrates this process for an image
classifier that predicts the artist based on
the visual style of a painting.
KEY FACTORS IN MODEL STEA-
LING ATTACKS
In our recent study [1], we analyzed 180
different attack configurations, varying
attacker assumptions and experimental
settings to better understand which factors
actually influence model stealing attacks.
Our results show that some aspects
commonly emphasized in the literature
matter less than often assumed, while
other factors are frequently overlooked.
For instance, we found that better-performing
target models are often easier
to steal. The reason is that learning from
incorrect predictions is more difficult for
a substitute model, and therefore the
attacker benefits when stealing a model
that makes fewer mistakes. In addition,
we showed that the quality of the data
used for stealing plays a central role, whereas
the choice of the substitute model
architecture is comparatively less important.
Taken together, our observations
suggest that focusing on the right factors
can substantially improve model stealing
attacks, and that their effectiveness has
likely been underestimated.
ARE MODEL STEALING ATTACKS
PRACTICAL?
Our recent analysis of prior work [2] has
also highlighted that, despite a growing
body of proposed model stealing attacks,
it remains difficult to assess how
practical these attacks are in real-world
a. Attacker queries the API to obtain labels b. Attacker trains a local substitute model.
Model stealing attack against a classifier predicting the artist based on visual style.All images in this figure are AI-generated; Image: Daryna Oliynyk
24 OCG Journal | 01 • 2026

OCG Förderpreis
settings. Current evaluations are heavily
concentrated on small benchmark tasks
and standard model architectures, while
questions of scalability and realistic
access constraints are rarely addressed.
Many attacks are studied under assumptions
such as generous query budgets,
rich model outputs, or static target models,
which may not hold for deployed
systems. As a result, reported attack performance
often reflects carefully controlled
experimental conditions rather than
realistic usage scenarios, leaving open the
question of how effective model stealing
attacks are in practice.
SHOULD WE CARE ABOUT MO-
DEL STEALING?
The limited evidence on the practical effectiveness
of model stealing raises the
question of whether these attacks deserve
attention. A lack of convincing studies,
however, does not imply that such attacks
are infeasible, but rather that they
have not yet been sufficiently explored
under realistic conditions. Given the growing
value of deployed models, it is therefore
important to study model stealing
in more practical settings while simultaneously
developing and evaluating countermeasures.
Daryna Oliynyk
is a researcher at University
of Vienna and
SBA Research, and
a PhD student at TU
Wien. Her research
focuses on practical aspects of machine
learning security
OCG Preise
HEINZ ZEMANEK PREIS
Der Preis ist nach dem österreichischen Computerpionier Heinz Zemanek benannt und mit 5.000 Euro dotiert. Alle zwei
Jahre werden mit diesem Preis hervorragende Dissertationen auf dem Gebiet der Informatik oder fachverwandter Bereiche
ausgezeichnet.
OCG FÖRDERPREIS | OCG FÖRDERPREIS-FH
Die OCG verleiht zur Förderung der Informatik und Wirtschaftsinformatik jährlich seit 1988 den OCG Förderpreis. Der Preis
solljunge Informatiker*innen unterstützen, indem er herausragende Diplom‐ und Masterarbeiten sichtbar macht und anerkennt,
die sich durch wissenschaftliche Relevanz, Aktualität, Originalität, Methodik und Anwendbarkeit auszeichnen. Der
OCG Förderpreis-FH wird seit 2008 verliehen.
01 • 2026 | OCG Journal
25

Grenzen klassischer Sicherheitssysteme
von Alois Schafferhofer
Zero Trust in IT- und
OT-Umgebungen
Die Bedrohung durch Cyberangriffe hat
in den letzten Jahren deutlich zugenommen.
Allein in Österreich ist die Anzahl
gemeldeter Cybercrime-Fälle innerhalb
weniger Jahre stark gestiegen. Studien
zeigen zudem, dass mehr als die Hälfte
der Unternehmen Cyberangriffe mittlerweile
als existenzbedrohend einschätzt. 1
Besonders kritisch ist diese Entwicklung
für Betreiber von kritischer Infrastruktur:
Angriffe auf Energie-, Industrie- und
Produktionsumgebungen werden gezielter,
komplexer und professioneller.
Parallel dazu wächst der Druck, Operational
Technology (OT) stärker abzusichern.
Viele Unternehmen stehen vor der Herausforderung,
historisch gewachsene
und oft veraltete OT-Systeme mit modernen
IT-Infrastrukturen zu verbinden.
Gerade diese zunehmende IT-/OT-Konvergenz
erweitert die Angriffsfläche erheblich
und bringt klassische Sicherheitskonzepte
an ihre Grenzen.
Traditionelle, perimeterbasierte Sicherheitsansätze
folgen häufig noch dem
Prinzip einer „harten Außenschale und eines
weichen Kerns“ 2 . Dieses Modell setzt
voraus, dass alles innerhalb des Netzwerks
grundsätzlich vertrauenswürdig
ist. In heutigen hybriden Umgebungen
mit Cloud-Diensten, Remote-Zugriffen,
1
Lamprecht, R. (2023). “Cybersecurity in Osterreich”.
In: KPMG, p. 61. Available
from: https://www.kpmg.at/upload/MCM/Publikationen/2023/Cyberstudie%202023_final.pdf
2
Kindervag, J. (2010). “No More Chewy Centers:
Introducing The Zero Trust Model Of Information
Security”, p. 15. Available from:
https://media.paloaltonetworks.com/documents/Forrester-No-More-Chewy-Centers.pdf
mobilen Endgeräten und hochvernetzten
OT-Systemen ist diese Annahme jedoch
kaum noch haltbar. Ein einzelner
kompromittierter Zugang kann ausreichen,
um sich lateral durch das Netzwerk
zu bewegen – mit potenziell gravierenden
Folgen für die Verfügbarkeit und Sicherheit.
NEVER TRUST, ALWAYS VERIFY
Vor diesem Hintergrund gewinnt das
Sicherheitskonzept Zero Trust zunehmend
an Bedeutung. Zero Trust basiert
auf dem Grundsatz „Never trust, always
verify“: Weder Benutzer*innen noch Geräte
oder Systeme werden grundsätzlich
als vertrauenswürdig eingestuft – auch
dann nicht, wenn sie sich innerhalb des
eigenen Netzwerks befinden. Zugriffe
werden kontinuierlich überprüft, kontextabhängig
bewertet und auf das notwendige
Minimum beschränkt.
Während Zero Trust in klassischen IT-Umgebungen
zunehmend diskutiert und
teilweise umgesetzt wird, ist seine Anwendung
in OT-Umgebungen deutlich
weniger erforscht und verstanden. Insbesondere
fehlt es an Erkenntnissen darüber,
wie IT- und OT-Fachleute Zero Trust
wahrnehmen, welche Chancen sie darin
sehen und welche Risiken oder Herausforderungen
sie erwarten. Gleichzeitig ist
unklar, wie sich Zero-Trust-Prinzipien mit
etablierten Sicherheitsstandards oder
regulatorischen Anforderungen in Einklang
bringen lassen.
GRUNDIDEE VON ZERO TRUST
Kern von Zero Trust ist die konsequente
Durchsetzung des Least-Privilege-Prinzips.
Zugriffe auf Ressourcen werden
nicht dauerhaft gewährt, sondern für
jede Sitzung und auf Basis aktueller Kontextinformationen
neu bewertet. Dabei
fließen unter anderem Identität, Gerätezustand,
Zugriffsort und Risiko in die
Entscheidung ein. Authentifizierung und
Autorisierung erfolgen kontinuierlich und
nicht nur einmalig beim Verbindungsaufbau.
Konzeptionell lässt sich Zero Trust in drei
zentrale logische Komponenten gliedern:
• Policy Engine trifft kontextabhängige
Zugriffsentscheidungen auf Basis definierter
Richtlinien.
• Policy Administrator setzt diese Entscheidungen
technisch um.
• Policy Enforcement Point erzwingt
die Zugriffskontrolle an der Ressource
oder im Netzwerk.
Unterstützt werden diese Komponenten
durch umfangreiche Monitoring- und
Logging-Daten, um jederzeit Transparenz
über Nutzer*innen, Geräte und Zugriffe
zu gewährleisten.
In der Praxis existiert keine einheitliche
Referenzarchitektur für Zero Trust.
Stattdessen werden einzelne Prinzipien
schrittweise umgesetzt, beispielsweise
durch stärkere Identitätskontrollen, feinere
Zugriffspolitiken oder Netzwerksegmentierung.
ANWENDBARKEIT VON ZERO
TRUST IN IT- UND OT-UMGE-
BUNG
DDie zugrunde liegende Masterarbeit
untersucht die Anwendbarkeit von Zero
Trust in IT- und OT-Umgebungen anhand
26 OCG Journal | 01 • 2026

