Die Tage erhielt ich eine Einladung als Referent auf einer IT-Security Veranstaltung zu sprechen. Die Veranstaltung ist bundesweit aufgestellt und durchaus attraktiv in Hinblick auf die mediale Sichtbarkeit und dem Line-Up an Themen und der versammelten Menschen. Das Who-is-Who der Branche. Die Sache entwickelte sich vermutlich aufgrund meiner bissigen Kommentare zunächst flapsig, spontan in einem öffentlichen Forum und setzte sich später mit der gebotenen Ernsthaftigkeit in einem persönlichen Email-Wechsel fort. Read more

Hinter der unscheinbaren Bezeichnung CVE-2021-442281 versteckt sich eine schwerwiegende Schwachstelle in der Java-Komponente Log4J2. Der Fehler besteht darin, dass diese Logdaten nicht nur liest oder schreibt sondern auch interpretiert und Anweisungen zum Nachladen von Programmcode ausführt. So wird aus einer Logzeile ein Programm, das im Kontext der jeweiligen Software, des Dienstes oder Anwenders ausgeführt wird. Read more

Vor 10 Jahren erblickte das Buzzword und Digitalisierungsprojekt “Industrie 4.0” das Licht der Welt mit nichts weniger im Sinn als der Absicht, eine vierte industrielle Revolution loszutreten.1 Revolution als Begriff und Bild ist natürlich gaga. Wer auch nur einen Hauch an Ahnung hat weiß, Digitalisierung gleicht eher einem Marathon mit vielen Zwischenetappen und fällt nicht von heute auf morgen vom Management verordnet auf ein Unternehmen. Read more

Vor einigen Monaten habe ich von kyrillischen Buchstaben in Spam- und Phishingmails geschrieben, die leicht mit unseren lateinischen verwechselt werden können.1 Diesen Gedanken haben Ross Anderson und Nicholas Boucher in Ihrem Paper “Trojan Source: Invisible Vulnerabilities” weiter ausgeführt2 und auf diverse Compiler, Editoren und Tools in der Softwareentwicklung geschaut. Read more