Podcaster
Episoden
28.05.2026
37 Minuten
Martin und Marc sprechen über vier Themen, die auf den ersten Blick nicht sauber zusammengehören und am Ende doch dieselbe unangenehme Wahrheit zeigen. Bei Mini Shai-Hulud reist der Schaden über Pakete, Pipelines, Signaturen und eine trojanisierte VS-Code-Erweiterung durch die Entwicklerwelt. Beim 7-Eleven-Fall reichen ein offener Aura-Endpunkt, zu viele Gastrechte und eine gut gespielte Support-Masche, um an Bewerberdaten und später an Erpressungsmaterial zu kommen.
Dazu kommen Project Glasswing und Mythos Preview, weil sie den Engpass von der Lückensuche in Richtung Patch- und Rollout-Kapazität verschieben, und Kali365, weil Device-Code-Phishing, KI-gestützte 2FA-Angriffe und ausgesperrte Admins dieselbe Vertrauensfrage auf einer anderen Ebene stellen. Die nüchterne Erkenntnis lautet: Das Risiko sitzt oft nicht im Kernprodukt, sondern im Prozess davor.
Mini Shai-Hulud - TanStack und StepSecurity
7-Eleven und Salesforce - BornCity und Help Net Security
Project Glasswing - Moselwal.de und Anthropic
Kali365 - BornCity und PlexTec
Besucht uns auf: zweifaktorgeplauder.de
Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwünsche, die wir in einer der nächsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de
Dazu kommen Project Glasswing und Mythos Preview, weil sie den Engpass von der Lückensuche in Richtung Patch- und Rollout-Kapazität verschieben, und Kali365, weil Device-Code-Phishing, KI-gestützte 2FA-Angriffe und ausgesperrte Admins dieselbe Vertrauensfrage auf einer anderen Ebene stellen. Die nüchterne Erkenntnis lautet: Das Risiko sitzt oft nicht im Kernprodukt, sondern im Prozess davor.
Mini Shai-Hulud - TanStack und StepSecurity
7-Eleven und Salesforce - BornCity und Help Net Security
Project Glasswing - Moselwal.de und Anthropic
Kali365 - BornCity und PlexTec
Besucht uns auf: zweifaktorgeplauder.de
Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwünsche, die wir in einer der nächsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de
Mehr
21.05.2026
35 Minuten
In dieser Folge geht es um die unangenehme Wahrheit, dass moderne Softwareentwicklung Vertrauen wie ein Produktivitätsfeature behandelt und Angreifer genau dort investieren. Am Beispiel von Shai-Hulud schauen wir darauf, wie aus kompromittierten Maintainer-Konten, Installationslogik und gestohlenen Credentials sehr schnell ein Problem für Entwicklerteams, CI und Unternehmen wird.
Dazu kommen drei kleine Side News mit ziemlich unterschiedlichem Geschmack: SMS-Blaster als physische Fake-Nachrichtenfabrik, Googles Analyse des 3CX-Kompromisses als Supply-Chain-Mahnung mit Langzeitwirkung und Discords Schritt zu standardmaessiger Ende-zu-Ende-Verschluesselung fuer Anrufe.
Quellen: GitHub npm Security Plan
GitHub Shai-Hulud Follow-up
JFrog Vendor Research
heute.at SMS-Blaster
Google Cloud zu 3CX
heise zu Discord E2EE.
Besucht uns auf: zweifaktorgeplauder.de
Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de
Dazu kommen drei kleine Side News mit ziemlich unterschiedlichem Geschmack: SMS-Blaster als physische Fake-Nachrichtenfabrik, Googles Analyse des 3CX-Kompromisses als Supply-Chain-Mahnung mit Langzeitwirkung und Discords Schritt zu standardmaessiger Ende-zu-Ende-Verschluesselung fuer Anrufe.
Quellen: GitHub npm Security Plan
GitHub Shai-Hulud Follow-up
JFrog Vendor Research
heute.at SMS-Blaster
Google Cloud zu 3CX
heise zu Discord E2EE.
Besucht uns auf: zweifaktorgeplauder.de
Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de
Mehr
14.05.2026
55 Minuten
Der BSI-Lagebericht 2025 liefert wieder genug Stoff für alle, die „wir sind eigentlich ganz gut aufgestellt“ gerne mit einem Patchstand von vorgestern sagen.
Wir gehen durch die Lage der IT-Sicherheit in Deutschland und sprechen über Ransomware, Phishing, Botnetze, offene Angriffsflächen und die alte Frage, warum Basics in der Praxis so oft wie Luxus behandelt werden.
Dabei verbinden wir technische Einordnung mit strategischem Blick: Was ist operatives Risiko, was ist Managementversagen und was ist schlicht zu lange liegen geblieben?
Am Ende bleibt ein klarer Realitätscheck: Der Lagebericht ist kein Dokument für die Schublade, sondern eine ziemlich direkte Aufforderung, Security endlich belastbar zu machen.