OCG Förderpreis-FH
Zero Trust Logical Components - Rose et al., 2020, Rose, Borchert, Mitchell&Connelly (2020). “Zero trust architecture”. In: NIST special publication, p. 9.
DOI: 10.6028/NIST.SP.800-207. Available from: https://doi.org/10.6028/NIST.SP.800-207
eines kombinierten Forschungsansatzes.
Basierend auf einer empirischen Untersuchung
mit Umfrage- und Interviewdaten
wird beleuchtet, wie Zero Trust von
IT- und OT-Expert*innen eingeschätzt
wird, welche spezifischen Anforderungen
sich für OT-Umgebungen ergeben und
warum Verfügbarkeit, Fehlertoleranz und
der Umgang mit Legacy-Systemen dabei
eine zentrale Rolle spielen.
Eine Umfrage in lokalen Industrien analysierte
die Wahrnehmung von Zero Trust
durch IT-Fachleute, den aktuellen Reifegrad
der Umsetzung sowie geplante
Strategien. Ergänzend dazu wurden Expert*innen-Interviews
durchgeführt, um
kritische Erfolgsfaktoren für die Implementierung
von Zero Trust in OT-Umgebungen
zu identifizieren.
Zusätzlich wurden Zero-Trust-Prinzipien
CSF Functions - regarding to NIST, 2024
NIST (2024). “The NIST Cybersecurity Framework
(CSF) 2.0”. In: NIST publication, p. 5. DOI:
10.6028/NIST.CSWP.29. Available from: https://
doi.org/10.6028/NIST.CSWP.29
mit bestehenden Sicherheitsstandards
und regulatorischen Anforderungen verglichen,
darunter ISO/IEC 27002:2022, IEC
62443, das BDEW-Whitepaper sowie die
NIS- bzw. NIS2-Richtlinie.
ZENTRALE ERGEBNISSE UND
ERFOLGSFAKTOREN
Die Ergebnisse basieren auf einer Umfrage
unter 46 IT-Fachkräften aus unterschiedlichen
Industriebereichen sowie
auf ergänzenden Experteninterviews.
Die Auswertung zeigt, dass Zero Trust
überwiegend positiv wahrgenommen
wird. Die überwiegende Mehrheit gab an,
dass Zero Trust die Angriffsfläche eines
Unternehmens gegenüber Cyberangriffe
verringern kann. Einige gaben an, dass
lateral Movement – also die Ausbreitung
eines Angreifers innerhalb eines Netzwerks
nach einer erfolgten Erstinfektion
– erschwert wird.
Gleichzeitig äußerten viele Befragte
Vorbehalte gegenüber der praktischen
Umsetzung. Mehr als 80 Prozent gingen
davon aus, dass Zero Trust mit einer erhöhten
Komplexität der IT-Infrastruktur
und zusätzlichen Kosten verbunden ist.
Zudem besteht Skepsis gegenüber einer
inflationären Nutzung des Begriffs Zero
Trust zu Marketingzwecken.
Ein zentrales Ergebnis ist, dass viele Organisationen
bereits einzelne Elemente einer
Zero-Trust-Architektur implementiert
haben, ohne diese explizit so zu benennen.
Dazu zählen etwa starke Authentifizierungsmechanismen,
rollenbasierte
Zugriffskontrollen, Netzwerksegmentierung
und Verschlüsselung. Der Übergang
zu Zero Trust erfolgt nicht durch einen
vollständigen Neuaufbau, sondern durch
schrittweise Anpassungen und Weiterentwicklungen
bestehender Sicherheitsmaßnahmen.
Im OT-Umfeld zeigen sich besondere
Herausforderungen durch Legacy-Systeme,
hohe Verfügbarkeitsanforderungen
und lange Lebenszyklen. Als kritische
Erfolgsfaktoren für die Anwendung von
Zero-Trust-Prinzipien in einer OT-Umgebungen
wurden identifiziert::
• inkrementelle Umsetzung zur Reduktion
von Komplexität
• starke Unterstützung durch Management
und Führungsebene
• frühzeitige Einbindung relevanter Stakeholder
• klare Kommunikations- und Governance-Strukturen
• kontinuierliches Monitoring und technische
Reife
EINORDNUNG IN BESTEHENDE
STANDARDS
Das abschließende Kapitel der Masterarbeit
befasst sich mit der Einordnung
des Zero-Trust-Ansatzes in bestehende
Sicherheitsstandards und regulatorische
Vorgaben. Analysiert wurden die
NIS2-Richtlinie, die ISO/IEC-27000-Familie,
das BDEW-Whitepaper sowie die
Norm IEC 62443. Diese Regelwerke zählen
zu den zentralen Referenzen im Bereich
der Cybersecurity und sind insbesondere
für die Energiewirtschaft sowie
die industrielle Automation von hoher
Relevanz.
Der Begriff „Zero Trust“ findet sich explizit
nur in der ISO/IEC 27002 sowie in
der europäischen NIS2-Richtlinie. Wäh-
01 • 2026 | OCG Journal
27

