Konferenz-Radar 2026: Wo CISO-Budget Substanz trifft

6 Min. Lesezeit

Security-Konferenzen sind 2026 ein Zwei-Klassen-System. Auf der einen Seite Veranstaltungen, die Technikern und CISOs harte Substanz liefern: verifizierte Zero-Days, saubere Detection-Engineering-Tracks, Austausch auf Peer-Ebene. Auf der anderen Seite Formate, deren Agenda sich kaum noch von einer Vendor-Roadshow unterscheiden lässt. Beide kosten 2026 fünfstellig pro Person – Flug, Hotel, Ticket, Arbeitszeit zusammengerechnet. Wer Reise-Budget freigibt, braucht einen nüchternen Radar.

VerwandtCopilot-Sicherheitsrisiko 2026   /  Claude Mythos: Lagebewertung für Security-Teams

Was ist ein belastbarer CFP-Prozess?

Ein Call for Papers (CFP) ist der offene Aufruf einer Konferenz an Researcher, Vorträge einzureichen. Entscheidend für die Qualität ist, wer die Einreichungen bewertet. Ein technisches Review-Board besteht aus aktiven Security-Researchern, die eingereichte Arbeiten auf Originalität, Reproduzierbarkeit und Relevanz prüfen – und Beiträge ablehnen, deren Kernaussage bereits publiziert wurde oder deren Methodik nicht trägt. Konferenzen ohne sichtbares Review-Board, ohne Ablehnungsquote und ohne namentlich benannte Reviewer arbeiten nicht mit dieser Qualitätskontrolle. Das ist der wichtigste Einzel-Indikator für den Redaktions-Standard einer Veranstaltung.

Stand April 2026 veröffentlichen die großen Security-Konferenzen (RSAC, Black Hat, DEF CON) Namen und Rollen der Review-Board-Mitglieder. Wer das nicht tut, hat die Beweislast umgekehrt.

Leitplanken: Wann sich ein Event wirklich lohnt

Die erste Frage vor jeder Buchung ist nicht „wer spricht dort“, sondern „was nehme ich operativ mit“. Security-Events rechnen sich nach einer einfachen Logik: Lerneffekt plus belastbarer Kontakt, dividiert durch Gesamtkosten pro Teilnehmer. Alles andere ist Reisekostenprosa.

Drei Leitplanken trennen Pflicht von Kür. Erstens: Hat die Konferenz einen CFP-Prozess, dessen Review-Board aus praktizierenden Security-Researchern besteht? Zweitens: Gibt es technische Tracks ohne Sponsor-Keyword im Titel? Drittens: Findet der Austausch in kleinen Formaten (Villages, Workshops, Birds-of-a-Feather) statt oder nur in Expo-Hallen?

Wenn zwei von drei Fragen mit Nein beantwortet werden, handelt es sich vermutlich um eine Marketing-Messe mit Security-Etikett. Das ist nicht per se schlecht – für Vendor-Screening oder Analysten-Gespräche können solche Formate passen. Nur sollte der Reisekostenantrag dann eben auch so begründet werden.

Die großen Pflicht-Events – wo Substanz noch stimmt

Vier Termine stehen 2026 im Kalender vieler CISO-Teams. Sie sind nicht automatisch jedes Jahr relevant, aber sie liefern pro Jahrgang mindestens zwei Tracks, die den Reiseaufwand rechtfertigen.

RSAC in San Francisco ist 2026 vom 23. bis 26. März terminiert, also drei Wochen vor dem traditionellen April-Slot. Wer Tickets, Flüge und Hotel gewohnheitsmäßig spät bucht, sollte den Kalender früh anpassen. RSAC bleibt die Pflichtveranstaltung für Strategie, Analyst-Meetings und internationale Peer-Gespräche. Die technischen Inhalte sind breit gestreut; wer Tiefe sucht, filtert aggressiv nach Cryptographers‘ Track und Implementer-Sessions.

it-sa Expo&Congress in Nürnberg vom 27. bis 29. Oktober ist der DACH-Anker. Sie ist eine Messe, keine Konferenz – das muss man mitdenken. Dafür gibt es an drei Tagen fast jeden relevanten deutschen Security-Anbieter unter einem Dach, flankiert von Congress-Tracks zu NIS2, KRITIS und BSI-Grundschutz. Für Beschaffungsentscheidungen und Compliance-Orientierung ist das Format kaum zu schlagen.

Black Hat Europe in London vom 7. bis 10. Dezember liefert Substanz primär in den Trainings und Briefings, weniger in der Business Hall. Wer ausschließlich die Expo-Fläche mitnimmt, kann das Ticket sparen. Die Trainings dagegen – Red-Team-Operations, Reverse-Engineering, Cloud-Attack-Paths – sind auf einem Niveau, das viele interne Weiterbildungen nicht erreichen. Dieser Teil rechnet sich.

