Was ist ein sicheres Passwort? – Teil 2: Verteidigung (2/2)
Im ersten Abschnitt des zweiten Teils (Teil 2: 1/2) dieser Blogserie haben wir gezeigt, was Betreiber:innen tun können, um Konten gegen Angriffe abzusichern – von der Erkennung verdächtiger Loginversuche bis zur sicheren Speicherung von Passwörtern. Doch auch als Nutzer:in haben Sie es in der Hand, Ihre Konten bestmöglich zu schützen. In diesem Beitrag erfahren Sie, wie Sie ein sicheres Passwort […]
weiterlesen …
Was ist ein sicheres Passwort? – Teil 2: Verteidigung (1/2)
Im ersten Teil unserer Blogserie zum Thema Passwortsicherheit haben wir besprochen, wie Angreifer:innen Passwörter angreifen – sei es durch automatisiertes Raten (Brute-Force), Credential Stuffing oder den Zugriff auf geleakte Datenbanken. Zur Erinnerung: Alle Angriffe basieren letztlich auf Varianten des Durchprobierens. Besonders wichtig ist die Unterscheidung zwischen „Online-“ und „Offline“-Angriffen. Bei „Online“-Angriffen erfolgt der Angriff über das normale Login-Formular, bei „Offline“-Angriffen […]
weiterlesen …
NIS-2 konkret: Durchführungsverordnung und BSI-Grundschutz
Die nationale Gesetzgebung zur NIS-2-EU-Verordnung wurde wieder aufgenommen. Das ist eine gute Nachricht. Für bestimmte Diensteanbieter wurde von der EU eine Durchführungsverordnung erlassen und ein Anhang dazu veröffentlicht, der die grundlegenden Anforderungsbereiche aus der NIS-2-Verordnung konkretisiert. Wir haben uns – unabhängig von den genannten spezifischen Diensteanbietern – den Anhang der Durchführungsverordnung näher angeschaut. Denn die Branchen decken bereits ein recht […]
weiterlesen …
Die Bundeswehr hacken
Es kam für mich nie wirklich infrage, zur Bundeswehr zu gehen, dafür steht mir Grün zu schlecht, aber bei IT-Security-Expert:innen, deren Aufgabe es ist, Dinge kaputt zu machen, wecken die hohen Sicherheitsanforderungen militärischer Organisationen selbstverständlich ein sportliches Interesse. Im Rahmen der Vulnerability Disclosure Policy der Bundeswehr habe ich mich daher mit der Suche nach Schwachstellen in deren öffentlich erreichbaren Systemen […]
weiterlesen …
Zum 12.05.2025 veröffentlichten wir unser Advisory zu einer Privilege-Escalation-Schwachstelle in der „Agent“-Komponente von Automic Automation. Wir wurden von einem Kunden beauftragt, die verschiedenen Teile der Automic Integration unter die Lupe zu nehmen. Unter anderem konnten wir dabei eine Schwachstelle identifizieren, die darauf beruht, dass der Agent in einem privilegierten Modus ausgeführt wird und so zur Rechteausweitung verwendet werden kann, sofern […]
weiterlesen …