Martin und Marc sprechen über vier Themen, die auf den ersten Blick nicht sauber zusammengehören und am Ende doch dieselbe unangenehme Wahrheit zeigen. Bei Mini Shai-Hulud reist der Schaden über Pakete, Pipelines, Signaturen und eine trojanisierte VS-Code-Erweiterung durch die Entwicklerwelt. Beim 7-Eleven-Fall reichen ein offener Aura-Endpunkt, zu viele Gastrechte und eine gut gespielte Support-Masche, um an Bewerberdaten und später an Erpressungsmaterial zu kommen.

Dazu kommen Project Glasswing und Mythos Preview, weil sie den Engpass von der Lückensuche in Richtung Patch- und Rollout-Kapazität verschieben, und Kali365, weil Device-Code-Phishing, KI-gestützte 2FA-Angriffe und ausgesperrte Admins dieselbe Vertrauensfrage auf einer anderen Ebene stellen. Die nüchterne Erkenntnis lautet: Das Risiko sitzt oft nicht im Kernprodukt, sondern im Prozess davor.

Mini Shai-Hulud - TanStack und StepSecurity

7-Eleven und Salesforce - BornCity und Help Net Security

Project Glasswing - Moselwal.de und Anthropic

Kali365 - BornCity und PlexTec

Besucht uns auf: zweifaktorgeplauder.de

Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwünsche, die wir in einer der nächsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de

In dieser Folge geht es um die unangenehme Wahrheit, dass moderne Softwareentwicklung Vertrauen wie ein Produktivitätsfeature behandelt und Angreifer genau dort investieren. Am Beispiel von Shai-Hulud schauen wir darauf, wie aus kompromittierten Maintainer-Konten, Installationslogik und gestohlenen Credentials sehr schnell ein Problem für Entwicklerteams, CI und Unternehmen wird.

Dazu kommen drei kleine Side News mit ziemlich unterschiedlichem Geschmack: SMS-Blaster als physische Fake-Nachrichtenfabrik, Googles Analyse des 3CX-Kompromisses als Supply-Chain-Mahnung mit Langzeitwirkung und Discords Schritt zu standardmaessiger Ende-zu-Ende-Verschluesselung fuer Anrufe.

Quellen: GitHub npm Security Plan

GitHub Shai-Hulud Follow-up

JFrog Vendor Research

heute.at SMS-Blaster

Google Cloud zu 3CX

heise zu Discord E2EE.

Besucht uns auf: zweifaktorgeplauder.de

Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de

Der BSI-Lagebericht 2025 liefert wieder genug Stoff für alle, die „wir sind eigentlich ganz gut aufgestellt“ gerne mit einem Patchstand von vorgestern sagen.

Wir gehen durch die Lage der IT-Sicherheit in Deutschland und sprechen über Ransomware, Phishing, Botnetze, offene Angriffsflächen und die alte Frage, warum Basics in der Praxis so oft wie Luxus behandelt werden.

Dabei verbinden wir technische Einordnung mit strategischem Blick: Was ist operatives Risiko, was ist Managementversagen und was ist schlicht zu lange liegen geblieben?

Am Ende bleibt ein klarer Realitätscheck: Der Lagebericht ist kein Dokument für die Schublade, sondern eine ziemlich direkte Aufforderung, Security endlich belastbar zu machen.

Die Lage der IT-Sicherheit in Deutschland 2025 -BSI

Besucht uns auf: zweifaktorgeplauder.de

Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de