DEF CON 34 vom 6. bis 9. August in Las Vegas bleibt die Hacker-Konferenz, die sich am wenigsten um Unternehmens-Agenden schert. Das ist ihr Wert. Wer Villages ernst nimmt (ICS Village, AppSec Village, AI Village), bekommt dort Einblicke, die auf keiner Vendor-Bühne erscheinen. Main-Stage-Keynotes sind Beiwerk. Wer Mitarbeiter aus SOC oder Red Team entsendet, sollte klare Lernziele pro Village definieren – sonst wird es teures Entertainment.

Überbewertete Formate: Wo sich der ROI verschoben hat

Ohne Namen gegen Namen zu stellen: Eine Reihe europäischer Security-Events der zweiten Reihe hat 2025 und 2026 spürbar an redaktioneller Substanz eingebüßt. Agenden bestehen zunehmend aus Sponsor-Keynotes, Panels ohne Moderation und Executive-Roundtables, die im Kern Lead-Qualifizierung sind.

Das ist kein Urteil über die Veranstalter – Ausstellergeschäft ist ein legitimes Modell. Es ist ein Urteil über den Nutzen für technische Security-Teams. Wenn die Agenda zu mehr als 60 Prozent aus Vendor-Slots besteht und der Anteil unabhängiger Researcher unter zehn Prozent liegt, fehlt schlicht die Lern-Dichte, die ein Konferenztag braucht.

Pragmatische Konsequenz: Solche Formate taugen als eintägiger Scouting-Besuch für Marketing, nicht als dreitägiges Technik-Training. Budget entsprechend umschichten.

Pflicht oder opportunistisch: Was die Kategorien trennt

Die Tabelle ist bewusst kein Qualitäts-Urteil. Manche opportunistischen Formate sind ideal für Marktbeobachtung oder Pflege bestehender Vendor-Beziehungen. Nur sollten sie nicht als Fortbildungs-Budget verbucht werden.

Kleinere Formate mit Substanz – die 2026-Gewinner

Ein Muster aus den letzten zwei Jahren ist klar: Spezialisierte und regionale Konferenzen gewinnen an Bedeutung, während die ganz großen Messen breiter und oberflächlicher werden. Drei Formate stehen 2026 stellvertretend dafür.

OffensiveCon Berlin ist seit Jahren der Sammelpunkt europäischer Exploit-Developer und Vulnerability-Researcher. Klein, teuer im Verhältnis zur Teilnehmerzahl, aber redaktionell kaum zu schlagen. Wer offensive Security ernst betreibt, hat OffensiveCon auf dem Radar.

Troopers in Heidelberg bleibt eine der wenigen europäischen Konferenzen, die konsequent Tiefe über Breite stellt. Tracks zu Active-Directory-Security, Industrial-Control-Systems und Cryptographic-Engineering sind auf einem Niveau, das auf großen Expos selten zu finden ist.

FIRSTCON, die Jahreskonferenz des Forum of Incident Response and Security Teams, ist für CERTs und SOC-Lead-Rollen der relevanteste internationale Termin. Der Wechsel des Austragungsorts pro Jahr macht die Planung komplizierter, der Inhalt rechtfertigt es.

NULLCON in Goa, traditionell der asiatische Counterpart zu OffensiveCon, bleibt 2026 auf dem Radar als Frühjahrs-Termin mit starkem Forschungs-Fokus. Konkrete Reisebudgets dafür nur freigeben, wenn es im Team Researcher gibt, deren Arbeit dort Resonanz findet.

Event-Kalender 2026: Die verifizierten Termine

Quellen: RSA Conference, NürnbergMesse, Black Hat (Informa), DEF CON. Stand April 2026.

Konsequenz für die Budget-Planung

Die nüchterne Kalkulation für 2026: Zwei globale Pflichttermine pro CISO und Jahr (RSAC plus wahlweise Black Hat Europe oder DEF CON), dazu it-sa als DACH-Anker und eine spezialisierte Konferenz pro Kernthema (OffensiveCon, Troopers oder FIRSTCON). Das deckt Strategie, Beschaffung, Technik und Community-Anschluss ab – ohne das Budget an Messen zu verbrennen, deren Lerneffekt fragwürdig ist.

Wer Teammitglieder entsendet, briefed sie mit klaren Lernzielen pro Track und verlangt ein Kurzprotokoll. Drei Seiten reichen: welche Techniken neu, welche Vendor-Aussagen unabhängig verifizierbar, welche Kontakte relevant. Das diszipliniert die Auswahl und macht aus Konferenzreisen belegbare Fortbildung.

Ein zweiter Hebel: Teilnahmen rotieren. Wenn drei Teammitglieder abwechselnd zu RSAC fahren, statt immer dieselbe Person, steigt der Transfer ins Team. Konferenzwissen bleibt sonst bei einem einzelnen Kopf hängen und erreicht nie die operative Ebene. Wer zusätzlich interne Kurz-Debriefings von 30 Minuten pro Rückkehrer ansetzt, vervielfacht den Lerneffekt – ohne Zusatzkosten.