Die Lage der IT-Sicherheit in Deutschland 2025 -BSI
Besucht uns auf: zweifaktorgeplauder.de
Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de
Wir gehen durch die Lage der IT-Sicherheit in Deutschland und sprechen über Ransomware, Phishing, Botnetze, offene Angriffsflächen und die alte Frage, warum Basics in der Praxis so oft wie Luxus behandelt werden.
Dabei verbinden wir technische Einordnung mit strategischem Blick: Was ist operatives Risiko, was ist Managementversagen und was ist schlicht zu lange liegen geblieben?
Am Ende bleibt ein klarer Realitätscheck: Der Lagebericht ist kein Dokument für die Schublade, sondern eine ziemlich direkte Aufforderung, Security endlich belastbar zu machen.
Die Lage der IT-Sicherheit in Deutschland 2025 -BSI
Besucht uns auf: zweifaktorgeplauder.de
Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de
Mehr
07.05.2026
27 Minuten
Ein kaputter DNSSEC-Moment reicht, und plötzlich fühlt sich halb Deutschland an wie ein falsch gestecktes Netzwerkkabel: .de-Domains liefern SERVFAIL, Apps zicken, Mailprogramme zucken.
Wir nehmen die Vertrauenskette auseinander und schauen gemeinsam darauf, warum eine fehlerhafte Signatur nicht einfach „nur DNS“ ist, sondern Infrastruktur mit Dominoeffekt.
Dabei geht es um Abhängigkeiten, Krisenkommunikation, Resolver-Strategien und die Frage, warum Basisdienste oft erst auffallen, wenn sie brennen.
Außerdem sprechen wir über Microsoft Edge und Klartext-Passwörter im Speicher — Security-Theater vorne, offenes Fenster hinten.
Kurzer Ausfall, große Wirkung: .de-Domains offline -IT-Administrator.de
DNSSEC Failure in the .de Zone: Why bahn.de, spiegel.de and blackfort-tec.de Returned SERVFAIL -Blackfort-tec.de
DENIC mit DNS-Problem: Zahllose .de-Domains unerreichbar (Update) -Winfuture.de
DENIC behebt DNSSEC-Störung in der .de-Zone — eine kurze Erinnerung an die Vertrauenskette -Moselwal.de
.de-Domains stundenlang offline: DNSSEC-Panne legt Deutschland lahm -Borncity.com
Mittwoch: DNS-Probleme deutscher Domains, AMD-Wachstum dank Server und KI-GPUs -Heise.de
IT-Ausfall 05.05.2026: DNSSEC-GAU legt Deutschland lahm – Analyse -ESAGH-IT.de
Fehlerhafte Signatur: Viele .de-Domains durch DNSSEC-Panne lahmgelegt -Golem Security
DNS-Probleme: .de-Domains nicht erreichbar -Heise Security News
Cleartext Passwords in MS Edge -SANS ISC
Webbrowser: Klartext-Passwörter im Speicher von Microsoft Edge entdeckt -Golem Security
Microsoft Edge: Passwörter landen als Klartext im Speicher -Heise Security
Besucht uns auf: zweifaktorgeplauder.de
Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwünsche, die wir in einer der nächsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de
Wir nehmen die Vertrauenskette auseinander und schauen gemeinsam darauf, warum eine fehlerhafte Signatur nicht einfach „nur DNS“ ist, sondern Infrastruktur mit Dominoeffekt.
Dabei geht es um Abhängigkeiten, Krisenkommunikation, Resolver-Strategien und die Frage, warum Basisdienste oft erst auffallen, wenn sie brennen.
Außerdem sprechen wir über Microsoft Edge und Klartext-Passwörter im Speicher — Security-Theater vorne, offenes Fenster hinten.
Kurzer Ausfall, große Wirkung: .de-Domains offline -IT-Administrator.de
DNSSEC Failure in the .de Zone: Why bahn.de, spiegel.de and blackfort-tec.de Returned SERVFAIL -Blackfort-tec.de
DENIC mit DNS-Problem: Zahllose .de-Domains unerreichbar (Update) -Winfuture.de
DENIC behebt DNSSEC-Störung in der .de-Zone — eine kurze Erinnerung an die Vertrauenskette -Moselwal.de
.de-Domains stundenlang offline: DNSSEC-Panne legt Deutschland lahm -Borncity.com
Mittwoch: DNS-Probleme deutscher Domains, AMD-Wachstum dank Server und KI-GPUs -Heise.de
IT-Ausfall 05.05.2026: DNSSEC-GAU legt Deutschland lahm – Analyse -ESAGH-IT.de
Fehlerhafte Signatur: Viele .de-Domains durch DNSSEC-Panne lahmgelegt -Golem Security
DNS-Probleme: .de-Domains nicht erreichbar -Heise Security News
Cleartext Passwords in MS Edge -SANS ISC
Webbrowser: Klartext-Passwörter im Speicher von Microsoft Edge entdeckt -Golem Security
Microsoft Edge: Passwörter landen als Klartext im Speicher -Heise Security
Besucht uns auf: zweifaktorgeplauder.de
Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwünsche, die wir in einer der nächsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de
Mehr
30.04.2026
37 Minuten
Martin und Marc sprechen über die Signal-Phishing-Kampagne, die mit Support-Maskerade, QR-Codes und abgegriffenen PINs zeigt, wie schnell aus einer vermeintlich sicheren App ein Einfallstor werden kann
Dazu nehmen die beiden die Debatte um Signal-Verbot und Wire-Umstieg – mit dem nötigen Realitätscheck statt Aktionismus. Zwischen Bundestrend, Sicherheitswarnung und politischem Reflex bleibt eine nüchterne Erkenntnis: Das Risiko sitzt oft nicht im Messenger, sondern im Prozess davor .
