reporter

MiniStocker – shutterstock.com Die Werbung mit Promis für ein “geheimes Finanzprodukt” war gefälscht, Anleger verloren ihr Geld: Mutmaßliche Internet-Kriminelle sollen deutschlandweit mindestens 120 Menschen um einen Gesamtbetrag von mehr als 1,3 Millionen Euro gebracht haben. Die Ermittler gehen aber von einer hohen Dunkelziffer aus. Die international agierenden Tatverdächtigen könnten einen hohen dreistelligen Millionenbetrag erbeutet haben, wie Bayerns Spezialstaatsanwaltschaft für Cyberkriminalität in Bamberg mitteilte. In der vergangenen Woche ließ die Zentralstelle Cybercrime Bayern (ZCB) in Deutschland und in Israel 14 Objekte durchsuchen. Schwerpunkte waren Tel Aviv und Düsseldorf, außerdem gab es Durchsuchungen auch in anderen Städten in Nordrhein-Westfalen, Berlin und Winnenden in Baden-Württemberg. Am Ende ist das Kapital weg Und darum geht es: Bei der Betrugsmasche im aktuellen Fall sollen hohe Gewinne durch KI-optimierte Anlagestrategien oder automatisierten Kryptohandel versprochen worden sein – Werbung mit großen Social-Media-Kampagnen und auf gefakten Nachrichtenseiten sollten die Opfer überzeugen: Dabei sollen die Verdächtigen behauptet haben, Promis und Politiker hätten durch dieses Investment viel Geld verdient. In aller Regel stehe bei dieser Betrugsmasche am Ende der Totalverlust des investierten Kapitals, teilte Thomas Goger, Sprecher der Zentralstelle, mit: “Mit diesen Tricks erbeuten Betrüger allein in Deutschland mehr als eine Milliarde Euro pro Jahr.” Im Zentrum der Durchsuchungs-Aktion stehe ein Netzwerk, das die persönlichen Daten möglicher Investoren gesammelt beziehungsweise an betrügerische Callcenter weitergegeben habe. Die Maßnahmen in Düsseldorf und Winnenden hätten sich gegen zwei sogenannte Publisher gerichtet: Ihnen werde zur Last gelegt, für irreführende Online-Kampagnen verantwortlich zu sein. Dabei hätten sie unter anderem behauptet, die Anlagemethode sei Gegenstand populärer TV-Formate. “Abbildungen, Logos und Lichtbilder wurden hierbei rechtswidrig verwendet”, um Seriosität vorzuspiegeln, hieß es weiter. Nun werten die Ermittlerinnen und Ermittler das sichergestellte Beweismaterial aus. (dpa/jm) View the full article

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Thursday released details of a backdoor named BRICKSTORM that has been put to use by state-sponsored threat actors from the People's Republic of China (PRC) to maintain long-term persistence on compromised systems. "BRICKSTORM is a sophisticated backdoor for VMware vSphere and Windows environments," the agency said. "View the full article