rend in der ISO/IEC 27002 grundlegende
Zero-Trust-Prinzipien ausdrücklich benannt
und empfohlen werden, wird Zero
Trust in der NIS2-Richtlinie lediglich als
Maßnahme der Cyberhygiene erwähnt,
ohne eine weitergehende konzeptionelle
Einordnung. In den weiteren durchsuchten
Sicherheitsleitlinien findet der Ansatz
keine explizite Erwähnung. Dies ist
vermutlich darauf zurückzuführen, dass
Zero Trust bislang nicht als etablierte
Best Practice für industrielle Automatisierungssysteme
gilt.
Für einen strukturierten Vergleich wurde
das NIST Cybersecurity Framework
(CSF) herangezogen, dessen Funktionen
Identify, Protect, Detect, Respond, Recover
sowie die übergreifende Funktion
Governance als Vergleichsmaßstab dienen.
Das Ergebnis zeigt, dass zentrale
Zero-Trust-Prinzipien in bestehenden
Standards bereits implizit abgebildet
sind, insbesondere in den Bereichen Authentifizierung,
Zugriffskontrolle und
Verschlüsselung. Der Ansatz erweitert
diese jedoch um kontinuierliche Verifikation,
feingranulare Segmentierung und
eine dynamische Richtliniensteuerung.
Damit stellt Zero Trust weniger einen
Ersatz, sondern vielmehr eine konzeptionelle
Weiterentwicklung bestehender
Sicherheitsframeworks dar.
GERINGERE ANGRIFFSFLÄCHEN
– HÖHERE SICHERHEIT
Zero Trust bietet einen wirkungsvollen
Ansatz zur Erhöhung der Cybersicherheit
in zunehmend vernetzten IT- und
OT-Landschaften. Die Forschung zeigt,
dass das Konzept insbesondere zur Reduktion
von Angriffsflächen beiträgt,
seine Anwendung in OT-Umgebungen
jedoch sorgfältig geplant werden muss,
um Verfügbarkeitsrisiken zu vermeiden.
Zukünftige Forschungsarbeiten könnten
sich auf detaillierte Fallstudien, die
Entwicklung konkreter Zero-Trust-Architekturen
für OT-Umgebungen sowie die
Bewertung von Marktprodukten im Hinblick
auf echte Zero-Trust-Konformität
konzentrieren. Mit fortschreitender Digitalisierung
bleibt Zero Trust ein zentrales
Element moderner Sicherheitsstrategien.
Alois Schafferhofer
ist Information Security
Officer bei einem
Energieversorger in
Österreich und verantwortet
das Information
Security Management System
(ISMS). Sein fachlicher Schwerpunkt
liegt auf IT- und OT-Sicherheit sowie
dem Schutz kritischer Infrastrukturen.
OCG Cybersecurity
IHR WEG ZUR DIGITALEN SICHERHEIT
Entdecken Sie unser Zertifikat zur sicheren Nutzung von IKT - für den Alltag und den professionellen
Bereich!
Mit diesem Zertifikat erwerben Sie praxisnahes Wissen zu Datenschutz, Datensicherheit und dem Schutz
vor digitalen Bedrohungen wie Malware oder Identitätsdiebstahl. Sie lernen, Passwörter, Verschlüsselung,
Netzwerke, Geräte und Online-Kommunikation wirksam abzusichern. So bewegen Sie sich sicher im
Internet und schützen Ihre Daten zuverlässig - privat wie beruflich.
Wenn Sie Interesse für das OCG Cybersecurity Zertifikat für sich oder ihr Unternehmen haben, finden Sie
hier weiter Informationen:
28 OCG Journal | 01 • 2026

Adolf-Adam-Informatikpreis
Visualisierung: Was ein Bytecode-Interpreter tatsächlich tut
von Tobias Herber
Ein Blick in das Innere von
Programmen
Computerprogramme wirken nach außen
oft erstaunlich einfach. Ein Klick
und schon reagiert das System. Doch
hinter dieser scheinbaren Einfachheit
verbergen sich viele kleine Rädchen,
die ineinandergreifen. Während ein Programm
läuft, werden in kürzester Zeit
Millionen einzelner Schritte ausgeführt,
Daten werden verschoben, Zustände
verändert und Entscheidungen getroffen.
Das Problem dabei: All diese Vorgänge
bleiben unsichtbar.
Gerade in der Informatik ist diese Unsichtbarkeit
eine besondere Herausforderung.
Entwickler*innen schreiben Programme
in einer für Menschen verständlichen
Sprache: dem Quellcode. Der Quellcode
alleine reicht für den Computer nicht aus.
Ein Computer versteht Programme auf
einer ganz anderen Ebene.
Was genau zwischen dem geschriebenen
Code und dem tatsächlichen Verhalten
eines Programms passiert, ist das
Thema meiner Masterarbeit, die ich beim
Adolf-Adam-Informatikpreis 2026 präsentieren
durfte und damit den ersten
Preis gewann.
UNSICHTBARE ABLÄUFE MIT
REALEN KONSEQUENZEN
Viele Probleme in der Softwareentwicklung
entstehen nicht durch falsche Ideen,
sondern durch falsche Annahmen
darüber, wie ein Programm tatsächlich
ausgeführt wird. Ein Codefragment sieht
logisch aus, verhält sich aber anders als
erwartet. Der Grund dafür liegt häufig in
den Details der Ausführung, zum Beispiel
der Reihenfolge von Befehlen, dem Umgang
mit Speicher oder in Optimierungen,
die im Quellcode nicht sichtbar sind.
Das mentale Modell von Entwickler*innen
ist oft anders als die Realität im Computer.
Software und Computer sind allgegenwärtig,
unter Umständen kann das
also zu realen Problemen führen. Umso
wichtiger ist das korrekte Verständnis.
WARUM VISUALISIERUNG
HELFEN KANN
Visualisierung ist ein bewährtes Mittel,
um komplexe Sachverhalte verständlicher
zu machen. Sie übersetzt abstrakte
Prozesse in sichtbare Elemente. In der Informatik
wird Visualisierung schon lange
sehr erfolgreich eingesetzt. Etwa bei Algorithmenanimationen,
Speicheranalyse
oder bei grafischen Debuggern.
Besonders hilfreich ist Visualisierung
dann, wenn Prozesse dynamisch, komplex
und abstrakt sind. Genau das ist bei
der Ausführung von Programmen der
Fall. Auch der zeitliche Verlauf kann damit
gut dargestellt werden. Anstatt nur
Anfangszustand und Endergebnis zu betrachten,
erlaubt eine Visualisierung, den
Weg dazwischen zu beobachten und zu
verstehen.
LERNEN DURCH VERSTEHEN
STATT DURCH AUSWENDIG
LERNEN
In der Lehre spielt das eine zentrale Rolle.
Nachhaltiges Lernen entsteht nicht dadurch,
dass man Definitionen auswendig
lernt, sondern dadurch, dass man Zusammenhänge
versteht.
Visualisierungen können hier gezielt unterstützen.
Sie helfen dabei, korrekte
Runtime Environment
Web- Based Interpreter Visualization
1 2
Bytecode Interpreter
2a
3
Code
Visualization
6
Visualization
Manager
7
Visualization
Spec DSL
Compiler
Trace
Collector
Bytecode Trace
& Symbol Info
4
Memory
Visualization
5 8
Stepping
Interpreter
Error
User Interaction
Workflows des webbasierten Bytecode-Visualisierungstools; Grafik: Tobias Herber
01 • 2026 | OCG Journal
29

mentale Modelle aufzubauen und zu
überprüfen. Zusammenhänge werden
nicht nur erkannt, sondern verstan-
den - wenn ich diesen Quellcode schreibe,
dann macht der Computer das, was
ich geschrieben habe.
BYTECODE: DIE UNSICHTBARE
ZWISCHENSCHICHT
Ein besonders gutes Beispiel für diese
Unsichtbarkeit ist der sogenannte Bytecode.
Programme werden oft nicht direkt
in Maschinencode übersetzt, sondern
zunächst in eine Zwischendarstellung.
Dieser Bytecode wird von einer virtuellen
Maschine oder einem Bytecode-Interpreter
ausgeführt. Für viele moderne
Programmiersprachen (z. B.: Java, C#, Python)
ist das ein zentraler Bestandteil der
Laufzeitumgebung.
Obwohl Bytecode eine Schlüsselrolle
spielt, bleibt er für Studierende meist im
Hintergrund. Die Generierung und Ausführung
erfolgt automatisch und ohne
Rückmeldung. Man führt einfach den
Compiler aus und der kümmert sich darum.
Genau hier setzt meine Arbeit an: Ziel
war es, diese verborgene Ebene sichtbar
zu machen und nachvollziehbar darzustellen,
was ein Bytecode-Interpreter tatsächlich
tut.
VOM PROGRAMM ZUR SICHTBA-
REN AUSFÜHRUNG
Im Rahmen meiner Masterarbeit habe
ich ein webbasiertes Visualisierungstool
entwickelt, das die Ausführung von
Bytecode Schritt für Schritt darstellt.
Grundlage dafür ist ein sogenanntes Trace.
Während ein Programm ausgeführt
wird, werden alle relevanten Schritte aufgenommen
und abgespeichert. Diese
Aufnahme kann anschließend interaktiv
erkundet werden.
Das Tool zeigt Quellcode und den zugehörigen
Bytecode nebeneinander an und
hebt jeweils hervor, welcher Schritt gerade
ausgeführt wird. Besonders wichtig
ist die Visualisierung des Speichers. Veränderungen
an Variablen, Objekten oder
Datenstrukturen werden animiert dargestellt.
Dadurch wird sichtbar, wie sich der
Zustand des Programms im Laufe der
Ausführung entwickelt. Jedes Mal, wenn
man von einer Instruktion zur nächsten
springt, verändert sich etwas.
Ein weiterer zentraler Aspekt ist die Interaktivität.
Man kann nicht nur die Ausführung
anhalten, sondern auch nach Belieben
vor- und zurückspringen oder gezielt
zu bestimmten Stellen navigieren. Vor
allem in der Lehre ist dies nützlich, weil so
jede*r im eigenen Tempo das Programm
bei der Arbeit beobachten kann.
EINSATZ IN DER LEHRE AN DER
JKU
Das Visualisierungstool wird inzwischen
in der Lehrveranstaltung Compilerbau an
der Johannes Kepler Universität eingesetzt.
Dort unterstützt es sowohl Lehrende
als auch Studierende. In Vorlesungen
und Übungen können komplexe Abläufe
live demonstriert werden, während Studierende
das Tool nutzen können, um
ihre selbstgebauten Compiler zu analysieren.
SICHTBARKEIT FÜHRT ZU
BESSEREM VERSTÄNDNIS
Viele zentrale Konzepte der Informatik
sind unsichtbar. Genau darin liegt ihre
Schwierigkeit, aber auch ihr Potenzial. Visualisierung
kann helfen, diese verborgenen
Abläufe zugänglich zu machen und
ein tieferes Verständnis zu ermöglichen.
Meine Arbeit zeigt, dass es möglich ist,
selbst komplexe systemnahe Prozesse
verständlich darzustellen, ohne sie zu vereinfachen.
Gerade in der Lehre eröffnet
das neue Wege, Informatik nicht nur zu
erklären, sondern erfahrbar zu machen.
Wer sieht, was im Inneren eines Programms
passiert, versteht nicht nur den
Link zur Masterarbeit:
Das zugehörige Paper wurde bei der IEEE
VISSOFT 2025 in Neuseeland veröffentlicht:
Tobias Herber
ist Absolvent der JKU
am Institut für Systemsoftware.
Seine
fachlichen Interessen
liegen im Bereich
Compilerbau und verteilte Systeme.
Aktuell arbeitet er beim Artificial Intelligence
Startup Metorial, wo er sich
auf verteilte Systeme spezialisiert hat.
30 OCG Journal | 01 • 2026

Adolf-Adam-Informatikpreis
Auf Spurensuche in verteilten Systemen
von Lukas Freiseisen
Was macht mein Code?
Die Größe und Komplexität von Software-Systemen
nimmt aufgrund immer
anspruchsvollerer Anforderungen stetig
zu. Häufig wird in diesem Zusammenhang
von „Systemen von Systemen“ gesprochen,
die sich als Netzwerk mit zahlreichen
Knoten darstellen lassen und
über diverse Schnittstellen und Netzwerke
kommunizieren. Diese verteilten
Systeme werden in der Regel von verschiedenen
Organisationen entwickelt
und bilden das Rückgrat des Internets,
der industriellen Produktion, der Logistik
und vieler anderer Bereiche (Internet
of Things).
Eine der anspruchsvollsten Herausforderungen
bei großen verteilten Systemen
ist die Transparenz ihrer inneren Abläufe.
Wer schon einmal programmiert hat, der
weiß, dass selbst bei kleinen Softwareanwendungen
das Systemverhalten oft
schwer zu verstehen ist. Bei verteilten
Software-Systemen treten viele Probleme
aufgrund ihrer Größe und Struktur
erst zur Laufzeit auf und lassen sich nur
schwer oder gar nicht in Testumgebungen
reproduzieren.
Im Software-Tracing werden Systeme
daher angepasst, um Telemetriedaten
zu generieren. Diese Daten werden anschließend
mithilfe von Process-Mining
analysiert, um die Systemeigenschaften
zu überwachen und bei Bedarf detaillierte
Einblicke zu erhalten.
In meiner Masterarbeit habe ich mit
OpenTelemetry (https://opentelemetry.io)
gearbeitet, einem Open-Source-Framework,
das einen allgemeinen Standard für
Tracing-Daten definiert und in der Praxis
zunehmend an Bedeutung gewinnt.
Software-Monitoring die Echtzeitüberwachung
auf Basis der gesammelten
Daten übernimmt. Es gibt verschiedene
Verfahren, um bei einem System zur
Laufzeit Daten über sein Verhalten zu
erfassen. Diese reichen von einfachen
Logeinträgen bis hin zur Sammlung und
Meldung wichtiger Ereignisse an einen
oder mehrere Server. Diese Meldungen
werden dann in Traces gebündelt, die
zeigen, welche Systemkomponenten an
welchen Abläufen beteiligt waren.
PROCESS-MINING
Beim Software-Tracing werden innerhalb
kürzester Zeit oft tausende Datensätze
erfasst, die aufgrund ihrer Menge und
Struktur für Menschen nur schwer zu interpretieren
sind. Darüber hinaus gibt es
verschiedene Anwendungsbereiche: Das
Wartungspersonal eines Manufacturing
Execution Systems (MES) interessiert sich
beispielsweise für Systemausfälle und die
Einhaltung von Zeitvorgaben. Führungskräfte
hingegen fokussieren sich auf
Umsatzsteigerungen und Produktivitätsgewinne
durch das System. Bei einem
Webshop steht beispielsweise das Nutzerverhalten
während des Kaufprozesses
im Mittelpunkt.
Im Process-Mining werden komplexe
Tracing-Daten verarbeitet, um einfach
verständliche Prozessmodelle zu erzeugen,
die das Systemverhalten abbilden.
Es existieren verschiedene Prozessmodellierungssprachen
(Petri-Netze, BPMN
etc.). Ich habe für meine Masterarbeit
das Prozessmodell PROB DECLARE gewählt,
mit dem durch Anwendung von
endlicher linearer temporaler Logik die
zeitlichen Abhängigkeiten von Aktivitäten
innerhalb eines Systems dargestellt
werden können. Man kann sich ein Trace
als eine Baumstruktur vorstellen, bei der
jeder Knoten einer Aktivität des Systems
entspricht. Mittels endlicher linearer temporaler
Logik kann dann etwa festgestellt
werden, ob eine Aussage über die zeitliche
Abhängigkeit von logischen Termen
zutrifft.
PROB DECLARE identifiziert Constraints,
die zeitliche Abhängigkeiten zwischen
Aktivitäten in einem Trace darstellen und
bestimmt gleichzeitig die Wahrscheinlichkeit
ihres Auftretens. Dieses Prozessmodell
zeichnet sich dadurch aus, dass
es verschiedene Systeme gut abbilden
kann, ohne das Domänenwissen der Entwickler*innen
erforderlich ist. Personen
mit entsprechendem Wissen können jedoch
aus dem Modell selbst viele Er
SOFTWARE-TRACING
Software-Tracing dient dazu, Systeme
nachvollziehbarer zu gestalten, während
Abbildung 1: Abstraktes Trace and äquivalentes PROB DECLARE Modell; Grafik: Lukas Freiseisen
01 • 2026 | OCG Journal
31

kenntnisse gewinnen. Abbildung 1 zeigt
ein abstraktes Trace und ein äquivalentes
PROB DECLARE Modell. Die Auftrittswahrscheinlichkeit
jedes Constraints beträgt
hier 100 % und ist deswegen nicht
explizit angeführt.
NUTZEN
Nach einer von System zu System unterschiedlichen
„Aufwärmphase“ ergibt sich
eine Verteilung der Auftrittswahrscheinlichkeit
der ermittelten Constraints. Diese
Verteilung dient als Grundlage für die
Vorhersage des erwarteten Verhaltens im
Normalbetrieb. Während der Echtzeitüberwachung
können unerwartete Veränderungen
dieser Verteilung auf Anomalien
des Systemverhaltens hinweisen.
Stellen Sie sich ein Modell vor, das einen
Webshop abbildet, bei dem die Wahrscheinlichkeit
von Constraints im Zusammenhang
mit Produktkäufen plötzlich
steigt. Eine mögliche Ursache könnte
ein laufender Black Friday Sale sein. In
diesem Fall wurden im Vorfeld entsprechende
Berechnungen angestellt und
die Erwartungen können mit der Realität
verglichen werden. Eine andere Ursache
könnte aber sein, dass Scalper ein neues
Produkt aufkaufen, um es später zu einem
höheren Preis auf anderen Plattformen
weiterzuverkaufen. In diesem Szenario
ist es für den Webshop-Betreiber
unerlässlich, schnell zu handeln. Durch
rechtzeitiges Erkennen können die betroffenen
Verkäufe storniert und die
Scalper identifiziert werden. Bei benutzerorientierten
Systemen wie dem beschriebenen
Webshop lässt sich das Nutzerverhalten
analysieren. Dies ermöglicht
es, Fragen zur Dauer der Katalogsuche
oder zum tatsächlichen Kaufverhalten
zu beantworten. Darüber hinaus können
Fehler und Redundanzen in wichtigen
Systemabläufen identifiziert werden. Vor
Software-Updates können etwa Modelle
in einer Testumgebung vorberechnet
und nach dem Deployment mit dem tatsächlichen
Verhalten verglichen werden.
Im praktischen Teil meiner Masterarbeit
habe ich ein echtzeitfähiges System (Abbildung
2) entworfen und implementiert,
das als Open-Source-Projekt (MIT Lizenz)
frei zur Verfügung steht.
Abbildung 2: System-Architektur; Grafik: Lukas Freiseisen
Zum Projekt
Zur Masterarbeit
Lukas Freiseisen
ist wissenschaftlicher
Mitarbeiter am
Institute of Software
Systems Engineering
an der Johannes Kepler
Universität Linz. Dort erforscht er
im Rahmen eines Doktoratsstudiums
Möglichkeiten zur automatischen
Code-Generierung für die Tracing-Instrumentierung..
32 OCG Journal | 01 • 2026

