Monat: März 2026

11. März 202611. März 2026Risikomanagement

Vertrauen im digitalen Zeitalter

Oft steht in der IT die Frage im Raum, ob eine bestimmte Anwendung oder Hardware „sicher“ sei. Die kompetente Antwort enthält dabei fast immer das Stichwort „Threat Modelling“ und den Zusatz „es kommt darauf an“. Aber worauf eigentlich genau?

Die kurze Antwort lautet, Sicherheit basiert immer auf Vertrauen. Denn eine noch so gute Anwendung bringt nichts, wenn die Angreifer die darunterliegenden Systeme kompromittiert haben. Insbesondere erfordert dies ein grundlegendes Vertrauen gegenüber den Herstellern und Lieferanten, dass diese nicht selbst die eigentliche Bedrohung darstellen. Seriöse Hersteller heben sich dadurch ab, dass sie klare Sicherheitsgarantien aussprechen. Sie definieren transparent, unter welchen Bedingungen und Annahmen ihre Schutzversprechen gelten. Eine eigene Überprüfung ist bei proprietären Anwendungen meist schwierig. Aber auch die Verfügbarkeit von Quellcode ist noch lange kein Garant für seine Prüfung. Und selbst wenn: Wer garantiert uns am Ende, dass die ausführbare Datei wirklich exakt aus diesem Code kompiliert wurde?

Mit diesem Hintergrund lesen sich die derzeitigen Diskussionen über Altersverifikation im Netz mit einem deutlich differenzierten Blick. Um hochsensible Daten wie den eigenen Personalausweis hochzuladen, muss das Vertrauen in eine Plattform enorm groß sein. Wie das in der Praxis bei LinkedIn abläuft, veranschaulicht der Privacy-Blogger Rogi in seinem Blog: Dahinter steht ein externes Datenverarbeitungsunternehmen mit undurchsichtigen rechtlichen Dokumenten und enormen sensiblen Datenmengen. Besonders die erfasste Verhaltensbiometrie ist dabei ein hochspannendes Thema!

Wie im analogen Leben weist auch hier die altbekannte Weisheit „Vertrauen ist gut, Kontrolle ist besser“ einen schönen Lösungsweg: Trauen Sie sich zu hinterfragen, ob ein Dienst oder eine Webseite wirklich die angefragten Daten benötigt, und zu welchen Zwecken diese Daten möglicherweise sonst noch verwendet werden.

https://thelocalstack.eu/posts/linkedin-identity-verification-privacy

11. März 202611. März 2026News

Weitere News im März

Threat Modeling mit Mobile und staatlichen Akteuren

In aktuellen Berichten ist immer wieder von „staatlichen Akteuren“ die Rede. Aus reiner IT-Security-Perspektive ist dabei oft gar nicht so entscheidend, welcher Staat dahintersteckt. Viel relevanter sind die massiven Ressourcen, auf die diese Angreifer zurückgreifen können. Bei einer fundierten Risikoanalyse geht man bei staatlichen Akteuren nämlich schlichtweg davon aus, dass diese über nahezu unbegrenzte finanzielle und technische Mittel verfügen.

Wie so etwas in der Praxis aussieht, können wir an einigen aktuellen Berichten gut nachvollziehen, z. B. als Cellebrite gegen den kenianischen Bürgerrechtler Boniface Mwangi eingesetzt wurde (https://citizenlab.ca/research/cellebrite-used-on-kenyan-activist-and-politician-boniface-mwangi/). Besonders interessant, wenngleich auch sehr technisch, waren die Artikel zum gefunden iOS Exploit Kit Coruna (https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit/?hl=en, https://iverify.io/blog/coruna-inside-the-nation-state-grade-ios-exploit-kit-we-ve-been-tracking). Key-Take-away dabei: unter iOS den Lockdown Mode (im Deutschen: Blockierungsmodus) aktivieren! (https://gizmodo.com/feds-used-online-advertising-data-to-track-the-publics-phone-locations-2000729129) Und die US-Grenzbehörde CBP zeigt, warum ein Ad-Blocker zur Grundausstattung jeder IT-Sicherheit gehört (https://this.weekinsecurity.com/why-ad-blockers-are-a-top-security-and-privacy-defense-for-everyone/).

Was Ihre Bluetooth-Geräte über Sie verraten

Bei der Einschätzung des eigenen Risikoprofils spielt nicht nur das Thema Vertrauen eine Rolle. Ein oft unterschätzter Faktor sind unsere alltäglichen Begleiter: Was ein schlichtweg eingeschaltetes Bluetooth-Gerät unbemerkt an Metadaten in die Welt weitergibt, und wie leicht Dritte diese Informationen nutzen können, zeigt das Projekt Bluehood eindrucksvoll.

Das Tool stellt dabei lediglich eine technische Demonstration dar, viel relevanter sind die grundlegenden Mechanismen kleiner technischer Funktionalität und ihrer sozio-technischen Folgen.

https://blog.dmcc.io/journal/2026-bluetooth-privacy-bluehood

Zero-Days in Enterprise-Software

Wer die InfoSec-Bubble verfolgt, weiß es längst: Das Label „Enterprise Grade“ ist kein Garant für Sicherheit. Ein aktueller Zero-Day-Review liefert dafür nun die passenden Zahlen. Wichtig ist dabei jedoch der Kontext: Solche Anwendungen sind für Hacker ein absoluter Jackpot, da sich mit einem einzigen Exploit potenziell tausende Unternehmen gleichzeitig angreifen lassen. Fazit: Ein spannender Report!

https://cloud.google.com/blog/topics/threat-intelligence/2025-zero-day-review?hl=en