Die diesjährige Hacking-Timeline ist verrückt

 (ringmast4r.substack.com)
5 Punkte von GN⁺ 15 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • In den rund 100 Tagen zu Beginn des Jahres 2026 kam es in kurzer Folge zu großangelegten Cyberangriffen unter Beteiligung staatlicher und krimineller Akteure, die als Ereignisse von einer Größenordnung gelten, die als Wendepunkt in der Geschichte der Computersicherheit bewertet werden könnte
  • Die Angriffe lassen sich in vier Cluster einteilen: Iran, SLH, Nordkorea und Russland; allen gemeinsam ist die Ausnutzung von Lieferketten und Vertrauensbeziehungen
  • Zu den wichtigsten Schäden zählen das Löschen von 200.000 Systemen bei Stryker, die behauptete Exfiltration von 375 TB bei Lockheed Martin, die Offenlegung der E-Mails des FBI-Direktors, die Infektion von Axios npm sowie Kompromittierungen bei Oracle, Cisco, Rockstar und Mercor
  • KI-Technologien werden zur Automatisierung von Angriffen eingesetzt; neue Bedrohungsmuster zeigen sich etwa in 1.265 % mehr KI-generiertem Phishing, 442 % mehr Voice-Phishing und KI-Deepfake-Finanzbetrug
  • Regierung und Industrie reagieren hinter verschlossenen Türen, doch das Schweigen im öffentlichen Diskurs und die Informationsasymmetrie stechen hervor, weshalb diese 100 Tage als eine der folgenreichsten Phasen der Cybergeschichte bewertet werden

Überblick über die großen Cybervorfälle in den ersten 100 Tagen des Jahres 2026

  • In den ersten vier Monaten 2026 kam es in kurzer Folge zu großen Cyberangriffen unter Beteiligung staatlicher und krimineller Akteure aus China, Iran, Nordkorea und Russland
    • Dazu zählen der Abfluss von 10 Petabyte aus einem chinesischen staatlichen Supercomputer, die vollständige Lähmung von Stryker in 79 Ländern, die behauptete Exfiltration von 375 TB bei Lockheed Martin, die Offenlegung der privaten E-Mails des FBI-Direktors, ein Eindringen in das FBI-Abhörnetz sowie Schäden bei zahlreichen Unternehmen wie Rockstar Games, Cisco, Oracle und Mercor
  • Diese Vorfälle über einen Zeitraum von rund 100 Tagen haben hohe Wahrscheinlichkeit, als Wendepunkt in der Geschichte der Computersicherheit verzeichnet zu werden
  • Dennoch gibt es kaum öffentliche Debatten; auffällig ist die Diskrepanz zwischen nichtöffentlichen Reaktionen von Regierung und Industrie und dem Schweigen des öffentlichen Diskurses

Vier große Angriffs-Cluster

  • Die Angriffe des Jahres 2026 lassen sich in vier Cluster einteilen: Iran, SLH, Nordkorea und Russland; allen gemeinsam ist die Ausnutzung von Lieferketten und Vertrauensbeziehungen

  • Cluster 1: Iran / Handala / Void Manticore

    • Destruktive staatlich gesteuerte Operationen; Palo Alto Networks Unit 42 identifiziert Void Manticore als einen mit dem iranischen Geheimdienstministerium (MOIS) verbundenen Akteur
    • Unter dem Namen Handala Hack Team wurden Angriffe auf US-Industrie-, Verteidigungs- und Regierungsstellen durchgeführt; als Vergeltung für den Bombenangriff auf die Schule in Minab im Februar 2026 (175 Tote) beansprucht
    • Schäden: Stryker (Löschung von 200.000 Geräten), Lockheed Martin (behauptete Exfiltration von 375 TB, Veröffentlichung persönlicher Daten von 28 Ingenieuren), Offenlegung der privaten E-Mails des FBI-Direktors

  • Cluster 2: Scattered LAPSUS$ Hunters (SLH)