Verfassungsschutz: Gemeinsamer Sicherheitshinweis zu Phishing - Verfassungsschutz.de
BSI-Sicherheitshinweis zu Signal - Verfassungsschutz.de
FBI IC3: Public Service Announcement zu Phishing-Kampagnen - IC3.gov
Russia targets Signal and WhatsApp accounts in cyber campaign - AIVD.nl
Signal and WhatsApp accounts targeted in phishing campaign - Malwarebytes.com
Signal phishing attack: Digital evidence points to Russia - Correctiv.org
BBC: Cyber campaign targeting messaging apps - BBC.com
Ermittlungen der Bundesanwaltschaft im Signal-Fall - Tagesschau.de
Phishing-Angriff auf Signal: Fall Klöckner - Zeit.de
Signal-Hack: Bundesregierung sieht Russland im Fokus - ZDFheute.de
Signal-Phishing-Warnung: Auslöser wohl Angriff auf Julia Klöckner - Heise.de
Staatspolitik per Messenger: Was der Klöckner-Signal-Fall offenlegt - Golem.de
Kommentar: Kein Hack, nur Ignoranz - Heise.de
Digitale Souveränität: Wire soll Signal im Bundestag ablösen - Heise.de
Signal-Verbot im Bundestag? Warum das die falsche Konsequenz ist - T-Online.de
Besucht uns auf: zweifaktorgeplauder.de
Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de
Dazu nehmen die beiden die Debatte um Signal-Verbot und Wire-Umstieg – mit dem nötigen Realitätscheck statt Aktionismus. Zwischen Bundestrend, Sicherheitswarnung und politischem Reflex bleibt eine nüchterne Erkenntnis: Das Risiko sitzt oft nicht im Messenger, sondern im Prozess davor .
Verfassungsschutz: Gemeinsamer Sicherheitshinweis zu Phishing - Verfassungsschutz.de
BSI-Sicherheitshinweis zu Signal - Verfassungsschutz.de
FBI IC3: Public Service Announcement zu Phishing-Kampagnen - IC3.gov
Russia targets Signal and WhatsApp accounts in cyber campaign - AIVD.nl
Signal and WhatsApp accounts targeted in phishing campaign - Malwarebytes.com
Signal phishing attack: Digital evidence points to Russia - Correctiv.org
BBC: Cyber campaign targeting messaging apps - BBC.com
Ermittlungen der Bundesanwaltschaft im Signal-Fall - Tagesschau.de
Phishing-Angriff auf Signal: Fall Klöckner - Zeit.de
Signal-Hack: Bundesregierung sieht Russland im Fokus - ZDFheute.de
Signal-Phishing-Warnung: Auslöser wohl Angriff auf Julia Klöckner - Heise.de
Staatspolitik per Messenger: Was der Klöckner-Signal-Fall offenlegt - Golem.de
Kommentar: Kein Hack, nur Ignoranz - Heise.de
Digitale Souveränität: Wire soll Signal im Bundestag ablösen - Heise.de
Signal-Verbot im Bundestag? Warum das die falsche Konsequenz ist - T-Online.de
Besucht uns auf: zweifaktorgeplauder.de
Euer Feedback bedeutet uns alles! Habt ihr Anregungen, Kritik oder spannende Themenwuensche, die wir in einer der naechsten Folgen besprechen sollen? Oder wollt ihr einfach nur eure Gedanken zu unserem Podcast mit uns teilen? Schreibt uns gerne eine E-Mail an: podcast@zweifaktorgeplauder.de
Mehr
Über diesen Podcast
Der Podcast für alle IT-Security-Interessierten! Marc Blessing und
Martin Gabler – zwei erfahrene IT-Security-Experten – plaudern jede
Woche über aktuelle Nachrichten, Trends und Wissenswertes aus der
Welt der IT- und Cybersecurity. Perfekt für alle, die sich nach
Feierabend oder unterwegs entspannt und praxisorientiert
informieren möchten – so wie wir es selbst auch lieben! Und keine
Sorge: Wir sind uns nicht immer einig, aber genau das macht den
Charme von Zwei-Faktor-Geplauder aus. Also: Schnappt euch einen
Kaffee (oder lieber ein Bier?) und hört rein – wir freuen uns!
Kommentare (0)
Melde Dich an, um einen Kommentar zu schreiben.