The zero trust approach cybersecurity access control is more than 15 years old but organizations continue to struggle with its implementation due in large part to fragmented tooling and legacy infrastructure. A recent report from Accenture paints a picture of widespread industry struggles in rolling out zero trust technologies, a perspective in line with the experiences of experts and security practitioners quizzed on the topic by CSO. Zero trust networking involves applying a security framework where no user or device is trusted by default. Under zero trust, every access attempt is accompanied by authenticating identity and device compliance regardless of whether or not it originates within an organization. The approach contrasts with traditional “castle and moat” models where devices within an enterprise network were trusted by default. Many enterprises have progressed slowly on their zero trust journeys largely because implementation requires a fundamental shift in both mindset and infrastructure. Key roadblocks include: Legacy systems that weren’t designed for zero trust principles, Fragmented identity and access tools that make unified enforcement difficult, and Cultural and organizational resistance to changing long-standing trust models. Kyle Wickert, field CTO at AlgoSec, says zero trust remains one of the most misunderstood transformations in cybersecurity. “Many organizations still hesitate to pursue it because they associate zero trust with rigid architectures, operational complexity, and high implementation costs,” Wickert says. “That perception is rooted in the legacy days of reassigning IPs, redesigning routing, re-plumbing VLANs, or physically rewiring environments just to enforce segmentation policies.” The industry-wide shift to software-defined and cloud-driven data centers has lifted legacy challenges while creating new issues in the shape of growing policy and application complexity. “One of the biggest obstacles to zero trust at scale is no longer the infrastructure — it’s the challenge of defining, governing, and maintaining policies that adapt across hybrid networks, spanning on-prem firewalls, cloud-native controls, SDN, SD-WAN, and SASE technologies,” Wickert says. “The most effective way to overcome these challenges is to shift the focus of segmentation from ‘devices and subnets’ to applications and their connectivity.” Richard Holland, field CISO at threat-led cybersecurity firm Quorum Cyber, argues that zero trust represents a method to mature an organization’s security health rather than a set of products and services. “I would argue that the technology to achieve zero trust has been in existence for some time and CISOs and CIOs may have already found themselves on a roadmap without realizing it is zero trust,” Holland says. “By treating zero trust as a journey to improve cybersecurity health, and by taking small bite-size chunks, you can iterate through a series of improvements in relatively quick succession.” Other cybersecurity experts contend that zero trust migrations offer an opportunity to support more ambitious IT transformation projects. Stephen Fridakis, CISO in residence at Cyderes, says the shift from network-based rules to identity-based rules inherent in zero trust implementations offers a roadmap to “safer, simpler, and more durable” enterprise architectures. “IP ranges, VLANs, and physical locations are brittle and age badly, especially with M&A churn and cloud adoption,” Fridakis explains. “Identity-based access follows the user and device, not the network.” He adds: “It eliminates firewall sprawl, reduces engineering overhead, and enforces intent instead of infrastructure.” Wise up University of Texas CISO George Finney has discussed zero trust with hundreds of security leaders. Those conversations have uncovered several common denominators on why zero trust projects fail. Firstly, internal politics has the potential to derail zero trust implementations. “Technology in a company is generally operated and supported in silos,” Finney says. “These different areas may not understand the big picture of how much risk a cybersecurity breach could represent and resist change.” Conversely, in organizations that have successfully shifted to zero trust, “leadership in every area agree that security is a core part of the success of the organization as a whole,” Finney says. Insufficient education can also act as a barrier preventing the successful rollout of zero trust technologies, according to Finney. “Starting a zero trust project requires more than just changing the design of a network or modifying some settings in an application,” he says. “Everyone on the team needs to understand what zero trust is, why the organization is doing it, and what role they’ll play in supporting it.” “This means that every zero trust project needs to begin with education to help change not just the technology, but the culture of the organization as well,” he adds. Gary Brickhouse, CISO at GuidePoint Security, notes that an “overly-complex approach” to zero trust has driven up costs and timelines as organizations pursue overly strict alignment with zero trust principles. “Most organizations would benefit from a simplified risk-based approach, identifying critical use cases that are achievable and deliver the desired outcome of risk reduction,” Brickhouse says. “Early wins improving the security of the organization and moving the ZT [zero trust] needle forward builds confidence across the organization.” Rob Forbes, CISO at Stratascale, advises security leaders to develop a strategic roadmap before embarking on any zero trust project. “[CISOs should] start with a comprehensive assessment of their current security posture and assets,” Forbes counsels. “Next, develop a roadmap for zero trust implementation, prioritizing critical assets and high-risk areas.” These steps should be followed by investments in training and tools to support the transition to a zero trust model, which ought to be left open to further refinement as requirement evolve. “[Companies should] regularly review and update their zero trust strategy to adapt to new threats and technologies,” Forbes adds. AI ‘reinforces’ zero trust paradigm As agentic AI becomes increasingly embedded in the business, standard zero trust principles must be extended to keep the enterprise secure. By 2027, growth of AI agents will push 50% of CIOs to restructure and automate identity and data access and authorization management to reduce misuse and leakage as part of a zero trust architecture, according to industry analyst firm IDC. Security experts call on organizations to implement a new wave of zero trust, extending beyond people and devices to include AI agents. In practice, this means enforcing strict context boundaries, trusted domain controls, and AI-specific security reviews. John Kindervag, chief evangelist officer at Illumio, tells CSO that “AI doesn’t change the zero trust paradigm — it reinforces it.” “AI operates within the constraints of cybersecurity’s foundational rules, and attacks only work if there’s an open door,” Kindervag argues. The bigger risk is from AI models, according to Kindervag. “AI models can become a liability if not governed by zero trust,” he says. “If an organization doesn’t treat its AI models as protect surfaces, they risk manipulation, poisoning, or theft.” In most cases, AI supports zero trust implementation. “Good AI highlights high-risk communication patterns, surfaces unusual behaviour, and accelerates processes like labeling and policy implementation,” Kindervag explains. “AI can help in every step of the zero trust five-step methodology, but it really helps organizations to push beyond resilience into anti-fragility.” View the full article

The zero trust approach cybersecurity access control is more than 15 years old but organizations continue to struggle with its implementation due in large part to fragmented tooling and legacy infrastructure. A recent report from Accenture paints a picture of widespread industry struggles in rolling out zero trust technologies, a perspective in line with the experiences of experts and security practitioners quizzed on the topic by CSO. Zero trust networking involves applying a security framework where no user or device is trusted by default. Under zero trust, every access attempt is accompanied by authenticating identity and device compliance regardless of whether or not it originates within an organization. The approach contrasts with traditional “castle and moat” models where devices within an enterprise network were trusted by default. Many enterprises have progressed slowly on their zero trust journeys largely because implementation requires a fundamental shift in both mindset and infrastructure. Key roadblocks include: Legacy systems that weren’t designed for zero trust principles, Fragmented identity and access tools that make unified enforcement difficult, and Cultural and organizational resistance to changing long-standing trust models. Kyle Wickert, field CTO at AlgoSec, says zero trust remains one of the most misunderstood transformations in cybersecurity. “Many organizations still hesitate to pursue it because they associate zero trust with rigid architectures, operational complexity, and high implementation costs,” Wickert says. “That perception is rooted in the legacy days of reassigning IPs, redesigning routing, re-plumbing VLANs, or physically rewiring environments just to enforce segmentation policies.” The industry-wide shift to software-defined and cloud-driven data centers has lifted legacy challenges while creating new issues in the shape of growing policy and application complexity. “One of the biggest obstacles to zero trust at scale is no longer the infrastructure — it’s the challenge of defining, governing, and maintaining policies that adapt across hybrid networks, spanning on-prem firewalls, cloud-native controls, SDN, SD-WAN, and SASE technologies,” Wickert says. “The most effective way to overcome these challenges is to shift the focus of segmentation from ‘devices and subnets’ to applications and their connectivity.” Richard Holland, field CISO at threat-led cybersecurity firm Quorum Cyber, argues that zero trust represents a method to mature an organization’s security health rather than a set of products and services. “I would argue that the technology to achieve zero trust has been in existence for some time and CISOs and CIOs may have already found themselves on a roadmap without realizing it is zero trust,” Holland says. “By treating zero trust as a journey to improve cybersecurity health, and by taking small bite-size chunks, you can iterate through a series of improvements in relatively quick succession.” Other cybersecurity experts contend that zero trust migrations offer an opportunity to support more ambitious IT transformation projects. Stephen Fridakis, CISO in residence at Cyderes, says the shift from network-based rules to identity-based rules inherent in zero trust implementations offers a roadmap to “safer, simpler, and more durable” enterprise architectures. “IP ranges, VLANs, and physical locations are brittle and age badly, especially with M&A churn and cloud adoption,” Fridakis explains. “Identity-based access follows the user and device, not the network.” He adds: “It eliminates firewall sprawl, reduces engineering overhead, and enforces intent instead of infrastructure.” Wise up University of Texas CISO George Finney has discussed zero trust with hundreds of security leaders. Those conversations have uncovered several common denominators on why zero trust projects fail. Firstly, internal politics has the potential to derail zero trust implementations. “Technology in a company is generally operated and supported in silos,” Finney says. “These different areas may not understand the big picture of how much risk a cybersecurity breach could represent and resist change.” Conversely, in organizations that have successfully shifted to zero trust, “leadership in every area agree that security is a core part of the success of the organization as a whole,” Finney says. Insufficient education can also act as a barrier preventing the successful rollout of zero trust technologies, according to Finney. “Starting a zero trust project requires more than just changing the design of a network or modifying some settings in an application,” he says. “Everyone on the team needs to understand what zero trust is, why the organization is doing it, and what role they’ll play in supporting it.” “This means that every zero trust project needs to begin with education to help change not just the technology, but the culture of the organization as well,” he adds. Gary Brickhouse, CISO at GuidePoint Security, notes that an “overly-complex approach” to zero trust has driven up costs and timelines as organizations pursue overly strict alignment with zero trust principles. “Most organizations would benefit from a simplified risk-based approach, identifying critical use cases that are achievable and deliver the desired outcome of risk reduction,” Brickhouse says. “Early wins improving the security of the organization and moving the ZT [zero trust] needle forward builds confidence across the organization.” Rob Forbes, CISO at Stratascale, advises security leaders to develop a strategic roadmap before embarking on any zero trust project. “[CISOs should] start with a comprehensive assessment of their current security posture and assets,” Forbes counsels. “Next, develop a roadmap for zero trust implementation, prioritizing critical assets and high-risk areas.” These steps should be followed by investments in training and tools to support the transition to a zero trust model, which ought to be left open to further refinement as requirement evolve. “[Companies should] regularly review and update their zero trust strategy to adapt to new threats and technologies,” Forbes adds. AI ‘reinforces’ zero trust paradigm As agentic AI becomes increasingly embedded in the business, standard zero trust principles must be extended to keep the enterprise secure. By 2027, growth of AI agents will push 50% of CIOs to restructure and automate identity and data access and authorization management to reduce misuse and leakage as part of a zero trust architecture, according to industry analyst firm IDC. Security experts call on organizations to implement a new wave of zero trust, extending beyond people and devices to include AI agents. In practice, this means enforcing strict context boundaries, trusted domain controls, and AI-specific security reviews. John Kindervag, chief evangelist officer at Illumio, tells CSO that “AI doesn’t change the zero trust paradigm — it reinforces it.” “AI operates within the constraints of cybersecurity’s foundational rules, and attacks only work if there’s an open door,” Kindervag argues. The bigger risk is from AI models, according to Kindervag. “AI models can become a liability if not governed by zero trust,” he says. “If an organization doesn’t treat its AI models as protect surfaces, they risk manipulation, poisoning, or theft.” In most cases, AI supports zero trust implementation. “Good AI highlights high-risk communication patterns, surfaces unusual behaviour, and accelerates processes like labeling and policy implementation,” Kindervag explains. “AI can help in every step of the zero trust five-step methodology, but it really helps organizations to push beyond resilience into anti-fragility.” View the full article

Phishing has surged 400% year-over-year, highlighting need for real-time visibility into identity exposures. SpyCloud, the leader in identity threat protection, today released new data showing a sharp rise in phishing attacks that disproportionately target corporate users. The company tracked a 400% year-over-year increase in successfully phished identities, with nearly 40% of the 28+ million recaptured phished records containing a business email address – compared to just 11.5% in recaptured malware data. The result is a warning to enterprises that their workforce is three times more likely to be targeted with phishing attacks than infostealer malware. The findings reinforce a growing shift in cybercriminals’ strategy: phishing is now the preferred gateway into enterprise environments, and SpyCloud sees this trend continuing in 2026. Threat actors are using this access as a launchpad for follow-on attacks, with SpyCloud reporting in its 2025 Identity Threat Report that phishing is now the leading entry point for ransomware, accounting for 35% of all ransomware infections. “Phishing is now one of the most scalable tools cybercriminals use to breach enterprise environments,” said Trevor Hilligoss, SpyCloud’s Head of Security Research. “Cybercrime enablement services, like phishing-as-a-service kits that automate convincing lures and adversary-in-the-middle tactics that capture MFA tokens and session cookies, put advanced tactics into the hands of low-skilled actors, making it easier than ever to compromise users at scale. SpyCloud’s visibility into these campaigns gives organizations a critical edge, helping them detect who’s been targeted and what data has been exposed, and remediate those credentials before they can be weaponized.” SpyCloud is the only provider recapturing and automatically remediating successfully phished identity data and targeting lists at scale before follow-on attacks like ransomware, fraud, and account takeover can occur. “Many organizations rely on traditional defenses like email filtering, endpoint protection, and employee education to stop phishing and malware attempts, but those tools only go so far,” said Damon Fleury, SpyCloud’s Chief Product Officer. “Attackers are still getting through – and when they do, it’s the exposed identity data that enables further harm. Security teams need to be vigilant about what’s already been compromised and circulating in the criminal underground. Prevention is important, but without real-time visibility and post-compromise remediation, it’s not enough.” While phishing has become a dominant entry point, malware remains a critical threat vector. In the age of remote work and bring-your-own-device policies, personal exposures are increasingly used to compromise enterprise environments. A recent example is the 2025 Nikkei breach, where malware on a personal device led to the compromise of sensitive corporate data. Despite only 11.5% of recaptured malware infections exfiltrating business email addresses directly, SpyCloud data shows that nearly 1 in 2 corporate users have been the victim of an infostealer malware infection in their digital history, whether that be on a managed or unmanaged device – a strong indicator that threat actors are moving laterally from personal to corporate accounts. “Protecting the enterprise means looking beyond corporate accounts,” Fleury added. “Due to the continuous reuse of passwords and shared identity data across work and personal accounts like mobile numbers, the line between a user’s personal digital history and their professional access effectively no longer exists. That’s why it’s essential to monitor and remediate exposures across the full spectrum of an individual’s digital identity – personal and professional.” SpyCloud is the leader in holistic identity protection, detecting and protecting organizations from the phishing, malware, and breach exposures of employees, contractors, and vendors across personal and professional identities. Users can click here to learn more. About SpyCloud: SpyCloud transforms recaptured darknet data to disrupt cybercrime. Its automated identity threat protection solutions leverage advanced analytics and AI to proactively prevent ransomware and account takeover, detect insider threats, safeguard employee and consumer identities, and accelerate cybercrime investigations. SpyCloud’s data from breaches, malware-infected devices, and successful phishes also powers many popular dark web monitoring and identity theft protection offerings. Customers include seven of the Fortune 10, along with hundreds of global enterprises, mid-sized companies, and government agencies worldwide. Headquartered in Austin, TX, SpyCloud is home to more than 200 cybersecurity experts whose mission is to protect businesses and consumers from the stolen identity data criminals are using to target them now. To learn more and see insights on their company’s exposed data, users can visit spycloud.com. Contact Sr. Account Director Emily Brown REQ on behalf of SpyCloud [email protected] View the full article

Save on Naturepedic’s line of organic, thoughtfully crafted mattresses and bedding with our coupon codes for this month.View the full article

Enjoy discounts on Duo Premium and more sex toys with our Womanizer coupon codes.View the full article

Unlock up to 50% off, 40% off packages, and 25% off with top Groupon coupon codes. Explore coupons to save extra on travel getaways, holiday gifts, spa days, and event tickets.View the full article

A command injection vulnerability in Array Networks AG Series secure access gateways has been exploited in the wild since August 2025, according to an alert issued by JPCERT/CC this week. The vulnerability, which does not have a CVE identifier, was addressed by the company on May 11, 2025. It's rooted in Array's DesktopDirect, a remote desktop access solution that allows users to securely accessView the full article

Of the eight children murdered during lockdown, 7 were killed thanks to the actions of a step parent or new partner.View the full article

Abortion was legalised in Northern Ireland in 2019.View the full article

Across the country, people are looking to the church for help.View the full article

Abortion was legalised in Northern Ireland in 2019.View the full article

Isaiah 41:10 had the highest international engagement on YouVersion during 2025, while in the UK it was Jeremiah 29:11 that topped the list.View the full article

Podcaster Joe Rogan recently revealed more about his ongoing journey toward Christianity, explaining he has been moved by the kindness of Christians he knows at church and that he has grown convinced the Bible is not entirely mythical.View the full article

eamesBot – shutterstock.com Eine der Hauptaufgaben von CISOs besteht darin, nicht mehr die „Abteilung des Neins“ zu sein. Sie müssen Wege finden, die schnelle Bereitstellung von Produkten und Dienstleistungen für das Unternehmen zu ermöglichen, ohne gleichzeitig neue Risiken einzuführen. Das ist, kurz gesagt, das Paradoxon. In einem Umfeld, in dem Produktteams ständig neue Technologien testen und Updates in Rekordgeschwindigkeit bereitstellen müssen, können traditionelle Audits am Ende des Entwicklungszyklus nicht mithalten. Sicherheit muss vorgelagert werden. Sie muss in den täglichen Betrieb integriert werden, mit proaktiven, umsetzbaren Maßnahmen, die Innovationen fördern, anstatt sie zu bremsen. CISOs müssen daher von Anfang an enger mit den Teams zusammenarbeiten, um klare und praktische Risikotoleranzen festzulegen und Sicherheit in die Entwicklungsabläufe zu integrieren. Frühzeitig Partnerschaften eingehen, um Ergebnisse zu gestalten CISOs gewinnen nicht an Einfluss, wenn sie erst am Ende auftauchen. Sie müssen ihre Gatekeeper-Mentalität ablegen und vom ersten Tag an echte Partner sein. In der Vergangenheit, als Sicherheitsmaßnahmen erst in der Endphase eingeführt wurden, standen Entscheidungsträger vor einer schwierigen Wahl: Projektverzögerungen akzeptieren oder unverminderte Risiken in Kauf nehmen. Als Produktzyklen noch quartalsweise waren und Geschwindigkeit nicht über die Wettbewerbsfähigkeit entschied, war dieser Ansatz sinnvoll. In der heutigen Realität mit KI-gesteuerter Produktentwicklung funktioniert ein solcher Prozess in einem Umfeld, das aus Wochensprints, kontinuierlicher Bereitstellung und Abhängigkeiten von Herstellern besteht, nicht mehr. Wenn die Sicherheitsabteilung die Umsatzziele, Kundenversprechen und regulatorischen Risiken versteht, werden die Leitlinien konkret und hilfreich. Unternehmen sollten daher jedem Produktteam einen Sicherheitsbeauftragten zur Seite stellen. Dadurch gibt es immer eine vertraute Person, die sich mit Entscheidungen zu Identität, Datenflüssen, Protokollierung und Verschlüsselung befasst, sobald diese anstehen. Wir sollten nicht wollen, dass Entwickler für eine einfache Frage zweiwöchige Tickets eröffnen müssen. Es sollte offene „Sprechstunden”, Chat-Kanäle und kurze Telefonate geben, damit sie sofortiges Feedback zu Entscheidungen wie API-Design, Verschlüsselungsanforderungen und regionalen Datenbewegungen erhalten. Bürokratie muss im Sicherheitsumfeld abgeschafft werden. Sicherheitsmanager sollten an Sprint-Planungen und frühen Design-Reviews teilnehmen, um wichtige Fragen zu klären – beispielsweise Authentifizierungspfade, Least-Privilege-Zugriffe, Logging-Abdeckungoder wie Änderungen in der Produktion durch SIEM und EDR überwacht werden. Wenn CISOs mit am Tisch sitzen, ändert sich die Frage von „Können wir das machen?“ zu „Wie machen wir das sicher?“ und schon vom ersten Tag an werden bessere Ergebnisse erzielt. Risikotoleranzen und Leitplanken festlegen Teams werden langsamer, wenn sie sich nicht sicher sind, wie sie vorgehen sollen. Deshalb sollten ihnen ein Teil der Entscheidungsfindung abgenommen und die Integration von Authentifizierung, Autorisierung und Abrechnung in den Entwicklungsprozess übernommen werden. Für die Authentifizierung sollten Sie Lösungen für das Identitätsmanagement im Unternehmen einrichten und nutzen, anstatt Accounts zu entwickeln, die fest in Datenbanken geschrieben werden und die leicht kompromittierbar sind. Sicherheitschefs müssen außerdem standardisierte rollenbasierte Zugriffskontrollstufen definieren, die eine klare Aufgabentrennung im Lösungsdesign gewährleisten. Dazu sollte die Abrechnung nicht nur aus Protokollen bestehen, sondern Daten mit hoher Kardinalität zur Erkennung von Anomalien erfassen. Anschließen müssen diese in ein zentrales SOC (Security Operations Center) zur Erkennung und Reaktion auf Bedrohungen integriert werden. Produktentwicklungsteams sollten nicht mit Sicherheitsaufgaben betraut werden; stattdessen sollten andere Teams die Sichtbarkeit der Bedrohungen für die Lösungen in der Produktion im Auge behalten. CISOs müssen die Risikobereitschaft des Unternehmens in einer Geschäftssprache definieren, die keine Interpretationsspielräume zulässt. Sie sollten festlegen, welche Profile von Drittanbietern einer eingehenden Bewertung bedürfen und welche als begrenzte Pilotprojekte mit kompensierenden Kontrollen durchgeführt werden können. Entscheiden Sie, welche Schwachstellen einen Merge blockieren müssen und welche mit einem zeitlich begrenzten Behebungsplan fortgesetzt werden können. Klären Sie, welche Datenklassifizierungen regionenübergreifend sein dürfen und welche Schutzmaßnahmen dafür erforderlich sind. Anschließend müssen diese Entscheidungen in Automatisierung umgesetzt werden. Integrieren Sie Schutzmaßnahmen in CI/CD und Infrastructure-as-Code, damit die Durchsetzung konsistent und sichtbar ist. Scannen Sie jeden Code-Commit auf Schwachstellen, und wenn eine Änderung gegen eine kritische Richtlinie verstößt, schlägt der Build fehl – mit einer klaren Begründung und einem Lösungsweg. Liegt die Änderung innerhalb der Toleranzen, wird er ohne manuelles Eingreifen fortgesetzt. Das Ergebnis ist Governance als Beschleuniger: vorhersehbar, transparent und abgestimmt auf die Arbeitsweise der Entwicklungsteams. Security-by-Design in schnelle Entwicklerzyklen integrieren Wenn Entwickler mehrmals täglich Code bereitstellen, funktioniert eine „abschließende Sicherheitsüberprüfung” vor der Veröffentlichung einfach nicht. Dieses traditionelle Gatekeeping-Modell am Ende des Prozesses blockiert nicht nur Innovationen, sondern versäumt es auch, reale Risiken zu erkennen. Um effektiv zu sein, muss Sicherheit während der Entwicklung eingebettet werden und nicht erst nachträglich überprüft werden. Wenn der sichere Weg schwieriger ist als der unsichere Weg, werden Entwickler jedes Mal den einfachen Weg wählen. Die Aufgabe des CISO besteht nicht darin, ein 50-seitiges PDF zu verteilen, sondern Sicherheit direkt in die Entwicklerumgebung zu integrieren und ihnen vorab geprüfte, gehärtete Templates mit bereits integrierter Authentifizierung und Autorisierung zur Verfügung zu stellen, die standardmäßig sicher sind. Wenn die sichere Komponente einfacher zu verwenden ist als die unsichere Alternative, können Entwickler sie problemlos und jederzeit einsetzen. Automatisierung ist die Durchsetzungsebene für diese Strategie. Wenn Sicherheitstools direkt in die CI/CD-Pipeline integriert sind, ist Feedback fast in Echtzeit verfügbar. So kann das Team bei kritischen Risiken „schnell scheitern“ und gleichzeitig umsetzbare Korrekturen vornehmen. Diese Disziplin muss sich bis in die Produktion hineinziehen. Selbst mit erstklassigen DevSecOps wissen wir, dass Zero-Day-Angriffe oder Konfigurationsabweichungen auftreten können. Deshalb sollten wir uns auf übergreifende Lösungen zum Schutz von Webanwendungen verlassen, die eine robuste Web-Application-Firewall mit Laufzeit-Angriffsabwehr und Selbstschutz integrieren. Diese Lösungen mindern Schwachstellen und Risiken in Echtzeit, während die Anwendung in der Produktion läuft. Sie verschaffen den Entwicklungsteams die entscheidende Zeit, die sie benötigen, um das zugrunde liegende Problem ohne Dienstunterbrechung oder Sicherheitsverletzung zu beheben. Zudem wird so sichergestellt, dass wir selbst dann eingreifen können, wenn alle anderen Kontrollen versagen. Laufzeit-Telemetrie und risikobasierte Warnmeldungen sind die letzte Schutzschicht in diesem Konzept. Dies fördert einen kulturellen Wandel, der es Entwicklern ermöglicht, die volle Verantwortung für ihre Anwendungen zu übernehmen, von der ersten Codezeile bis hin zur Produktion. Die Sicherheit wiederum erreicht so eine umfassende und dauerhafte Abdeckung, ohne zum Engpass zu werden. (jm) Lesetipp: Vaillant-CISO im Interview – “Starten statt Warten” View the full article

eamesBot – shutterstock.com Eine der Hauptaufgaben von CISOs besteht darin, nicht mehr die „Abteilung des Neins“ zu sein. Sie müssen Wege finden, die schnelle Bereitstellung von Produkten und Dienstleistungen für das Unternehmen zu ermöglichen, ohne gleichzeitig neue Risiken einzuführen. Das ist, kurz gesagt, das Paradoxon. In einem Umfeld, in dem Produktteams ständig neue Technologien testen und Updates in Rekordgeschwindigkeit bereitstellen müssen, können traditionelle Audits am Ende des Entwicklungszyklus nicht mithalten. Sicherheit muss vorgelagert werden. Sie muss in den täglichen Betrieb integriert werden, mit proaktiven, umsetzbaren Maßnahmen, die Innovationen fördern, anstatt sie zu bremsen. CISOs müssen daher von Anfang an enger mit den Teams zusammenarbeiten, um klare und praktische Risikotoleranzen festzulegen und Sicherheit in die Entwicklungsabläufe zu integrieren. Frühzeitig Partnerschaften eingehen, um Ergebnisse zu gestalten CISOs gewinnen nicht an Einfluss, wenn sie erst am Ende auftauchen. Sie müssen ihre Gatekeeper-Mentalität ablegen und vom ersten Tag an echte Partner sein. In der Vergangenheit, als Sicherheitsmaßnahmen erst in der Endphase eingeführt wurden, standen Entscheidungsträger vor einer schwierigen Wahl: Projektverzögerungen akzeptieren oder unverminderte Risiken in Kauf nehmen. Als Produktzyklen noch quartalsweise waren und Geschwindigkeit nicht über die Wettbewerbsfähigkeit entschied, war dieser Ansatz sinnvoll. In der heutigen Realität mit KI-gesteuerter Produktentwicklung funktioniert ein solcher Prozess in einem Umfeld, das aus Wochensprints, kontinuierlicher Bereitstellung und Abhängigkeiten von Herstellern besteht, nicht mehr. Wenn die Sicherheitsabteilung die Umsatzziele, Kundenversprechen und regulatorischen Risiken versteht, werden die Leitlinien konkret und hilfreich. Unternehmen sollten daher jedem Produktteam einen Sicherheitsbeauftragten zur Seite stellen. Dadurch gibt es immer eine vertraute Person, die sich mit Entscheidungen zu Identität, Datenflüssen, Protokollierung und Verschlüsselung befasst, sobald diese anstehen. Wir sollten nicht wollen, dass Entwickler für eine einfache Frage zweiwöchige Tickets eröffnen müssen. Es sollte offene „Sprechstunden”, Chat-Kanäle und kurze Telefonate geben, damit sie sofortiges Feedback zu Entscheidungen wie API-Design, Verschlüsselungsanforderungen und regionalen Datenbewegungen erhalten. Bürokratie muss im Sicherheitsumfeld abgeschafft werden. Sicherheitsmanager sollten an Sprint-Planungen und frühen Design-Reviews teilnehmen, um wichtige Fragen zu klären – beispielsweise Authentifizierungspfade, Least-Privilege-Zugriffe, Logging-Abdeckungoder wie Änderungen in der Produktion durch SIEM und EDR überwacht werden. Wenn CISOs mit am Tisch sitzen, ändert sich die Frage von „Können wir das machen?“ zu „Wie machen wir das sicher?“ und schon vom ersten Tag an werden bessere Ergebnisse erzielt. Risikotoleranzen und Leitplanken festlegen Teams werden langsamer, wenn sie sich nicht sicher sind, wie sie vorgehen sollen. Deshalb sollten ihnen ein Teil der Entscheidungsfindung abgenommen und die Integration von Authentifizierung, Autorisierung und Abrechnung in den Entwicklungsprozess übernommen werden. Für die Authentifizierung sollten Sie Lösungen für das Identitätsmanagement im Unternehmen einrichten und nutzen, anstatt Accounts zu entwickeln, die fest in Datenbanken geschrieben werden und die leicht kompromittierbar sind. Sicherheitschefs müssen außerdem standardisierte rollenbasierte Zugriffskontrollstufen definieren, die eine klare Aufgabentrennung im Lösungsdesign gewährleisten. Dazu sollte die Abrechnung nicht nur aus Protokollen bestehen, sondern Daten mit hoher Kardinalität zur Erkennung von Anomalien erfassen. Anschließen müssen diese in ein zentrales SOC (Security Operations Center) zur Erkennung und Reaktion auf Bedrohungen integriert werden. Produktentwicklungsteams sollten nicht mit Sicherheitsaufgaben betraut werden; stattdessen sollten andere Teams die Sichtbarkeit der Bedrohungen für die Lösungen in der Produktion im Auge behalten. CISOs müssen die Risikobereitschaft des Unternehmens in einer Geschäftssprache definieren, die keine Interpretationsspielräume zulässt. Sie sollten festlegen, welche Profile von Drittanbietern einer eingehenden Bewertung bedürfen und welche als begrenzte Pilotprojekte mit kompensierenden Kontrollen durchgeführt werden können. Entscheiden Sie, welche Schwachstellen einen Merge blockieren müssen und welche mit einem zeitlich begrenzten Behebungsplan fortgesetzt werden können. Klären Sie, welche Datenklassifizierungen regionenübergreifend sein dürfen und welche Schutzmaßnahmen dafür erforderlich sind. Anschließend müssen diese Entscheidungen in Automatisierung umgesetzt werden. Integrieren Sie Schutzmaßnahmen in CI/CD und Infrastructure-as-Code, damit die Durchsetzung konsistent und sichtbar ist. Scannen Sie jeden Code-Commit auf Schwachstellen, und wenn eine Änderung gegen eine kritische Richtlinie verstößt, schlägt der Build fehl – mit einer klaren Begründung und einem Lösungsweg. Liegt die Änderung innerhalb der Toleranzen, wird er ohne manuelles Eingreifen fortgesetzt. Das Ergebnis ist Governance als Beschleuniger: vorhersehbar, transparent und abgestimmt auf die Arbeitsweise der Entwicklungsteams. Security-by-Design in schnelle Entwicklerzyklen integrieren Wenn Entwickler mehrmals täglich Code bereitstellen, funktioniert eine „abschließende Sicherheitsüberprüfung” vor der Veröffentlichung einfach nicht. Dieses traditionelle Gatekeeping-Modell am Ende des Prozesses blockiert nicht nur Innovationen, sondern versäumt es auch, reale Risiken zu erkennen. Um effektiv zu sein, muss Sicherheit während der Entwicklung eingebettet werden und nicht erst nachträglich überprüft werden. Wenn der sichere Weg schwieriger ist als der unsichere Weg, werden Entwickler jedes Mal den einfachen Weg wählen. Die Aufgabe des CISO besteht nicht darin, ein 50-seitiges PDF zu verteilen, sondern Sicherheit direkt in die Entwicklerumgebung zu integrieren und ihnen vorab geprüfte, gehärtete Templates mit bereits integrierter Authentifizierung und Autorisierung zur Verfügung zu stellen, die standardmäßig sicher sind. Wenn die sichere Komponente einfacher zu verwenden ist als die unsichere Alternative, können Entwickler sie problemlos und jederzeit einsetzen. Automatisierung ist die Durchsetzungsebene für diese Strategie. Wenn Sicherheitstools direkt in die CI/CD-Pipeline integriert sind, ist Feedback fast in Echtzeit verfügbar. So kann das Team bei kritischen Risiken „schnell scheitern“ und gleichzeitig umsetzbare Korrekturen vornehmen. Diese Disziplin muss sich bis in die Produktion hineinziehen. Selbst mit erstklassigen DevSecOps wissen wir, dass Zero-Day-Angriffe oder Konfigurationsabweichungen auftreten können. Deshalb sollten wir uns auf übergreifende Lösungen zum Schutz von Webanwendungen verlassen, die eine robuste Web-Application-Firewall mit Laufzeit-Angriffsabwehr und Selbstschutz integrieren. Diese Lösungen mindern Schwachstellen und Risiken in Echtzeit, während die Anwendung in der Produktion läuft. Sie verschaffen den Entwicklungsteams die entscheidende Zeit, die sie benötigen, um das zugrunde liegende Problem ohne Dienstunterbrechung oder Sicherheitsverletzung zu beheben. Zudem wird so sichergestellt, dass wir selbst dann eingreifen können, wenn alle anderen Kontrollen versagen. Laufzeit-Telemetrie und risikobasierte Warnmeldungen sind die letzte Schutzschicht in diesem Konzept. Dies fördert einen kulturellen Wandel, der es Entwicklern ermöglicht, die volle Verantwortung für ihre Anwendungen zu übernehmen, von der ersten Codezeile bis hin zur Produktion. Die Sicherheit wiederum erreicht so eine umfassende und dauerhafte Abdeckung, ohne zum Engpass zu werden. (jm) Lesetipp: Vaillant-CISO im Interview – “Starten statt Warten” View the full article