Dritter Hebel: Bewusste Abstinenz. Nicht jede Konferenz muss jedes Jahr besucht werden. Wer 2026 bei einer großen Messe pausiert und stattdessen zwei Teamkräfte zu OffensiveCon oder Troopers schickt, investiert das gleiche Budget mit deutlich höherem Lerneffekt. Die Annahme, man müsse „dabei gewesen sein“, ist in den meisten Fällen eine Gewohnheit, keine Entscheidung.

Virtuell, hybrid oder vor Ort – was 2026 funktioniert

Viele Veranstalter bieten 2026 Hybrid-Formate mit günstigeren Online-Tickets. Für reine Vortragsrezeption funktioniert das – Talks lassen sich oft auch Wochen später in der Mediathek ansehen, zu einem Bruchteil der Kosten. Was Online nicht ersetzt, ist der Flur-Austausch: die zufälligen Gespräche zwischen Sessions, die in einem SOC-Team oft mehr Wert haben als der gebuchte Track selbst.

Pragmatische Aufteilung: Senior-Rollen fahren vor Ort, wo Netzwerkpflege und Peer-Gespräche den Aufwand rechtfertigen. Junior-Rollen nutzen Online-Tickets gezielt für ausgewählte Tracks, ergänzt durch eigene Mediathek-Auswertung im Team. Diese Kombination schlägt in vielen Fällen das gewohnte „alle fahren“ ökonomisch klar.

Stand April 2026 ist ein Muster erkennbar: Konferenzen, die ihre Mediathek schnell und vollständig zur Verfügung stellen, signalisieren Vertrauen in ihre inhaltliche Stärke. Wer Zugang zu Vorträgen künstlich verknappt oder monatelang zurückhält, hat inhaltlich oft weniger zu bieten als die Vor-Ort-Werbung vermuten lässt.

Fazit für das laufende Jahr: Der Security-Konferenz-Markt differenziert sich 2026 stärker aus als in den Vorjahren. Wer klare Kriterien anlegt, klare Lernziele formuliert und Teilnahmen im Team rotiert, bekommt aus denselben Reisekosten deutlich mehr Substanz heraus. Der Rest ist Kalenderpflege.

Häufige Fragen

Wie bewertet man den ROI einer Security-Konferenz realistisch?

Ein belastbarer Ansatz setzt vor der Buchung konkrete Lernziele, dokumentiert nach der Konferenz die umgesetzten Erkenntnisse und vergleicht Aufwand (Ticket, Reise, Arbeitszeit) mit dem operativen Ergebnis im Team. Nicht jede Konferenz muss jedes Jahr einen messbaren Output liefern, aber ohne diese Disziplin verschwimmt die Grenze zwischen Weiterbildung und Kalenderpflege.

Woran erkennt man Substanz statt Marketing-Bühne?

Technische Tiefe im Programm, praktische Demos statt Keynote-Folien, und Speaker, die aus dem operativen Alltag kommen. Ein gutes Signal ist, wenn die Mediathek nach der Konferenz zeitnah und vollständig zugänglich ist. Wer Vorträge künstlich verknappt oder nur Executive-Panels zeigt, hat inhaltlich oft weniger zu bieten als die Außendarstellung suggeriert.

Wann lohnen sich kleinere, spezialisierte Formate?

Wenn ein konkretes Fachthema (Red Team, Cloud Security, OT) im Team auf- oder ausgebaut werden soll. OffensiveCon, Troopers oder vergleichbare Formate liefern dort mehr praktische Anknüpfungspunkte als eine Leitmesse mit breitem Programm. Die Zielgruppe ist enger, der Nutzen pro Teilnehmer in der Regel höher.

Was tun mit Vendor-Hallen, wenn man keine neue Lösung kauft?

Strukturierter Marktüberblick ist ein legitimer Zweck: Wer mit klaren Fragen durch die Halle geht (aktuelle Roadmap, Integrationstiefe, Support-Qualität), bekommt einen Stand der Technik, der für Ausschreibungen und Architektur-Entscheidungen relevant ist. Ohne Leitfragen wird die Vendor-Halle schnell zur Sammlung von Werbegeschenken.

Wie priorisiert man Reisebudget, wenn es knapp ist?

Senior-Rollen vor Ort, wo Peer-Austausch und Netzwerkpflege den Aufwand rechtfertigen. Junior-Rollen auf Online-Tickets gezielter Tracks, ergänzt durch gemeinsame Auswertung im Team. Große Messen im Rotationsprinzip besuchen, statt jedes Jahr flächendeckend. Diese Kombination gewinnt bei gleichem Budget häufig mehr Substanz als das gewohnte „alle fahren“.

Quelle Titelbild: Pexels / Luis Quintero (px:2833037)

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer