Notizen aus dem Angriffsteam.
Praxisberichte zu Red Teaming, Pentesting, TIBER/DORA und Offensive-Security-Training.

Was ist OffSec? Der ultimative Guide zu Offensive Security 2026
Sicherheit entsteht nicht durch Mauern, sondern durch deren kontrollierten Abriss. Während klassische Verteidigungsstrategien oft nur auf das Ausbleiben von Alarmen hoffen, geht offsec einen radikalen Schritt weiter. Wir nehmen die Perspektive des Angreifer…

Interner Penetrationstest 2026: Strategien gegen Insider-Threats und Ransomware
Was nützt Ihnen die massivste Firewall, wenn der Gegner bereits im Haus ist? Ein einziger unbedachter Klick auf einen Phishing-Link reicht oft aus, um Ihren gesamten Perimeter wertlos zu machen. Im Jahr 2026 ist die Frage nicht mehr, ob ein Angreifer eindri…

OWASP AISVS: Der Standard für sichere KI-Anwendungen
73 Prozent der produktiven KI-Deployments sind im Jahr 2026 anfällig für Prompt Injection. Diese Zahl ist kein Zufall; sie ist das Resultat einer rasanten Entwicklung, die methodische Sicherheit oft als optionales Hindernis betrachtet hat. Sie stehen vor de…

Pentest 2026: Mythos vs. Realität professioneller Penetrationstests
Ein automatisierter Schwachstellenscan ist kein Pentest; er ist lediglich eine digitale Beruhigungspille ohne echte Schutzwirkung. Während Scanner bekannte Signaturen abgleichen, scheitern sie kläglich an der kreativen Zerstörungskraft eines menschlichen An…

Von Null auf Domain Admin: Neue YouTube-Serie zu Active Directory Hacking mit Kali Linux und GOAD
Active Directory ist der Kern jedes Unternehmens-IT-Betriebs im deutschsprachigen Raum. Und trotzdem ist AD-Hacking oft eine Spezialisierung, mit der man nichts zu tun haben will. Aber so kompliziert ist es ja gar nicht. In dieser Serie arbeiten wir uns dur…

Ransomware braucht keine Malware mehr.
Sicherheitsteams verteidigen arbeiten mit veralteten Playbooks. Aktuelle Analysen zeigen einen KI-generierten Blueprint für "Browser-Only" Ransomware. Dieser Ansatz benötigt keine ausführbaren Dateien, keine Root-Rechte, keine klassischen Exploits und keine…

One-Off vs. Managed Pentesting: Was Finanzinstitute wissen müssen
Banken und große Unternehmen bestehen längst nicht mehr nur aus einer Website oder einer App. Eine moderne Bank betreibt oft Hunderte von vernetzten Services – von Kundenportalen und mobilen Banking-Apps über APIs bis hin zu Gebäudeleittechnik und IoT-basie…

"Wir setzen schon Security-Lösung X ein: wir brauchen keine Pentests?!"
"Wir haben CrowdStrike und Vectra — brauchen wir trotzdem Penetrationstests?" Das hat mich im Discovery-Call etwas unvorbereitet erwischt.