Blog

Notizen aus dem Angriffsteam.

Praxisberichte zu Red Teaming, Pentesting, TIBER/DORA und Offensive-Security-Training.

Was ist OffSec? Der ultimative Guide zu Offensive Security 2026

Sicherheit entsteht nicht durch Mauern, sondern durch deren kontrollierten Abriss. Während klassische Verteidigungsstrategien oft nur auf das Ausbleiben von Alarmen hoffen, geht offsec einen radikalen Schritt weiter. Wir nehmen die Perspektive des Angreifer…

Johannes Schönborn · 10. Juli 2026

Interner Penetrationstest 2026: Strategien gegen Insider-Threats und Ransomware

Was nützt Ihnen die massivste Firewall, wenn der Gegner bereits im Haus ist? Ein einziger unbedachter Klick auf einen Phishing-Link reicht oft aus, um Ihren gesamten Perimeter wertlos zu machen. Im Jahr 2026 ist die Frage nicht mehr, ob ein Angreifer eindri…

Johannes Schönborn · 9. Juli 2026

OWASP AISVS: Der Standard für sichere KI-Anwendungen

73 Prozent der produktiven KI-Deployments sind im Jahr 2026 anfällig für Prompt Injection. Diese Zahl ist kein Zufall; sie ist das Resultat einer rasanten Entwicklung, die methodische Sicherheit oft als optionales Hindernis betrachtet hat. Sie stehen vor de…

Johannes Schönborn · 7. Juli 2026

Pentest 2026: Mythos vs. Realität professioneller Penetrationstests

Ein automatisierter Schwachstellenscan ist kein Pentest; er ist lediglich eine digitale Beruhigungspille ohne echte Schutzwirkung. Während Scanner bekannte Signaturen abgleichen, scheitern sie kläglich an der kreativen Zerstörungskraft eines menschlichen An…

Johannes Schönborn · 7. Juli 2026

Von Null auf Domain Admin: Neue YouTube-Serie zu Active Directory Hacking mit Kali Linux und GOAD

Active Directory ist der Kern jedes Unternehmens-IT-Betriebs im deutschsprachigen Raum. Und trotzdem ist AD-Hacking oft eine Spezialisierung, mit der man nichts zu tun haben will. Aber so kompliziert ist es ja gar nicht. In dieser Serie arbeiten wir uns dur…

Johannes Schönborn · 7. Juli 2026

Ransomware braucht keine Malware mehr.

Sicherheitsteams verteidigen arbeiten mit veralteten Playbooks. Aktuelle Analysen zeigen einen KI-generierten Blueprint für "Browser-Only" Ransomware. Dieser Ansatz benötigt keine ausführbaren Dateien, keine Root-Rechte, keine klassischen Exploits und keine…

Johannes Schönborn · 7. Juli 2026

One-Off vs. Managed Pentesting: Was Finanzinstitute wissen müssen

Banken und große Unternehmen bestehen längst nicht mehr nur aus einer Website oder einer App. Eine moderne Bank betreibt oft Hunderte von vernetzten Services – von Kundenportalen und mobilen Banking-Apps über APIs bis hin zu Gebäudeleittechnik und IoT-basie…

Johannes Schönborn · 26. Juli 2025

"Wir setzen schon Security-Lösung X ein: wir brauchen keine Pentests?!"

"Wir haben CrowdStrike und Vectra — brauchen wir trotzdem Penetrationstests?" Das hat mich im Discovery-Call etwas unvorbereitet erwischt.

Johannes Schönborn · 20. Juni 2025
Alle Artikel auf blog.xplt.com