Adolf-Adam-Informatikpreis
Software anpassen ohne Quellcode
von Alexander Voglsperger
Maschinencode zur Laufzeit
verändern
Es ist ein Szenario, das wohl die meisten
kennen: Man spielt den Klassiker Snake.
Die Schlange wird länger und länger,
das Spiel von Frucht zu Frucht schwieriger
– und unvermeidlich folgt der Zusammenstoß
mit der Wand oder sich
selbst. Game Over. In diesem Moment
der Frustration keimt vielleicht der Gedanke
auf: Was wäre, wenn ich die Spielregeln
ändern könnte?
Was, wenn ich die Kollisionsabfragen einfach
deaktivieren könnte, um unsterblich
zu werden? Oder wenn das Einsammeln
einer Frucht nicht nur einen Punkt, sondern
gleich zehnt bringt? Was in der
Gaming-Szene als „Cheaten“ oder „Modding“
bekannt ist, beschreibt in der Informatik
eine der mächtigsten Techniken
Maschinencode-Instrumentierung.
der Systemprogrammierung: die Dynamische
Genau dieses „Hacken an der Basis“ war
der Kern meiner Präsentation für den
Adolf-Adam-Preis und das Thema „A
Generic Machine Code Instrumentation
Library“¹.
WENN DER QUELLCODE FEHLT
Hätten wir den Quellcode des Spiels vor
uns – etwa in einer lesbaren Sprache wie
Python oder Java – wäre die Änderung
trivial: return score + 1 wird zu return score
+ 10. Doch in der Realität, und besonders
bei performanter Software, liegt uns
meist kein Quellcode vor. Stattdessen blicken
wir auf kompilierten Binärcode.
Für den Computer sind das verständliche
1
https://epub.jku.at/obvulihs/content/titleinfo/12074964
Instruktionen aus Nullen und Einsen. Für
den Menschen eine „Black Box“ ohne verständliche
Logik. Um hier einzugreifen,
müssen wir zur Laufzeit, also während
das Spiel bereits läuft, das Gehirn des Programms
operieren, ohne den Patienten
zu töten.
DIE LUPE ANSETZEN
Um den Binärcode verständlich und manipulierbar
zu machen, benötigen wir
eine Art Lupe: einen Disassembler. Das
in der Arbeit verwendete Capstone Framework²
ermöglicht den Zahlenstrom
zurück in lesbare Assembler-Instruktionen
zu übersetzen. Erst dann kann man
die Stellen identifizieren, an denen man
ansetzen muss.
Das Ziel der Arbeit war die Entwicklung
einer generischen C++ Bibliothek, die
diesen komplexen Prozess zugänglicher
macht. Anstatt mühsam einzelne Bytes
zu modifizieren, bietet die Bibliothek eine
Schnittstelle, um sich in beliebige Funktionen
einzuklinken und zusätzlichen
Code (sogenannte „Hooks“) auszuführen.
Doch der Teufel steckt im Detail, oder
besser gesagt in der Architektur.
DAS TRAMPOLIN-PRINZIP
Wie leitet man eine laufende Funktion zu
eigenem Code um? Der Grundgedanke
ist relativ einfach, man fügt am Anfang
einen Sprungbefehl ein. Dieser Sprung
leitet den Programmfluss aus der eigentlichen
Funktion in ein sogenanntes
„Trampolin“ um.
Man kann sich dieses Trampolin wie eine
2
https://www.capstone-engine.org/
künstliche Umleitung auf einer Autobahn
vorstellen. Der Programmfluss wird
von seiner ursprünglichen Route abgeleitet
und auf einen separaten Bereich,
das Trampolin, geführt. Dort passiert ein
kontrollierter Boxenstopp, bei dem der
aktuelle Zustand des Prozessors (alle Register)
gesichert werden, damit nichts
durcheinandergebracht wird. Danach
wird der eigentliche Zusatzcode ausgeführt.
Anschließend wird der originale Zustand
wiederhergestellt und jene Befehle
nachgeholt, welche durch die Errichtung
der Umleitung – also des Sprungs – überschrieben
werden mussten. Letztendlich
leitet das Trampolin den Verkehr nahtlos
wieder zurück auf die Hauptstrecke, als
wäre nichts gewesen.
DER KAMPF MIT DEN BYTES
Was in der Theorie elegant klingt, gleicht
auf der x86-Architektur einem Minenfeld.
Im Gegensatz zu modernen RISC-Architekturen
haben Befehle hier eine unterschiedliche
Länge (1 bis 15 Bytes). Wenn
man für einen Sprung zum Trampolin 12
Bytes Platz benötigt, so darf man nicht
versehentlich mitten in einen anderen
Befehl schreiben. Die Bibliothek muss
also genau analysieren, wie viele verschoben
werden müssen, um einen sauberen
Platz zu schaffen.
Noch komplexer wird es, wenn relative
Adressierungen im Maschinencode aufkommen.
Denn viele Instruktionen sagen
im Grunde: „Lies den Wert, der 50 Bytes
hinter mir steht“. Verschiebt man so einen
Befehl in ein Trampolin, so zeigt dieser ins
Leere. Die Bibliothek erkennt automatisch
solche relativen Befehle und muss
01 • 2026 | OCG Journal
33

Modifizerter_Programmablauf_für_eine_Funktion_foo_C_Alexander_Voglsperger.
diese „reparieren“, indem sie diese in eine
absolute Adressierung umschreibt. Für
die Generierung dieses neuen Maschinencodes
kommt AsmJit³ zum Einsatz.
VON SNAKE ZU DYNATRACE
Warum betreiben wir diesen immensen
Aufwand? Natürlich nicht nur, um bei
Spielen wie Snake zu schummeln. Die
gleichen Techniken, die einen Highscore
manipulieren können, werden in der Industrie
für essenzielle Aufgaben eingesetzt:
Sicherheitsanalysen, Hot-Patching
von Fehlern oder Application Performance
Monitoring.Für Unternehmen
wie Dynatrace⁴, in deren Umfeld diese
3.https://asmjit.com/
4.https://www.dynatrace.com/
Arbeit entstand, ist diese Technik lebenswichtig.
Sie ermöglicht es, tiefgreifende
Leistungsdaten aus Kundenanwendungen
zu sammeln (z. B. „Wie lange dauert
dieser Datenbankzugriff?“), ohne dass
der Kunde seinen Code ändern oder neu
kompilieren muss. Die entwickelte Bibliothek
liefert hierfür eine moderne, wartbare
Basis.
Der 3. Platz beim Adolf-Adam-Informatikpreis
ist für mich eine große Ehre. Er zeigt,
dass tiefe Systemprogrammierung nicht
trocken sein muss – und dass der Weg
vom „Cheater“ zum Software-Ingenieur
oft nur ein paar Bytes entfernt liegt.
Alexander
Vogelsperger
ist Absolvent der
JKU am Institut für
Systemsoftware. Das
Thema der Laufzeit-Manipulation
begleitet ihn auch
beruflich weiter: Aktuell arbeitet er bei
Dynatrace an der Instrumentierung
von Node.js-Applikationen für den
OneAgent.
Adolf-Adam-Informatikpreis
Der Adolf-Adam-Informatikpreis wird seit 2011 für hervorragende Masterarbeiten am Fachbereich Informatik der Johannes Kepler
Universität Linz verliehen. Ziel des Preises ist es, die Leistungen der Linzer Informatik-AbsolventInnen einer breiten Öffentlichkeit
vorzustellen und im Rahmen einer Veranstaltung durch Schüler*innen aus Oberösterreich prämieren zu lassen.
Der Preis ist benannt nach Adolf Adam, einem österreichischen Statistiker und Informatiker, der wesentlich zur Etablierung der
Informatik als Studienrichtung in Linz beigetragen hat.
34 OCG Journal | 01 • 2026

