Martin und Marc sprechen über vier Themen, die auf den ersten Blick nicht sauber zusammengehören und am Ende doch dieselbe unangenehme Wahrheit zeigen. Bei Mini Shai-Hulud reist der Schaden über Pakete, Pipelines, Signaturen und eine trojanisierte VS-Code-Erweiterung durch die Entwicklerwelt. Beim 7-Eleven-Fall reichen ein offener Aura-Endpunkt, zu viele Gastrechte und eine gut gespielte Support-Masche, um an Bewerberdaten und später an Erpressungsmaterial zu kommen.

Dazu kommen Project Glasswing und Mythos Preview, weil sie den Engpass von der Lückensuche in Richtung Patch- und Rollout-Kapazität verschieben, und Kali365, weil Device-Code-Phishing, KI-gestützte 2FA-Angriffe und ausgesperrte Admins dieselbe Vertrauensfrage auf einer anderen Ebene stellen. Die nüchterne Erkenntnis lautet: Das Risiko sitzt oft nicht im Kernprodukt, sondern im Prozess davor.

Mini Shai-Hulud - TanStack und StepSecurity

7-Eleven und Salesforce - BornCity und Help Net Security

Project Glasswing - Moselwal.de und Anthropic

Kali365 - BornCity und PlexTec

Besucht uns auf: zweifaktorgeplauder.de

Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwünsche, die wir in einer der nächsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de

In dieser Folge geht es um die unangenehme Wahrheit, dass moderne Softwareentwicklung Vertrauen wie ein Produktivitätsfeature behandelt und Angreifer genau dort investieren. Am Beispiel von Shai-Hulud schauen wir darauf, wie aus kompromittierten Maintainer-Konten, Installationslogik und gestohlenen Credentials sehr schnell ein Problem für Entwicklerteams, CI und Unternehmen wird.

Dazu kommen drei kleine Side News mit ziemlich unterschiedlichem Geschmack: SMS-Blaster als physische Fake-Nachrichtenfabrik, Googles Analyse des 3CX-Kompromisses als Supply-Chain-Mahnung mit Langzeitwirkung und Discords Schritt zu standardmaessiger Ende-zu-Ende-Verschluesselung fuer Anrufe.

Quellen: GitHub npm Security Plan

GitHub Shai-Hulud Follow-up

JFrog Vendor Research

heute.at SMS-Blaster

Google Cloud zu 3CX

heise zu Discord E2EE.

Besucht uns auf: zweifaktorgeplauder.de

Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de

Der BSI-Lagebericht 2025 liefert wieder genug Stoff für alle, die „wir sind eigentlich ganz gut aufgestellt“ gerne mit einem Patchstand von vorgestern sagen.

Wir gehen durch die Lage der IT-Sicherheit in Deutschland und sprechen über Ransomware, Phishing, Botnetze, offene Angriffsflächen und die alte Frage, warum Basics in der Praxis so oft wie Luxus behandelt werden.

Dabei verbinden wir technische Einordnung mit strategischem Blick: Was ist operatives Risiko, was ist Managementversagen und was ist schlicht zu lange liegen geblieben?

Am Ende bleibt ein klarer Realitätscheck: Der Lagebericht ist kein Dokument für die Schublade, sondern eine ziemlich direkte Aufforderung, Security endlich belastbar zu machen.

Die Lage der IT-Sicherheit in Deutschland 2025 -BSI

Besucht uns auf: zweifaktorgeplauder.de

Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de

Ein kaputter DNSSEC-Moment reicht, und plötzlich fühlt sich halb Deutschland an wie ein falsch gestecktes Netzwerkkabel: .de-Domains liefern SERVFAIL, Apps zicken, Mailprogramme zucken.

Wir nehmen die Vertrauenskette auseinander und schauen gemeinsam darauf, warum eine fehlerhafte Signatur nicht einfach „nur DNS“ ist, sondern Infrastruktur mit Dominoeffekt.

Dabei geht es um Abhängigkeiten, Krisenkommunikation, Resolver-Strategien und die Frage, warum Basisdienste oft erst auffallen, wenn sie brennen.

Außerdem sprechen wir über Microsoft Edge und Klartext-Passwörter im Speicher — Security-Theater vorne, offenes Fenster hinten.