    • Finanziell motivierte Gruppe für großangelegten SaaS-Diebstahl und Erpressung, entstanden im August 2025 aus der Verbindung von ShinyHunters, Scattered Spider und LAPSUS$
    • In der Salesforce-Kampagne wurden 300 bis 400 Organisationen und 1,5 Milliarden Salesforce-Datensätze exfiltriert; betroffene Unternehmen waren unter anderem Google, Cisco, LVMH, Okta, AMD und Snowflake
    • Die Angriffsmethode entwickelte sich von OAuth-Token-Diebstahl zu telefonbasierter Manipulation von MFA; Voice-Phishing gilt als wichtigster Auslöser von Unternehmenskompromittierungen im Jahr 2026

  • Cluster 3: Nordkorea / UNC1069

    • Finanziell motivierte Angriffe mit Schwerpunkt auf der Kompromittierung von Open-Source-Lieferketten, exemplarisch der Vorfall rund um das Axios-npm-Paket
    • Die Angreifer bauten Fake-Firmen sowie Slack- und Teams-Umgebungen auf, gewannen so das Vertrauen von Maintainern und übernahmen danach npm-Konten; in Bibliotheken mit 100 Millionen Downloads pro Woche wurde ein RAT eingeschleust
    • Auch der Trivy-Lieferkettenangriff bei Cisco folgte einem ähnlichen vertrauensbasierten Kompromittierungsmuster

  • Cluster 4: Russland / APT28

    • Zero-Day-Angriffe gegen die Ukraine und die EU unter Ausnutzung einer Microsoft-Office-Schwachstelle (CVE-2026-21509)
    • Angegriffen wurden über 60 europäische E-Mail-Konten sowie ukrainische Regierungsbehörden; kennzeichnend sind die Ausnutzung von Vertrauensbeziehungen und die schnelle Weaponization
    • Alle vier Cluster nutzen die Realität aus, dass die Verteidigungsgrenze westlicher Unternehmen durch Vertrauen in Lieferketten ersetzt wurde
    • Iran verfolgt Zerstörung, SLH finanziellen Diebstahl, Nordkorea die Infektion von Entwicklern und Russland Informationsgewinnung

Details zu den wichtigsten Vorfällen

  • Stryker: Echtzeit-Wiper-Angriff auf einen globalen Medizintechnikkonzern

    • Am 11. März 2026 wurde die Stryker Corporation weltweit lahmgelegt
    • Die Angreifer übernahmen Windows-Domain-Admin-Konten, erzeugten in Microsoft Entra und Intune globale Administratoren und führten Remote-Reset-Befehle aus, wodurch 200.000 Systeme gelöscht wurden
    • Es kam zu Verzögerungen in der Patientenversorgung, etwa durch verschobene Operationen; Handala bekannte sich zum Angriff
    • Das FBI beschlagnahmte vier Handala-Domains und setzte eine Belohnung von 10 Millionen Dollar aus; Handala reagierte mit einer Gegenbelohnung von 50 Millionen Dollar auf Trump und Netanjahu

  • Lockheed Martin: Behauptete 375-TB-Exfiltration und Veröffentlichung persönlicher Daten von 28 Ingenieuren

    • Unter dem Namen „APT Iran“ wurde der Diebstahl von 375 TB Daten und deren Verkauf im Dark Web (400 → 598 Millionen Dollar) behauptet; darunter angeblich F-35-bezogene Konstruktionsunterlagen, jedoch ohne verifizierte Belege
    • Handala veröffentlichte persönliche Daten und Drohungen gegen 28 Ingenieure der Programme F-35, F-22 und THAAD; bewertet als Fall von staatlich gesteuertem Doxxing

  • Offenlegung der privaten E-Mails des FBI-Direktors

    • Am 27. März 2026 veröffentlichte Handala aus dem privaten Gmail-Konto des FBI-Direktors Kash Patel über 300 E-Mails, Fotos und Lebensläufe
    • Es handelte sich um einen Credential-Stuffing-Angriff auf Basis von Passwortwiederverwendung; die technische Komplexität war gering
    • Die Vergeltungsveröffentlichung erfolgte acht Tage nach der Beschlagnahmung von FBI-Domains und war eine symbolische Demonstration nach dem Motto: „Wir können die E-Mails des FBI-Direktors lesen“

