Passwort - der Podcast von heise security

Nach den ausschweifenden Jubiläumsfeiern finden Sylvester und Christopher zurück zum gewohnten Rhythmus. Zunächst schauen sie auf ein System zur Geräteverwaltung (MDM), das in den letzten Wochen bei verschiedenen europäischen Regierungen angegriffen wurde - der Hersteller war bereits mehrfach Thema im Podcast. Dann geht's allerdings weiter mit einem kurzen Abriß zu OpenClaw, dem gehypten KI-Assistenten, und seinen vielen Unsicherheiten. Sylvester kann dem Helferlein eine gewisse Faszination abgewinnen, warnt jedoch vor seinem unreflektierten Einsatz. Und Christopher erzählt, wie das Bundesamt für Sicherheit in der Informationstechnik die Verschlüsselung in Deutschland quantensicher machen will und dazu seine Richtlinien modernisiert. Betrachtungen zu unabsichtlichen Kommandos bei der Softwareentwicklung und zu Problemen verschiedener Texteditoren runden die Folge ab und entlassen Sylvester in den wohlverdienten Urlaub.

Leider gibt es auf der Tonspur in dieser Folge einen leichten Hall von Christophers Stimme. Wir bitten das zu entschuldigen.

In der Bonusfolge zum fünfzigsten Jubiläum geht es zunächst um Certificate Transparency. Die ist mittlerweile ein wichtiger Bestandteil der weltweiten PKI und jede Änderung kann unerwartete Folgen haben. Christopher erzählt dann kurz, was Cyberkriminelle jetzt tun, um resilienter gegen Strafverfolger zu werden: Blockchain ist das Stichwort der Stunde für ALPHV und Co. Und Sylvester berichtet, wie KI-generierte Sicherheitsmeldungen das Ende der "Bug-Bounty"-Programme bei cURL und womöglich anderen Opensource-Projekten einläuten. Um die einstündige Zusatzfolge abzurunden, gibt es auch noch eine Meinung zur neuen Sicherheitslücke in einem uralten Protokoll.

Rundes Jubiläum beim Podcast! Anlässlich der fünfzigsten regulären Folge besprechen Sylvester und Christopher viel Hörerfeedback, über das sie sich besonders freuen. Sie haben auch viele Themen für die Newsfolge mitgebracht - so viele, dass Sylvester nach zwei Stunden die Reißleine zieht und eine Bonusfolge einläutet. Neben einer neuen RCE-Lücke in n8n gibt es eine Einschätzung zu Bitlocker-Wiederherstellschlüsseln in der Cloud, ungläubiges Kopfschütteln angesichts eines vibecoded PR-Stunts von Cloudflare, eine neue Bluetooth-Lücke und einen witzigen Weg, Anthropics LLMs aus dem Tritt zu bringen.

Die erste Folge, die Christopher und Sylvester im neuen Jahr aufzeichnen. Seit der letzten regulären Podcast-Episode hat sich einiges an aktuellen Problemen und Lücken angesammelt. Befreit von den harten Zeitvorgaben eines externen Sendezentrums schlagen die Hosts etwas über die Stränge und reden gute 2,5 Stunden: Es geht um ein seltsam unbenutzbares Portal des BSI, schwierig abzuwehrende Angriffe auf Signal & Co, den wenig erbaulichen Zustand von PKIs zum Code- Signing, diverse Lücken und Probleme in GnuPG und dem PGP- Kryptografiesystem insgesamt, einen geschickten Angriff auf das Automatisierungstool n8n – sowie einige kleinere Themen, auf die Christopher und Sylvester spontan eingehen. Ziemlich viel auf einmal, aber immerhin in mundgerechte Häppchen unterteilt.

- ACME-DNS: https://github.com/joohoi/acme-dns
- WhatsApp-Scraping-Paper: https://arxiv.org/abs/2511.20252
- Messengernutzer-Tracking-Paperhttps://arxiv.org/abs/2411.11194)
- Zum Ausprobieren: Whatsapp Device Activity Tracker: https://github.com/gommzystudio/device-activity-tracker
- GnuPG-Artikel: https://www.heise.de/hintergrund/Kritik-an-GnuPG-und-seinem-Umgang-mit-gemeldeten-Luecken-11132888.html
- GnuPG-Talk: https://media.ccc.de/v/39c3-to-sign-or-not-to-sign-practical-vulnerabilities-i
- LIEF - Library to Instrument Executable Formats: https://lief.re/
- PoC zum n8n-RCE: https://github.com/Chocapikk/CVE-2026-21858
- 39C3-Vortrag von Christopher und Sylvester: https://media.ccc.de/v/39c3-apt-down-and-the-mystery-of-the-burning-data-centers

Der Podcast gastiert auf dem 39. Chaos Communication Congress und hat drei illustre Gäste geladen. Linus Neumann, CCC-Sprecher, erzählt vom Digital Independence Day und wie es (hoffentlich) Mode werden könnte, sich Stück für Stück aus den Klauen der Internetgiganten zu lösen. Bianca Kastl berichtet von alten und neuen Sicherheitsproblemen der elektronischen Patientenakte ePA, wie es so weit kommen konnte und ob wenigstens Besserung in Sicht ist. Florian Adamsky erklärt die Sicherheitslücke Rowhammer und wie praktikabel Angriffe über diese Lücke sind – denn dazu hat er mit Kollegen im vergangenen Jahr das Experiment FlippyR.AM gestartet.

- Video vom Podcast: https://media.ccc.de/v/ec0a3724-5021-59d5-b32e-f5005b2cff99
- Digital Independence Day: https://di.day/
- FlippyR.AM: https://flippyr.am
- Folgt uns im Fediverse:
- @[email protected]
- @[email protected]

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort