Externe Sicherheitsforschende dafür bezahlen, die eigene Infrastruktur auf Lücken zu untersuchen, klingt sinnvoll. Ist es auch. Trotzdem ist die Verbreitung von Bug Bounty Programmen in Deutschland im internationalen Vergleich erschreckend gering. Wir kennen das Problem aus eigener Erfahrung.
Weiterlesen
Niklas Klee und Felix Thümmler haben auf der diesjährigen TINCON 2026 in Berlin einen Workshop zum Thema „Web-Security aus Sicht von (ethischen) Hackern“ gehalten. Beide Slots waren bereits im Vorfeld ausgebucht. Zusätzlich standen Tim Philipp Schäfers und Felix Thümmler am Mittwoch, dem 20. Mai, in einer offenen Fragenrunde dem Publikum Rede und Antwort. Ein tolles Erlebnis!
Weiterlesen
Die kritische Schwachstelle CVE-2026-42945 („NGINX Rift“) betrifft NGINX Open Source, NGINX Plus und mehrere F5-Produkte. Ursache ist ein Fehler im ngx_http_rewrite_module, der durch bestimmte Rewrite-Regeln mit $1 oder $2 ausgelöst wird. Angreifer können über manipulierte HTTP-Requests einen Heap-based Buffer Overflow verursachen und dadurch Worker-Prozesse crashen oder sogar Remote Code Execution erreichen.
Weiterlesen
Die meisten Unternehmen unterschätzen, was in den ersten Stunden nach einem Sicherheitsvorfall passiert. Wer keinen strukturierten Prozess hat, zahlt doppelt: technisch und rechtlich. Dieser Beitrag erklärt, wie professionelle Incident Response funktioniert.
Weiterlesen