  • Eindringen in das FBI-Abhörnetz

    • Anomalien wurden am 17. Februar 2026 erkannt; am 23. März wurde der Vorfall rechtlich als „major incident“ eingestuft
    • Die Angreifer nutzten kommerzielle ISP-Infrastruktur, um FBI-Sicherheitskontrollen zu umgehen, und erlangten Zugriff auf interne Abhör- und Überwachungsnetze
    • Als Einbruch über ausgenutzte Lieferketten- und Vertrauensbeziehungen wird der Vorfall als deutlich schwerwiegender bewertet als der Angriff auf Patels privates E-Mail-Konto

Beispiele für Kompromittierungen globaler Unternehmen und Infrastrukturen

  • Übernahme des Axios-npm-Kontos

    • Am 31. März 2026 wurden nach der Übernahme des npm-Kontos der Axios-Bibliothek die schädlichen Versionen 1.14.1 und 0.30.4 veröffentlicht
    • Für etwa zwei bis drei Stunden war ein Paket mit rund 100 Millionen Downloads infiziert, wodurch in allen CI-Pipelines ein RAT installiert wurde
    • Die Google Threat Intelligence Group machte Nordkoreas UNC1069 öffentlich verantwortlich
    • Die Infiltration beruhte auf Social Engineering wie Gründung von Fake-Firmen und Manipulation von Slack- und Teams-Kollaborationsumgebungen und wurde als raffiniertester npm-Angriff seit der XZ-Utils-Backdoor bewertet

  • Cisco: Trivy-Lieferkettenangriff und Exfiltration von Salesforce-Daten

    • Im März 2026 wurde durch einen Trivy-Lieferkettenangriff die interne Entwicklungsumgebung von Cisco kompromittiert; 300 GitHub-Repositories wurden geklont
    • ShinyHunters behauptete die Exfiltration von 3 Millionen Salesforce-Datensätzen und stellte finanzielle Forderungen
    • Cisco räumte Teile des Vorfalls ein; sichtbar wurde, dass selbst sicherheitsreife Unternehmen sowohl in der Lieferkette als auch bei SaaS verwundbar sind

  • Mercor: Ein einzelner Schwachpunkt in der zentralen Datenpipeline der KI-Industrie

    • Startup, das die Trainingsdatenpipelines von OpenAI, Anthropic, Meta und anderen führenden KI-Laboren betreut

      • Im März 2026 wurden durch eine Infektion der LiteLLM-Bibliothek Zugangsdaten entwendet und KI-Trainingsdaten sowie Labeling-Protokolle exfiltriert
      • Lapsus$ bekannte sich zu einem Folgeeinbruch und veröffentlichte 4 TB Daten, darunter interne Slack-Dumps, API-Keys und Videoaufnahmen von Gesprächen mit KI-Contractors
      • Meta beendete den Vertrag mit Mercor, wodurch die Abhängigkeit der KI-Industrie von wenigen Startups und Open Source hervorgehoben wurde

  • Oracle Cloud: 6 Millionen Datensätze und das Problem der „Legacy Cloud“

    • Am 21. März 2026 behauptete der Hacker „rose87168“, 6 Millionen Datensätze aus Oracle Cloud zu verkaufen

    • Über eine Schwachstelle in CVE-2021-35587 wurde Oracle Access Manager kompromittiert, betroffen waren 140.000 Tenants

      • Oracle dementierte zunächst, räumte später aber Zugriff auf Legacy-Umgebungen ein; Berichte sprechen von offengelegten Daten aus bis zu 80 Krankenhäusern
      • Das Risiko nicht stillgelegter Altinfrastruktur (Shadow Legacy) trat deutlich hervor

  • Rockstar Games: Eindringen über SaaS-Integration

    • Anfang April 2026 behauptete ShinyHunters einen Einbruch bei Rockstar Games; Rockstar bestätigte eine Kompromittierung des SaaS-Anbieters Anodot
    • Die Angreifer stahlen Anodot-Authentifizierungstoken und griffen danach auf eine Snowflake-Instanz zu, was die Verwundbarkeit der Vertrauenskette zwischen SaaS und Data Warehouse offenlegte

  • Ausfall europäischer Flugsysteme

    • Am 6. April 2026 kam es an Flughäfen wie Heathrow, Charles-de-Gaulle, Frankfurt und Kopenhagen zum gleichzeitigen Ausfall von Check-in- und Gepäcksystemen
    • An einem Tag wurden mehr als 1.600 Flüge gestrichen oder verspätet, als Ursache galt die MUSE-Plattform von Collins Aerospace
    • Die EASA meldete für 2024 bis 2025 einen Anstieg von 600 % bei Cyberangriffen auf die Luftfahrt, auf etwa 1.000 Vorfälle pro Monat

  • Hack des chinesischen NSCC

    • Der Hacker FlamingChina behauptete, aus dem National Supercomputing Center in Tianjin (NSCC) in China 10 Petabyte Daten exfiltriert zu haben
    • Darunter seien Simulationsdateien aus Luftfahrt und Verteidigung sowie Material der National University of Defense Technology; westliche Medien wie CNN berichteten darüber
    • Nach der Kompromittierung einer VPN-Domain seien Daten über sechs Monate verdeckt exfiltriert worden; die chinesische Regierung äußerte sich nicht offiziell

  • Volt Typhoon und Salt Typhoon

    • Volt Typhoon drang seit 2021 in kritische US-Infrastrukturen ein; Salt Typhoon kompromittierte 2024 bis 2025 US-Telekommunikationsunternehmen und Abhörsysteme
    • Die Vorfälle von 2026 werden als sichtbare Phänomene auf Basis dieser langfristigen Infiltrationen interpretiert

  • Honda: Kumulation mehrerer Kompromittierungen

    • Mehrere Vorfälle wie eine API-Schwachstelle in der E-Commerce-Plattform, eine Schwäche im Passwort-Reset-Prozess und ein PLAY-Ransomware-Befall
    • Jeder einzelne Schaden war begrenzt, insgesamt zeigt der Fall aber das Ungleichgewicht zwischen Sicherheitsreife und Angriffsfläche großer Unternehmen

Auffälligkeiten rund um KI und Reaktionen der Regierung

  • Starker Anstieg KI-gestützter Angriffe

    • In KI-bezogenen Daten für 2025 bis 2026 wurden zugleich Automatisierung von Angriffen und ein sprunghafter Anstieg der Bedrohungslage beobachtet
    • KI-generierte Phishing-E-Mails nahmen um 1.265 % zu, 82,6 % des gesamten Phishings waren KI-generiert
    • In der Ferienzeit sprang der Anteil KI-generierter Inhalte von 4 % auf 56 %; Voice-Phishing stieg um 442 %, QR-Phishing um 400 %
    • KI kann in fünf Minuten Spear-Phishing-Mails verfassen; mit einer Klickrate von 54 % erzielen sie mehr als das Vierfache menschlich geschriebener Mails (12 %)

  • Einsatz von KI durch Nordkorea

    • Microsoft erklärte ausdrücklich, dass die beiden nordkoreanischen Akteure Jasper Sleet und Coral Sleet KI von der Aufklärung bis zu Post-Exploitation-Aktivitäten einsetzen
    • Die Gruppe Kimsuky fälschte mit ChatGPT Ausweise des südkoreanischen Militärs und der Regierung
    • Das US-Finanzministerium sanktionierte Netzwerke nordkoreanischer IT-Kräfte, die sich mit KI-generierten Lebensläufen und Interviewantworten als Beschäftigte tarnen

  • KI-Deepfake-Finanzbetrug

    • In einer Teams-Videokonferenz mit KI-generierten Videos eines CFOs und von Kollegen kam es zu einem Vorfall, bei dem eine Überweisung von 25 Millionen Dollar veranlasst wurde

  • Angriffsfähigkeiten von KI-Modellen

    • Das Modell Mythos von Anthropic führte eine Infiltrationssimulation schneller als GPT-4o durch (6,2 Stunden vs. 10,4 Stunden) und erkannte 73 % der Anwendungsschwachstellen
    • Anthropic hält Mythos nicht öffentlich und stellt es nur eingeschränkt 40 Unternehmen wie Microsoft und Google zur Verfügung
    • Auch OpenAI plant die begrenzte Bereitstellung eines ähnlichen Modells im Programm „Trusted Access for Cyber“

  • Dringende Reaktion der US-Regierung

    • Am 7. April 2026 riefen US-Finanzminister Scott Bessent und Fed-Chef Jerome Powell die CEOs der fünf größten Banken nach Washington
    • Der Grund: Anthropic hatte berichtet, dass Mythos tausende Zero-Day-Schwachstellen in allen wichtigen Betriebssystemen und Browsern gefunden habe
    • Die Regierung betrachtete dies als Bedrohung auf Ebene der Finanzstabilität und führte vertrauliche Briefings auf höchster Ebene durch

Zusammenfassung aller Vorfälle im ersten Quartal 2026

  • Allein die zwischen Januar und April öffentlich gewordenen Hauptvorfälle belaufen sich auf mehr als 40 Fälle, tatsächlich dürften es Hunderte sein
    • Allein in der SLH-Salesforce-Kampagne wird von 300 bis 400 Organisationen und 1,5 Milliarden Datensätzen ausgegangen
    • Im März 2026 wurden 672 Ransomware-Fälle verzeichnet; Qilin, Akira und DragonForce machten 40 % aus
  • Im Vergleich zu 2025 stiegen Ransomware-Angriffe um 49 %, der Gesundheitssektor machte 22 % aus

Warum ist es so still?

  • Trotz der massiven Vorfälle blieb die Reaktion in Leitmedien und öffentlichem Diskurs schwach
    • Als Gründe werden die politische Last der Zuschreibung an staatliche Akteure, kommerzielle Interessen der Sicherheitsindustrie, Cybermüdigkeit und das unangenehme Nebeneinander mit der KI-Industrie genannt

  • In den obersten Regierungsebenen werden Informationen geteilt, doch im öffentlichen Diskurs herrscht Schweigen

    • Die ersten 100 Tage des Jahres 2026 werden als eine der folgenreichsten Phasen der Cybergeschichte bewertet, und es ist möglich, dass gerade das Schweigen des öffentlichen Diskurses selbst als historisch bemerkenswertes Phänomen verzeichnet wird

Verwandte Beiträge

1 Kommentare

 
GN⁺ 15 일 전
Hacker-News-Kommentare

  • Im Rahmen von Technical Due Diligence schreibe ich aus der Perspektive von PE-Investitionen Inhalte über Sicherheit im Zeitalter von gen-AI.
    Nach Recherchen der letzten sechs Monate ist mir klar geworden, dass wir praktisch in eine Ransomware-Apokalypse eintreten.
    gen-AI ist für Cyberkriminelle zum perfekten Werkzeug geworden. Es erstellt automatisch Tausende gefälschte Websites und Profile, hebelt damit Werbe- und Link-Vertrauenssysteme aus, und Phishing-Angriffe mit kombinierter Sprache, Text und Video werden zum Alltag.
    Supply-Chain-Angriffe machen Paketmanager zu Bomben, und Ransomware-Gangs verkaufen ihre Angriffswerkzeuge inzwischen als SaaS.
    Techniken auf dem Niveau staatlicher Angreifer werden inzwischen für Kleingeld gehandelt. Außerdem sorgt gen-AI für eine Explosion verwundbaren Codes.
    Für junge Tech-Leute wäre es klug, sich beruflich auf den Security-Bereich auszurichten. Es kommen wirklich verrückte Zeiten.

    • Die Leute scheinen nicht zu begreifen, dass genAI eine existenzielle Bedrohung für das Internet selbst ist.
      Wir leben inzwischen in einer Zeit, in der man Informationen im Web weder vertrauen kann noch das Web überhaupt unbedingt braucht.
      Hoffentlich greifen die Abwehrmechanismen rechtzeitig, sodass Sicherheit in die gesamte Computerkultur einsickert.
    • Ich würde trotzdem weiterhin Software Engineering empfehlen.
      In den meisten Unternehmen ist Security immer noch nur ein Kostenpunkt, und Interesse gibt es erst, wenn ein Vorfall passiert.
      Security-SaaS dagegen verdient Geld, deshalb sieht es dort vielversprechend aus.
    • Wenn AI solche Angriffe ausführen kann, gibt es keinen Grund, warum Security Engineers nicht ebenfalls durch AI ersetzt werden sollten.
    • Am Ende wird das wohl dazu führen, dass normale Menschen aus dem Internet verdrängt werden. Es wird zu gefährlich.
    • Mit bloßen Zertifikaten als CISSP oder SOC-Operator hat man keine Zukunft.
      Man muss ein echter Engineer werden, der Entwicklungsgrundlagen, OS-Interna, Webtechnologien, Algorithmen sowie Angriffs- und Verteidigungskonzepte versteht.
      Es ist traurig, dass viele angebliche „Cybersecurity-Absolventen“ in Nordamerika nicht einmal das Niveau eines L1-Helpdesks erreichen.

  • Seltsam ist, dass am 7. April 2026 der US-Finanzminister und der Vorsitzende der Fed die CEOs großer Banken dringend zusammengerufen haben, um sie persönlich über die Cyberrisiken rund um Anthropics Mythos zu informieren.
    Auch in Kanada gab es ein ähnliches Treffen. Dass mehrere Zentralbanken gleichzeitig solche Sitzungen abhalten, ist äußerst ungewöhnlich.

    • Wahrscheinlich gibt es zwei Möglichkeiten.
      1. In wichtigen Softwarepaketen wurde eine groß angelegte Schwachstelle entdeckt, wodurch der Finanzsektor gefährdet ist.
      2. In mehreren Paketen wurden gleichzeitig Schwachstellen gefunden, sodass ein Marktschock befürchtet wird.
        Kurz vor einer Wahl ist wirtschaftliche Instabilität auch politisch ein großes Risiko.
    • Im traditionellen Finanzwesen gibt es doch umkehrbare Systeme, selbst wenn Geld gestohlen wird; deshalb frage ich mich, wie ein Offramp möglich ist.
      Es ist ja keine irreversible Struktur wie bei Kryptowährungen.
    • Zumindest ist es ein kleiner Trost, dass die Regierung keine Produkte von Anthropic verwenden darf.

  • Die meisten Vorfälle wurden bereits auf Hacker News behandelt.
    Unternehmen müssen ihr Sicherheitsniveau abgestuft verwalten. Man kann nicht alles schützen, und bei wichtigen Assets muss man Kosten und Unbequemlichkeit in Kauf nehmen.
    In der Luft- und Raumfahrt verdoppelten sich die Kosten, wenn ein Projekt auf SECRET eingestuft wurde. TOP SECRET lag noch darüber.
    Banken und Kartenunternehmen verstehen diese Realität, die meisten anderen Unternehmen aber nicht.

    • Solche Diskussionen tauchen auf HN immer wieder auf, aber das Problem ist die spöttische Haltung, die den Ernst der Sicherheitslage nicht anerkennt.
      Oft kommt nur eine Reaktion im Stil von: „Ich habe das alles schon gelesen, was ist daran neu?“
    • Die effektivste Sicherheitsmethode ist die vollständige Trennung eines internetverbundenen PCs von einem PC für die Verarbeitung wichtiger Daten.
      Das ist allerdings unpraktisch, weil man zwei oder mehr Computer braucht.
      Eine realistische Alternative ist, nur temporären VMs, die über Protokolle wie RDP verbunden sind, Zugriff aufs Internet zu geben.

  • Ich habe als Sicherheitsverantwortlicher gearbeitet, eine gute Karriere gemacht und war in mehreren Unternehmen als Risikomanagement-Experte tätig.
    Aber jetzt hat sich das Spiel komplett verändert. Ich plane, innerhalb eines Jahres in Rente zu gehen und in einen AI-unabhängigen Beruf zu wechseln, etwa Krankenpfleger oder Klempner.
    Ich habe das Gefühl, man muss sich AI-sichere finanzielle Unabhängigkeit sichern, bevor AI dominiert.
    Viele Security-Experten denken genauso.
    Wenn Unternehmen die Einführung von AI, die PII in interne Dokumente einsaugt, nicht kontrollieren, kommt das 0-day-Chaos der 1990er zurück.
    Security-Teams werden unter Überarbeitung und Burnout zusammenbrechen, und durch die Einführung von AI schaffen sie am Ende ihre eigenen Jobs ab.
    Wenn die nächste Rezession kommt, wird diese Realität sichtbar werden.

