Die Post-Quanten-Migration ist keine Zukunftsaufgabe mehr – angesichts bereits finalisierter NIST-Standards, konvergierender CRQC-Prognosen auf 2030–2035 und der schon heute realen „Harvest Now, Decrypt Later“-Bedrohung zeigt Moscas Ungleichung unerbittlich: Jeder Tag ohne begonnene Migration schließt das Zeitfenster für eine geordnete Transition unwiderruflich weiter.
Warum Exploits wie Copy Fail oder Dirty Pipe gefährlich sind und wie SELinux Local Privilege Escalation effektiv begrenzt – praxisnah erklärt.
Vom Pentester zum Red Teamer: Was den Unterschied ausmacht – von OPSEC über Mindset bis zu Zertifizierungen. So bereiten wir neue Mitarbeitende gezielt vor.
Am 11. März 2026 löschte die iranisch-verlinkte Hacktivistengruppe Handala über Microsofts Intune-Wipe-Funktion nahezu 80.000 Geräte des Medizintechnik-Konzerns Stryker. Stryker meldete keine Hinweise auf Ransomware/Malware in der eigenen Umgebung. Der Angriff erfolgte durch den Missbrauch von cloud-basierten Diensten zur Administration der Endgeräte. Für die destruktive Phase war keine zusätzliche Malware auf den Endpoints nötig. Der Angriff missbrauchte legitime Intune‑Wipe‑Funktionen. Der initiale Angriffsweg, mit dem sich die Täter Zugang zur Cloud verschafften (Credential Theft), bleibt jedoch unklar. Der Fall illustriert ein strukturelles […]
Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) steht vor einer umfassenden Weiterentwicklung. Mit dem Grundschutz++ (GS++) löst das BSI die statische, dokumentenzentrierte Bereitstellung von Sicherheitsanforderungen im IT-Grundschutz-Kompendium ab und etabliert ein maschinenlesbares Regelwerk für die Ära der NIS-2-Richtlinie. Das BSI bildet das Regelwerk dabei in einem maschinenlesbaren digitalen Format (OSCAL/JSON) ab – ein Ansatz, der in der Fachwelt auch als „Compliance as Code“ oder „Rules as Code“ diskutiert wird (im Folgenden wird auf den Begriff „Compliance as […]
Oft steht in der IT die Frage im Raum, ob eine bestimmte Anwendung oder Hardware „sicher“ sei. Die kompetente Antwort enthält dabei fast immer das Stichwort „Threat Modelling“ und den Zusatz „es kommt darauf an“. Aber worauf eigentlich genau? Die kurze Antwort lautet, Sicherheit basiert immer auf Vertrauen. Denn eine noch so gute Anwendung bringt nichts, wenn die Angreifer die darunterliegenden Systeme kompromittiert haben. Insbesondere erfordert dies ein grundlegendes Vertrauen gegenüber den Herstellern und Lieferanten, dass diese nicht selbst die […]
Die OWASP Top 10:2025 zeigen den Wandel moderner Websicherheit: komplexe Abhängigkeiten, neue Risiken und der Bedarf an kontextsensitiver Analyse über den gesamten SDLC.
OpenClaw zeigt in realen Vorfällen die Risiken des MCP: exponierte KI‑Agenten, Prompt‑Injection, Token‑Exfiltration und kritische Fehlkonfigurationen.
Die auf schwarzem Samt gebettete Glaskugel ist das traditionelle Requisit für die professionelle Hellseherei, um den Blick in die Zukunft zu wagen. Die Korrektheit der Aussagen aus den Tiefen der Glaskugel dürfte wissenschaftlich schwer zu belegen sein – aber vielleicht geht es auch mehr um eine gefühlte Zukunft, wenn gegen Ende des Jahres auf Grundlage von Daten aus der Vergangenheit darüber spekuliert wird, was die Zukunft bringen könnte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht seinen Bericht zur […]
Viele Admins glauben, man kann Passwort-Richtlinien für einzelne Systeme per GPO setzen – ein gefährlicher Irrglaube! Hier möchten wir kurz für Klarheit sorgen.