Montagspost on .kais blog

Gespeichert heute, entschlüsselt morgen

Mon, 13 Apr 2026 07:35:00 +0200

📌 Die beruhigende Überzeugung

Quantencomputer, die heutige Verschlüsselung brechen können, sind noch Jahre entfernt. Diese Aussage stimmt wahrscheinlich – aber sie führt zur falschen Schlussfolgerung. Viele Sicherheitsverantwortliche verschieben das Thema auf morgen, weil die Bedrohung noch nicht wirksam ist. Dabei haben sie die Frage falsch gestellt: Nicht „Wann können Quantencomputer entschlüsseln?" ist entscheidend, sondern „Wann haben die Angreifer begonnen zu sammeln?"

⚡ Was heute bereits geschieht

NSA, CISA, das UK National Cyber Security Centre und die ENISA warnen übereinstimmend: Staatliche Angreifer sammeln bereits heute verschlüsselte Kommunikation – systematisch, in Masse, ohne sofortige Verwertungsabsicht. Die Strategie trägt einen Namen: „Harvest now, decrypt later". Abfangen jetzt, entschlüsseln, sobald Quantencomputer es erlauben. Kein beschädigtes System, kein Alarm, keine Spur. Der Einbruch hinterlässt nichts – weil er kein Einbruch im klassischen Sinn ist.

Die Auferstehung

Mon, 06 Apr 2026 07:35:00 +0200

🟡 Der erste Riss

SQL-Injection wurde 1998 dokumentiert. Sie steht seit mehr als 20 Jahren in den OWASP Top 10. MITRE nennt 15 Schwachstellen, die seit vielen Jahren in jeder CWE-Top-25 auftauchen, “Stubborn Weaknesses” – hartnäckige Schwachstellen. SQL-Injection (CWE-89) gehört dazu. Alle warnen davor. Und trotzdem ist sie Jahr für Jahr unter den häufigsten Schwachstellen in produktiven Systemen. Nicht weil niemand es weiß. Sondern weil Wissen nicht dasselbe ist wie Ausrotten.

Das stille Veto

Mon, 30 Mar 2026 07:35:00 +0200

🌟 Das Versprechen

Psychologische Sicherheit gilt als Fundament jeder ernsthaften Sicherheitskultur. Vorfälle müssen gemeldet, Schwachstellen ehrlich dokumentiert, Risiken realistisch eingeschätzt werden. Ohne ehrliche Signale ist die Sicherheitslage blind – das ist keine weiche Anforderung, sondern eine operative Notwendigkeit.

Jede Organisation, die das ernst nimmt, proklamiert genau das. Viele sogar laut und regelmäßig. Security-Kultur als Wert, als Bekenntnis, als Folie in der Jahrespräsentation.

🔍 Die Wirklichkeit

Aber dann kommt die Praxis. Die Sicherheitsexpertin, die kritische Befunde dokumentiert, bekommt beim nächsten Auftrag einen engeren Scope. Die Risikomanagerin, die „hoch" einschätzt, wird gebeten, die Bewertung vor dem Board-Meeting zu überdenken. Der Entwickler, der in der Sprint-Review einen Einwand äußert, erntet ein Augenrollen. Der CISO, der unbequeme Zahlen präsentiert, lernt mit der Zeit, welche Themen willkommen sind.

Securitas – das verlorene Versprechen

Mon, 23 Mar 2026 07:35:00 +0100

📌 Die gängige Überzeugung

Security schützt die Organisation. Sicherheitsteams sind die Hüter, die Verhinderer des Schlimmsten. Ihr Wert bemisst sich daran, wie viele Risiken sie aufdecken, wie viele Projekte sie stoppen, wie groß die Bedrohung klingt, vor der sie warnen. Diese Logik ist so tief verankert, dass sie kaum noch hinterfragt wird.

⚡ Das Gegenbeispiel

Seneca nannte das Ziel des Weisen „securitas" – sine cura, Freiheit von der Sorge. Nicht Abwesenheit von Gefahr, sondern die Fähigkeit, gelassen und handlungsfähig zu bleiben, obwohl Gefahr existiert. Kelly Shortridge hat beobachtet, dass moderne Cybersecurity dieses Versprechen systematisch umkehrt: Statt Vertrauen und Gelassenheit zu fördern, lebt ein Teil der Branche von Fear, Uncertainty and Doubt. FUD ist kein Versehen. Es ist ein Mechanismus, der Budgets rechtfertigt, Positionen sichert und Abhängigkeiten schafft. Wer das Bedrohungsbild kontrolliert, kontrolliert die Ressourcen.

Die Generalprobe, die niemand nutzt

Mon, 16 Mar 2026 07:35:00 +0100

📋 Die Situation

Das interne Audit steht an. Entweder beginnt jetzt wochenlange Vorbereitung: Dokumente suchen, Lücken schließen, Antworten einstudieren. Oder es passiert gar nichts – und das Nachdenken beginnt erst, wenn die Auditorin im Raum ist.

❌ Wie es oft läuft

Die Auditorin stellt Fragen. Die Auditierte antwortet präzise und knapp. Jedes Wort ist vorher überlegt. Probleme? Die gibt es offiziell nicht – oder sie tauchen in abgemilderter Form auf. Der Bericht landet im Ordner, die Maßnahmen auf einer Liste, die niemand priorisiert. Ein Jahr später: dasselbe Spiel.

CRA – die stille Revolution ab September 2026

Mon, 09 Mar 2026 07:35:00 +0100

🌍 Ein Déjà-vu aus den Achtzigern

Die EG-Produkthaftungsrichtlinie von 1985 war leise und folgenreich. Hersteller physischer Güter hafteten seitdem für Schäden ihrer Produkte. Wer Produkte baute, musste Sicherheit einplanen – nicht nachliefern. Die Autoindustrie nennt das heute selbstverständlich. Die Softwarewelt hat vier Jahrzehnte gebraucht, um denselben Gedanken zu Ende zu denken.

🔬 Dieselbe Logik, digital

Am 11. September 2026 beginnt Phase 1 des Cyber Resilience Act. Hersteller von Produkten mit digitalen Elementen müssen aktiv ausgenutzte Schwachstellen binnen 24 Stunden melden. Eine SBOM – eine maschinenlesbare Stückliste aller verbauten Softwarekomponenten – wird Pflicht. Hersteller stellen Sicherheitsupdates fünf Jahre lang kostenlos bereit. Die Sprache ist vertraut: Stückliste, Rückrufpflicht, Gewährleistungszeitraum. Nur das Produkt ist digital.

Die Lieferkette als blinder Fleck

Mon, 02 Mar 2026 07:35:00 +0100

🤝 Das starke Argument

Lieferantensicherheit ist Sache des Lieferanten. Er hat die Expertise, die Systeme, die Prozesse. Er unterzeichnet den Vertrag, er haftet. Was geht mich an, was hinter seiner Firewall passiert?

⚖️ Was daran stimmt

Die vertragliche Haftung ist real. Und wer mit einem seriösen Dienstleister arbeitet, bekommt tatsächlich Expertise, die intern nicht vorhanden wäre. Das Argument ist nicht falsch.

🔍 Wo es brüchig wird

SolarWinds 2020: Angreifende kompromittierten den Build-Server des Herstellers. 18.000 Organisationen installierten daraufhin freiwillig ein manipuliertes Update – signiert, legitim, vertrauenswürdig. XZ Utils 2024: Monatelang arbeiteten sich Angreifende in das Vertrauen einer Open-Source-Community vor, um eine Hintertür in eine systemkritische Bibliothek einzuschleusen. In beiden Fällen war das Ziel nicht der Lieferant. Es war die Organisation dahinter.

Vertrauen ist gut, Review ist besser

Mon, 23 Feb 2026 07:35:00 +0100

🤝 Das starke Argument

“KI-generierter Code durchläuft denselben Review-Prozess wie jeder andere Code.” Diesen Satz höre ich in fast jeder Diskussion über die Risiken von Copilot, Cursor und Co. Er klingt überzeugend, denn wer würde schon Code ohne Review in Produktion bringen?

⚖️ Was daran stimmt

Die meisten Teams haben tatsächlich Review-Prozesse etabliert, und statische Analyse fängt offensichtliche Fehler zuverlässig ab. KI-generierter Code ist syntaktisch sauber, oft sogar sauberer als menschlicher. Die Werkzeuge produzieren funktionierenden Code - das ist ihr Versprechen, und sie halten es oft.