    • Ich kann diesen Gedanken nachvollziehen, aber die Welt hat sich meist eher in Richtung „Es passiert gar nichts“ entwickelt.
      Finanzielle Vorsorge ist gut, aber man sollte sich vor übertriebenem Pessimismus hüten.
    • Auch Krankenpfleger oder Assistenten werden den Einfluss von AI kaum vermeiden können.
      Körperliche Arbeit ist hart und schlecht bezahlt. Vielleicht werden Security-Experten sogar noch stärker gebraucht.
    • Derzeit gibt es weltweit 4,8 Millionen unbesetzte Stellen im Security-Bereich.
      Die Nachfrage liegt bei 10,2 Millionen, das Angebot nur etwa bei der Hälfte.
      Das Branchenwachstum hat sich zudem auf 0,1 % verlangsamt, Senior-Leute verlassen die Branche, und dadurch steigt die Erfolgsquote von Angriffen stark an.
      Kurzfristig gibt es fast keine Chance auf Besserung.
    • Ich denke, als Software Engineer hat man gerade jetzt die moralische Pflicht, AI abzuwehren.
      Man muss sich selbst und die Gesellschaft vor bösartiger AI schützen.
    • Die eine Seite hat FOMO beim Einstieg in Security, die andere verbreitet FUD.
      Die Realität liegt vermutlich irgendwo dazwischen.

  • Früher war schon ein Datenleck von ein paar GB ein großer Vorfall, heute werden Daten in Terabyte- und Petabyte-Größenordnungen gestohlen.

    • Die schlechte Nachricht: Alle personenbezogenen Daten, die Datenbroker besitzen, werden wohl bald öffentlich.
      Die gute Nachricht: Auch die Daten von Politikern werden mit offengelegt, was möglicherweise eine Regulierungsdebatte auslöst.

  • Wenn Mythos Tausende Zero-Days in wichtigen Betriebssystemen und Browsern gefunden hat, ist es gut möglich, dass Geheimdienste sie bereits besitzen.
    Backdoors braucht man dann praktisch nicht mehr.
    Fraglich ist allerdings, ob die Softwareanbieter diese Liste von Schwachstellen erhalten haben.

  • Wegen des für LLMs typischen Stils lässt sich der Text schwer lesen.
    Formulierungen wie „das Schweigen im öffentlichen Diskurs wurde noch nicht gebrochen“ wiederholen sich und wirken übertrieben.

  • Das Marketing-Team von Anthropic ist wirklich erschreckend kompetent. Ich frage mich, ob Opus diese Strategie entworfen hat.

    • Angstmarketing ist in der Security-Branche Tradition.
      Die technischen Behauptungen müssen nicht übertrieben sein, aber dass nur ein bestimmtes Unternehmen exklusiv Vertrauen verdient, ergibt keinen Sinn.
    • Wenn die Fähigkeiten von Mythos echt sind, werden große Tech-Konzerne das bald bestätigen.
      Wenn es nur Prahlerei ist, wird das schnell auffliegen.
    • Die Verbindung von AI und Security scheint inzwischen zu einem eigenen Genre geworden zu sein.

  • Tatsächlich ist die Lage gar nicht so verrückt. Das ist nur Recency Bias.
    Spam wird qualitativ besser, und es gibt Verbesserungen wie Voice Cloning oder die Automatisierung groß angelegter Angriffe, aber die meisten Attacken nutzen weiterhin n-day-Schwachstellen.

  • Interessant ist die Meldung, dass sich im August 2025 die berüchtigten Hacking-Gruppen ShinyHunters, Scattered Spider, LAPSUS$ zusammengeschlossen und unter dem Namen „Scattered LAPSUS$ Hunters (SLH)“ ein Cybercrime-Konsortium gebildet haben.
    Das ist fast so, als würde man per Startup-M&A ein vertikal integriertes SaaS aufbauen.
    Ich frage mich, ob interne Personalabbauten dort vielleicht auf „physische Weise“ umgesetzt wurden.

    • Solche Gruppen werden faktisch wie Unternehmen oder Regierungsbehörden geführt.
      Die interne Erfahrung unterscheidet sich kaum von der Arbeit in einem gewöhnlichen Tech-Unternehmen.