Kurzer Ausfall, große Wirkung: .de-Domains offline -IT-Administrator.de

DNSSEC Failure in the .de Zone: Why bahn.de, spiegel.de and blackfort-tec.de Returned SERVFAIL -Blackfort-tec.de

DENIC mit DNS-Problem: Zahllose .de-Domains unerreichbar (Update) -Winfuture.de

DENIC behebt DNSSEC-Störung in der .de-Zone — eine kurze Erinnerung an die Vertrauenskette -Moselwal.de

.de-Domains stundenlang offline: DNSSEC-Panne legt Deutschland lahm -Borncity.com

Mittwoch: DNS-Probleme deutscher Domains, AMD-Wachstum dank Server und KI-GPUs -Heise.de

IT-Ausfall 05.05.2026: DNSSEC-GAU legt Deutschland lahm – Analyse -ESAGH-IT.de

Fehlerhafte Signatur: Viele .de-Domains durch DNSSEC-Panne lahmgelegt -Golem Security

DNS-Probleme: .de-Domains nicht erreichbar -Heise Security News

Cleartext Passwords in MS Edge -SANS ISC

Webbrowser: Klartext-Passwörter im Speicher von Microsoft Edge entdeckt -Golem Security

Microsoft Edge: Passwörter landen als Klartext im Speicher -Heise Security

Besucht uns auf: zweifaktorgeplauder.de

Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwünsche, die wir in einer der nächsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de

Marc stellt direkt klar: Bei Anthropic war kein Hacker-Genie am Werk, sondern jemand hat schlicht die Tür aufgelassen – unbefugter Zugriff ist eben kein Hollywood-Hack. Martin nutzt die Gelegenheit für einen strategischen Rundumschlag und erklärt, warum wir am Podcast schrauben, getreu dem Motto „Neu ist immer besser“. Wir räumen mit dem KI-Mythos auf und verraten euch, wie wir die Folgen in Zukunft noch praxisnaher gestalten wollen.

Mythos: Unbefugte sollen Zugriff auf Anthropics Super-KI haben -Golem Security

Besucht uns auf: zweifaktorgeplauder.de

Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de

Marc übernimmt heute das Steuer und schaut sich an, ob hinter dem Hype um Anthropics exklusives „Mythos“-Modell mehr steckt als nur geschickte künstliche Verknappung. Er analysiert die technischen Hürden für europäische Security-Teams und warum eure Codebase durch unbedachten KI-Einsatz vielleicht schon unsicherer ist, als jeder Pentest vermuten lässt.

Anthropic: KI-Sicherheitsmodell nur für die USA? -Heise Security News

EU regulators largely denied access to Anthropic Mythos -CSO Online

Anthropic’s Mythos signals a structural cybersecurity shift -CSO Online

KI-gestützte Cyberangriffe erreichen neue Dimensionen -IT Boltwise

Anthropic's mysterious Mythos AI threatens to upend the infosec world -The Register Security

Anthropic limits access to Mythos, its new cybersecurity AI model -Ars Technica Security

Claude Mythos: Lagebewertung für Security-Teams -Security Today

LLM-generated passwords are indefensible. Your codebase may already prove it -CSO Online

Anthropic's Claude Mythos Finds Thousands of Zero-Day Flaws Across Major Systems -The Hacker News

Mythos: Anthropics neues KI-Modell soll kein Hacker-Tool werden -Golem Security

Anthropics neues KI-Modell Mythos: Zu gefährlich für die Öffentlichkeit -Heise Security News

Besucht uns auf: zweifaktorgeplauder.de

Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de

Marc rauft sich die Haare über die Broken Access Control beim Ajax Amsterdam, während Martin analysiert, warum Hasbro nach dem Vorfall wohl vorerst wieder auf Brettspiele aus Pappe setzen muss. Wenn Hacker ihre Millionenbeute lieber in Pokémon-Karten statt in Krypto-Mixer stecken, weißt du, dass die IT-Welt endgültig im Realitätscheck-Modus angekommen ist. Wir klären außerdem, warum Wikipedia jetzt den Riegel vor KI-generierten Bot-Slop schiebt und warum das ein Segen für die Informationsqualität im Netz ist.

Wikipedia verbietet KI-generierte Artikel, KI darf nur noch unterstützen -Heise Security

Hasbro takes some systems offline after cybersecurity incident -The Record

Nach zwei Hacks in einem Monat: Kryptodieb kauft von Millionenbeute Pokémon-Karten -Golem Security

AFC Ajax drops ball as flaws let hackers play admin with tickets and bans -The Register Security

Wikipedia setzt klare Grenzen für KI-generierte Inhalte -IT Boltwise

Ajax football club hack exposed fan data, enabled ticket hijack -BleepingComputer

Besucht uns auf: zweifaktorgeplauder.de

Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de