Was ist ein sicheres Passwort? – Teil 2: Verteidigung (1/2)
Im ersten Teil unserer Blogserie zum Thema Passwortsicherheit haben wir besprochen, wie Angreifer:innen Passwörter angreifen – sei es durch automatisiertes Raten (Brute-Force), Credential Stuffing oder den Zugriff auf geleakte Datenbanken. Zur Erinnerung: Alle Angriffe basieren letztlich auf Varianten des Durchprobierens. Besonders wichtig ist die Unterscheidung zwischen „Online-“ und „Offline“-Angriffen. Bei „Online“-Angriffen erfolgt der Angriff über das normale Login-Formular, bei „Offline“-Angriffen […]
weiterlesen …
NIS-2 konkret: Durchführungsverordnung und BSI-Grundschutz
Die nationale Gesetzgebung zur NIS-2-EU-Verordnung wurde wieder aufgenommen. Das ist eine gute Nachricht. Für bestimmte Diensteanbieter wurde von der EU eine Durchführungsverordnung erlassen und ein Anhang dazu veröffentlicht, der die grundlegenden Anforderungsbereiche aus der NIS-2-Verordnung konkretisiert. Wir haben uns – unabhängig von den genannten spezifischen Diensteanbietern – den Anhang der Durchführungsverordnung näher angeschaut. Denn die Branchen decken bereits ein recht […]
weiterlesen …
Die Bundeswehr hacken
Es kam für mich nie wirklich infrage, zur Bundeswehr zu gehen, dafür steht mir Grün zu schlecht, aber bei IT-Security-Expert:innen, deren Aufgabe es ist, Dinge kaputt zu machen, wecken die hohen Sicherheitsanforderungen militärischer Organisationen selbstverständlich ein sportliches Interesse. Im Rahmen der Vulnerability Disclosure Policy der Bundeswehr habe ich mich daher mit der Suche nach Schwachstellen in deren öffentlich erreichbaren Systemen […]
weiterlesen …
Zum 12.05.2025 veröffentlichten wir unser Advisory zu einer Privilege-Escalation-Schwachstelle in der „Agent“-Komponente von Automic Automation. Wir wurden von einem Kunden beauftragt, die verschiedenen Teile der Automic Integration unter die Lupe zu nehmen. Unter anderem konnten wir dabei eine Schwachstelle identifizieren, die darauf beruht, dass der Agent in einem privilegierten Modus ausgeführt wird und so zur Rechteausweitung verwendet werden kann, sofern […]
weiterlesen …
Software und Lebensmittel Software wird manchmal mit dem Begriff End-of-Life (EoL) gekennzeichnet. Übersetzt bedeutet das so viel wie „Die Software hat ihr Lebensende erreicht“. Was passiert denn nun ab diesem Zeitpunkt? Am besten kennen wir das Überschreiten eines Ablaufdatums vermutlich von Lebensmitteln. Dort gibt es das Mindesthaltbarkeitsdatum, und wie es der Name schon vermuten lässt, müssen Produkte mindestens bis zu […]
weiterlesen …