Liebe Leserinnen und Leser,
das neue Jahr bringt neben Schnee und guten Vorsätzen auch wieder viele neue und Dauer-Themen aus der IT-Sicherheit. Erneut fand im Dezember der Chaos Communication Congress in Hamburg statt. Wie auch in der politischen Debatte bewegt die technische Welt das Thema digitale Souveränität.
In dieser Ausgabe erwarten Sie die folgenden Themen:
To sign or not so sign: Neues vom 39. Chaos Communication Congress
Marc-Uwe Kling und Linus Neumann rufen den Digital Independence Day #DID aus
ClickFix: das eigene System hacken
Wir wünschen einen erfolgreichen Start ins neue Jahr und viel Vergnügen beim Lesen!
Mit besten Grüßen
Abraham Söyler und Justus Tartz
To sign or not to sign
Zwischen Weihnachten und Neujahr fand erneut der Chaos Communication Congress statt. In der 39. Ausgabe ging es verstärkt um digitale Souveränität, ohne die klassischen Technikthemen zu vernachlässigen. Es wurden Schwachstellen in GPG-Signaturen aufgezeigt, die unter anderem über die klassischen Methoden der ANSI-Escape-Sequenzen funktionieren. Das bestätigt erneut, dass bei den gängigen Tools des GPG-Ökosystems die Usability auf der Strecke bleibt. Gerade für Signaturen bieten sich oft Alternativen wie bspw. SSH oder age an, auch wenn das eigene bunte Logo im GPG-Schlüssel hübsch aussieht.
Die Frage nach tragfähigen Vertrauensmodellen stellt sich nicht nur bei OpenPGP, sondern auch im Hardware‑Stack. Im Vortrag „Not To Be Trusted – A Fiasco in Android TEEs“ demonstrieren die Forschenden Code‑Execution in Xiaomis TEE. TEEs fungieren in Mobilgeräten wie Smartphones als isolierte, besonders geschützte Umgebung – ein Kernstück der Gerätesicherheit, ähnlich einer Smartcard.
Und weil Security auch Humor verträgt, gibt es im Podcast „Och Menno – IT und IT-Security-Uppsis“ von Sven Uckermann etwas zu lachen, in dem er Pleiten, Pech und Pannen der IT-Security vorstellt.
https://media.ccc.de/v/39c3-to-sign-or-not-to-sign-practical-vulnerabilities-i
https://media.ccc.de/v/39c3-not-to-be-trusted-a-fiasco-in-android-tees
https://media.ccc.de/v/39c3-och-menno-it-und-it-security-uppsis
Digital Independence Day #DID
Auch Teil des Kongresses waren wieder Marc-Uwe Kling und das Känguru, die zusammen mit Linus Neumann den Digital Independence Day oder DID (bzw. DUD im Deutschen) ausriefen. Ziel ist die Reduktion der eigenen, digitalen Abhängigkeit von großen Tech-Konzernen. Auch wenn sich der Aufruf in erster Linie an Privatpersonen richtet, kann die Gelegenheit ebenfalls durch Unternehmen genutzt werden, die eigene Abhängigkeit zu prüfen und zu hinterfragen.
https://media.ccc.de/v/39c3-die-kanguru-rebellion-digital-independence-day
Teams-Sicherheitsupdate bringt Methoden zur Überwachung an den Arbeitsplatz
Das Erzwingen von Sicherheitsfeatures ist eine gängige Methode, um den Nutzenden die Abwägung zwischen Sicherheit und Komfort abzunehmen. Dass man dabei aber auch über das Ziel hinausschießen kann, zeigt Microsoft mit den geplanten Updates im Januar.
So soll Teams automatisiert erkennen, an welchem Standort Mitarbeitende tätig sind. Auch wird es eine automatisierte Echtzeitprüfung von URLs geben, wie man sie von Deep Packet Inspections in IDS (Intrusion Detection Systemen) kennt. Deren Einführung kann aber teilweise erst mit Zustimmung bestimmter Gremien, z. B. eines Betriebsrates stattfinden. Unternehmen sollten frühzeitig und vor dem Roll-out prüfen, inwieweit diese Einschränkung bei ihnen zutrifft, wer zu beteiligen ist und die Einführung entsprechend planen.
https://www.microsoft.com/de-at/microsoft-365/roadmap?id=488800
ClickFix: das eigene System hacken
Social Engineering ist eine beliebte Methode, um in fremde Systeme zu gelangen. Dabei müssen Angreifende meist keine komplexen technischen Systeme oder Schutzmaßnahmen umgehen, sondern „hacken“ die menschliche Komponente. Eine Variante, ClickFix, konnte in den letzten Monaten vermehrt beobachtet werden. Dabei bringen Angreifende die User dazu, Schadsoftware selbst zu installieren. Oft geschieht das durch vermeintlich notwendige Sicherheitsupdates oder andere dringliche Aktivitäten, wie es beim Social Engineering üblich ist.
Diese Angriffe sind meist wenig komplex, zeigen aber auch, dass eine rein technische Sicht auf das Thema Sicherheit nicht immer zielführend ist. Um Social Engineering vorzubeugen, muss das eigene Personal in der Erkennung und Behandlung solcher Angriffe geübt sein – am besten mit praktischen Simulationen und begleitender Wissensvermittlung. Angreifende sind kreativ, seien Sie es auch!
https://cside.com/blog/ruthless-client-side-attacks-targeting-multiple-platforms-with-clickfix
18.02.2026 | Berlin
HiSolutions Know-how to go – Grundschutz++: Die Zukunft der Informationssicherheit verstehen
Die Informationssicherheit steht vor einem Paradigmenwechsel:
Mit Grundschutz++ präsentiert das BSI eine modernisierte Methodik, die den Weg für mehr Flexibilität und Automatisierung ebnet. In drei aufeinander abgestimmten Vorträgen beleuchten wir die radikale Neuausrichtung des IT-Grundschutzes, das digitale Regelwerk im OSCAL-Format und die neuen Blaupausen als Schlüsselinstrument für effiziente Sicherheitskonzepte.
Erleben Sie, wie sich Evolution in Revolution verwandelt – und welche Chancen sich für Ihr ISMS eröffnen.
Die Teilnahme an unserem Wissensfrühstück ist kostenfrei.
Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Februar 2026.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!
Auf Facebook teilen
Auf X teilen
Auf LinkedIn teilen
Auf Xing teilen
Link kopieren