Projekt: Sicher im Digitalen
Ein Projekt zur digitalen Sicherheit von Jugendlichen
von Corinna Hörmann und Eva Schmidthaler
Sicher im Digitalen: Starke
Mädchen. Starke Zukunft.
Mit der Initiative „Sicher im Digitalen:
Starke Mädchen. Starke Zukunft.“ wurde
ein Bildungs- und Forschungsprojekt
zur digitalen Sicherheit von Jugendlichen
im COOL Lab der Johannes Kepler
Universität umgesetzt. Ziel war es, Schülerinnen
im Alter von 11 bis 18 Jahren für
Risiken wie manipulierte, KI-generierte
Bilder, Videos und Sprachaufnahmen zu
sensibilisieren und ihnen Wissen sowie
Handlungskompetenzen zum Schutz
im digitalen Raum zu vermitteln. Das
Projekt wurde durch das Bundesministerium
für Frauen, Wissenschaft und
Forschung (BMFWF) gefördert und setzte
auf eine Kombination aus Workshops,
Online-Angeboten und umfangreichen
Unterrichtsmaterialien.
Der Projekttitel legt einen besonderen
Fokus auf die Stärkung von Mädchen, da
sie im Bereich digitaler Gewalt, Bildmanipulation
und Online-Belästigung nach
wie vor überproportional betroffen sind.
Gleichzeitig wurden die Projektangebote
bewusst geschlechterinklusiv umgesetzt
und richteten sich an alle Jugendlichen.
Ziel war es, Sicherheit und Resilienz insgesamt
zu stärken und unterschiedliche
Perspektiven im Umgang mit digitalen
Risiken mitzudenken.
WORKSHOPS FÜR SCHÜLER*IN-
NEN DER 9. UND 10. SCHUL-
STUFE
Im Zentrum des Projekts standen zwei
jeweils 2,5-stündige Workshops für Schüler*innen
der 9. und 10. Schulstufe. Der
Workshop „Mit KI und Köpfchen“ thematisierte
den Umgang mit Fake News
sowie KI-generierten Inhalten und setzte
sich mit Fragen der Glaubwürdigkeit
und Quellenbewertung auseinander. Im
Workshop „Meine Rechte im Internet“
standen Cyberkriminalität und Cybermobbing
im Fokus, ergänzt um rechtliche
Grundlagen und Handlungsmöglichkeiten
für Betroffene. Beide Workshops
wurden insgesamt nahezu 40-mal mit
unterschiedlichen Schulklassen durchgeführt.
Damit konnten über 750 Schüler*innen
direkt erreicht werden.
FORTBILDUNG VON MULTIPLI-
KATOR*INNEN
Neben der Arbeit mit Schüler*innen war
es ein zentrales Anliegen des Projekts,
auch Schülerinnnen und Lehrpersonal
als Multiplikator*innen gezielt weiterzubilden.
Zu diesem Zweck wurden mehrere
Fortbildungsformate entwickelt und
umgesetzt. Insgesamt fanden zehn Lehrer*innen-Fortbildungen
statt, in denen
256 (angehende) Lehrpersonen geschult
wurden. Ergänzend dazu wurden Einzel-
und Gruppen-Coachings für Lehrpersonen
angeboten und ein Selbstlernkurs
auf Moodle entwickelt.
PEER-LEARNING DURCH DAS
„DIGITAL HEROES“-PROGRAMM
Ein weiterer Projektbestandteil war die
Umsetzung von Peer-Learning-Ansätzen,
insbesondere durch das „Digital
Heroes“-Mentoring-Programm. In zwei
Durchgängen nahmen insgesamt über
40 Schüler*innen teil. Die Teilnehmenden
entwickelten eigenständig Unterrichtseinheiten
zu digitalen Sicherheitsthemen
und setzten diese anschließend
in ihren eigenen Klassen um. Ziel war es,
Inhalte auf Augenhöhe zu vermitteln und
Mitschüler*innen aktiv in Lernprozesse
einzubeziehen.
NACHHALTIGE MATERIALIEN
FÜR DEN UNTERRICHT
Auch über die Projektlaufzeit hinaus
sollen die erarbeiteten Inhalte nutzbar
bleiben. Zu diesem Zweck wurden Unterrichtsmaterialien
(Self Study Course
und Booklet) entwickelt, die von Lehrpersonen
eigenständig eingesetzt werden
können. Die Materialien sind bewusst fächerübergreifend
angelegt und eignen
sich neben der Informatik unter anderem
auch für Digitale Grundbildung, Politische
Bildung, Soziales Lernen oder Ethik.
Ergänzend dazu wurden Micro-Learning-Einheiten
in Form von Fact-Sheets
veröffentlicht. Diese bieten kompakte
Einstiege in einzelne Themen, eignen
sich zur Vorbereitung von Unterrichtseinheiten
in der Sekundarstufe oder als ergänzendes
Material für zu Hause.
AUSBLICK: NEUE PROJEKTE IN
VORBEREITUNG
„Sicher im Digitalen: Starke Mädchen.
Starke Zukunft.“ konnte zeigen, wie wir-
01 • 2026 | OCG Journal
35

kungsvoll die Kombination aus Workshops,
Fortbildung und Peer-Learning im
Bereich digitaler Bildung sein kann. Die
entwickelten Materialien und Konzepte
bilden eine tragfähige Grundlage für zukünftige
Bildungsangebote und Projekte.
Aktuell befinden sich drei weitere Projekte
in Vorbereitung im JKU COOL Lab.
Besonders hervorzuheben ist das Projekt
„Decoded“, das sich mit Social-Media-Algorithmen
und deren Einfluss auf das
Selbstbild von Jugendlichen auseinandersetzt.
Fact-Sheets:
Unterrichtspakete
Grafik: JKU COOL Lab
Selbstlernkurs für Lehrende:
Corinna Hörmann
ist Assistenzprofessorin
für Informatikdidaktik
an der
Universität Salzburg.
Sie beschäftigt sich
mit der Vermittlung informatischen
Denkens und der Gestaltung wirksamer
Informatiklehre.
Eva Schmidthaler
leitet das JKU COOL
Lab der School of
Education an der
Johannes Kepler
Universität Linz. Ihre
Forschungsschwerpunkte liegen in
der digitalen Bildung, den Naturwissenschaften
sowie im Einsatz
von Bildungstechnologien von der
Primar- bis zur Sekundarstufe in MINT.
36 OCG Journal | 01 • 2026

Informatikdidaktik
Ein persönlicher Blick auf Lehre, Lernen und Informatik
von Corinna Hörmann
Was Informatikdidaktik
nicht ist
Wussten Sie, dass man mit einer Karotte
Programmieren genauso gut unterrichten
kann wie mit einer Banane? In
meinen frühen Workshops baute ich
mit Schüler*innen gerne das bekannte
MakeyMakey-Bananenklavier. Makey-
Makey ist ein kleiner Controller, der über
Krokodilklemmen mit leitfähigen Materialien
verbunden wird. Dass die Bananen
in meinem Rucksack nicht lange
überleben würden, hätte ich mir denken
können.
So wurde der Workshop weiterentwickelt
und ich kam zu dem Entschluss, dass Karotten
dem Zweck genauso gut dienten
und dabei wesentlich robuster waren. Ein
großer Pluspunkt der „verbrauchten“ Karotten
zeigte sich anschließend ebenfalls:
Die Hühner meiner Schwiegermutter
hatten noch große Freude an dem durch
viele Kinderhände gegangenen Gemüse!
Didaktisch relevant war aber nicht, was
angeschlossen wurde, sondern was Lernende
dabei verstanden. Die Auseinandersetzung
mit Schaltkreisen, Eingaben
und Programmabläufen blieb gleich –
egal, ob Banane oder Karotte verwendet
wurde.
INFORMATIKDIDAKTIK IST NICHT
DAS VERWALTEN VON SOFT-
WARE
„In der Schule macht man eh nur Word,
Excel und PowerPoint. Was muss man
dabei schon können?“ Diese Aussage
höre ich oft genug. Nein, ich forsche nicht
daran, ob Schüler*innen fünf verschiedene
Überschriften formatieren können. Ob
Lernende mit einer bestimmten Umgebung,
einer Lernplattform oder einem KI-
Tool arbeiten, ist selten der entscheidende
Faktor. Entscheidend ist, was sie dabei
verstehen – und was nicht.
Gute Informatikdidaktik zeigt sich oft
gerade dort, wo die Technik in den Hintergrund
tritt und Denkprozesse sichtbar
werden.
INFORMATIKDIDAKTIK IST NICHT
PROGRAMMIERSPRACHEN-
FETISCH
Ob mit Java, Python oder einer ganz anderen
Sprache gearbeitet wird, ist selten
die entscheidende didaktische Frage.
Programmiersprachen kommen
und gehen, informatische
Denkweisen bleiben.
Informatikdidaktik interessiert sich daher
weniger für Syntax als für Konzepte – unabhängig
davon, in welcher Sprache diese
umgesetzt werden.
Bananenklavier; Foto: JKU COOL Lab
Workshop, Foto: Corinna Hörmann
01 • 2026 | OCG Journal
37

INFORMATIKDIDAKTIK IST NICHT
VEREINFACHUNG
Informatikdidaktik bedeutet nicht, Inhalte
„leichter“ zu machen oder Komplexität
zu vermeiden. Informatik lebt von Abstraktion,
Modellen und präzisem Denken.
Meine didaktische Arbeit besteht daher
nicht darin, schwierige Inhalte zu umgehen,
sondern darin, Lernende dabei zu
unterstützen, mit dieser Komplexität umzugehen.
WAS IST ALSO INFORMATIK-
DIDAKTIK?
Für mich ist sie die systematische Auseinandersetzung
mit der Frage, wie
informatisches Denken überhaupt entsteht:
Wie lernen Menschen, Probleme
zu strukturieren? Wie bauen sie mentale
Modelle von Algorithmen, Daten oder
Systemen auf? Und warum scheitern
manche Lernprozesse trotz guter Inhalte
und engagierter Lehrender?
Mit meiner Assistenzprofessur für Informatikdidaktik
an der Universität Salzburg
beschäftige ich mich genau mit diesen
Fragen - an der Schnittstelle zwischen Informatik,
Bildung und Praxis. Dabei geht
es nicht nur um Schule oder Hochschule,
sondern um Informatikbildung entlang
der gesamten Ausbildungskette.
Gute Informatikdidaktik fällt oft erst dann
auf, wenn sie fehlt: Wenn Menschen mit
Hilfe von künstlicher Intelligenz Code erzeugen
können, aber nicht erklären können,
warum er funktioniert. Oder wenn
neue Technologien eingeführt werden,
ohne dass sich das Verständnis vertieft.
Genau hier setzt meine Arbeit an – auch
wenn es manchmal nur darum geht, eine
Karotte statt einer Banane zu wählen.
Corinna Hörmann
ist Assistenzprofessorin
für Informatikdidaktik
an der
Universität Salzburg.
Sie beschäftigt sich
mit der Vermittlung informatischen
Denkens und der Gestaltung wirksamer
Informatiklehre.
Workshop; Foto: Kinderuni OÖ
Workshop; Foto: Corinna Hörmann
38 OCG Journal | 01 • 2026

Intern
Veranstaltungen
All Digital Weeks
Enhance your digital skills
09. - 25. März 2026, online
Public Lecture Series
AI in Science and Engeneering
16. - 24. März 2026, Wien und online
CreenComp in der Praxis
ComeThinkAgain Fortbildungg
07. April - 19. Mai 2026, Graz und online
RiE 2026
International Conference on Robotics in Education
15. - 17. April 2026, Wolfenbüttel, Deutschland
dHealth 2026
Health Informatics meets Digital Health
12. Mai 2026, Wien
EGOI 2026
European Girls´Olympiad in Informatics
12. - 18. Mai 2026, Cesenatico, Italien
ACSD 2026
Austrian Computer Science Day
01. Juni 2026, Wien
ICCHP 2026
20th International Conference on Computers Helping
People with Special Needs
15. - 17. Juli 2026, Brno, Tschechien
IOI 2026
International Olympiad in Informatics
09. - 16. August 2026, Tashkent, Uzbekistan
15th DACH+ Conference on Energy Informatics
Energy Informatics Conference
21. - 23. September 2026, Linz
OCG Impulse Linz
13. Oktober 2026, Linz
OCG Impulse Graz
22. Oktober 2026, Graz
OCG Impulse Wien
12. November 2026, Wien
Schriftenreihe
BürokratieabBAU. Modellregionen als innovative &
nachhaltige Lösung
Hg. von Laura Gabriele, Markus Jakob, Robert Müller-Török,
Christoph Schuhknecht, Jürgen Wunderlich
Band 347,
ISBN 978-3-903035-36-2
IMPRESSUM
Das OCG Journal ist die Mitgliederzeitschrift der Österreichischen Computer
Gesellschaft (OCG). Inhaltlich wird das Journal in völliger Unabhängigkeit gestaltet
und berichtet über die OCG Leitthemen Ausbildung und Qualität, Innovation und
Start-ups, internationale Vernetzung und digitale Zivilgesellschaft.
ISSN 1728-743X
Medieninhaber und Herausgeber:
Österreichische Computer Gesellschaft (OCG)
Präsident: DI Wilfried Seyruck
Generalsekretär und Leitung der Redaktion: Dr. Ronald Bieber
Redaktion: Irina Scheitz, Katharina Resch-Schobel, Josefine Hiebler
Layout und DTP: OCG | Josefine Hiebler
Lektorat: Katharina Resch-Schobel
Fotos: Archiv OCG, Autor*innen, Privatarchive, istock
Kontakt: info@ocg.at | URL: www.ocg.at
Alle: Wollzeile 1, 1010 Wien | Tel.: +43 1 512 02 35-0
Druck: Print Alliance HAV Produktions GmbH, 2540 Bad Vöslau
https://printalliance.at/fairprint

OCG
CERTIFICATION
ISO/IEC 27001
IT-Sicherheit zertifizieren
ISO/IEC 27001
Wir zertifizieren Ihre Informationssicherheit
nach ISO/IEC 27001 und bieten als
Qualifizierte Stelle auch Prüfungen nach
dem NISG an.
Informationen:
Österreichische Computer Gesellschaft • 1010 Wien • Wollzeile 1
istock