A prolonged lack of management of valid authentication keys for signed access tokens issued to authenticators is believed to be the root cause of over 30 million accounts being exposed externally by ecommerce giant Coupang. Ongoing analysis suggests that these keys could have been exploited even after the responsible employee left the company. On Nov. 29, Coupang released a statement confirming the unauthorized exposure of personal information from approximately 4,500 accounts on Nov. 18. The company also noted that the breach had been reported to the National Police Agency, the Korea Internet & Security Agency, and the Personal Information Protection Commission. Subsequent investigations, however, revealed that the damage involved approximately 33.7 million accounts. Leaked information included names, email addresses, shipping address lists, and some order information. Coupang stated that payment information, credit card numbers, and login information were not included. It is believed that unauthorized access occurred via overseas servers starting on June 24, 2025. The company also stated that it is currently cooperating with relevant authorities to investigate the cause of the breach. The Ministry of Science and ICT, the Seoul Metropolitan Police Agency, and other relevant agencies conducted an on-site investigation after receiving a report of a breach on Nov. 19 and a report of a personal information leak on Nov. 20. The investigation confirmed that the attacker exploited an authentication vulnerability in Coupang’s servers, bypassing the normal login process and leaking customer information. The government launched a joint public-private investigation team on Nov. 30, and the Personal Information Protection Commission is investigating whether Coupang violated its personal information protection safety measures — access control, access authority management, encryption, etc. As a service with such a high user base that it’s often called the “Amazon of Korea,” Coupang issued a public security notice on Nov. 29 to prevent secondary damage. Furthermore, a three-month period, starting Nov. 30, will be dedicated to strengthening the monitoring of personal information leaks and illegal distribution online. Meanwhile, Choi Min-hee, Chairwoman of the National Assembly Science, ICT, Broadcasting and Communications Committee, released the results of an analysis of the specific causes of the incident in a press release on Nov. 30. According to information received from Coupang, the company reportedly responded that “the token signing key validity period is often set to 5 to 10 years,” adding that “the rotation period is long and varies greatly depending on the key type.” Chairman Choi’s side explained this incident using an analogy to an access control system. If the “token” required for login is a single-use access card, the “signature key” is like the authentication stamp used to issue the access card. While access is impossible without the authentication stamp, even with the access card, if the signature key is left unattended for an extended period, it can be subject to continued exploitation. According to Rep. Choi Min-hee’s office, Coupang’s login system is designed to immediately discard tokens after they are created, but the signature information required for token creation was deleted or not updated when the employee in charge left the company, and was thus exploited by internal employees. In a press release, Chairman Choi Min-hee stated, “Coupang did not follow the most basic internal security procedure of renewing the signing key,” and “Abandoning a long-term valid authentication key was not simply a deviation by an internal employee, but the result of organizational and structural problems at Coupang that neglected the authentication system.” Victims of this breach have been notified via email or text message. Related information can also be found on a separate information page. Coupang CEO Park Dae-joon issued a separate statement on Nov. 30, saying, “We sincerely apologize for causing great inconvenience and concern to the public,” and “Coupang will do its best to prevent further damage by closely cooperating with the joint public-private investigation team including the Ministry of Science and ICT, the Personal Information Protection Commission, the Korea Internet & Security Agency, and the National Police Agency.” South Korean President Lee Jae Myung this week referenced the data breach at Coupang in calling for increased penalties for corporate negligence in such scenarios. The breach is believed to be the worst in South Korea in over a decade. Bloomberg reports that the breach may be a landmark case for South Korea. It could result in a record fine, potentially up to 1.2 trillion won (US$814M). The prime suspect is a former Coupang engineer who had worked on authentication systems. The police are investigating whether the former employee acted alone or collaborated with others on the breach. View the full article

Here are the answers for The New York Times Mini Crossword for Dec. 5.View the full article

Research suggests that your bathroom scrolling habit could raise your odds of a medical problem you definitely do not want.View the full article

George Foote, who served as the outside general counsel to the US Institute of Peace, said at WIRED’s Big Interview event that DOGE operatives arrived like a “strike team.”View the full article

The Spice Girls made the list, so let them tell you what they want, what they really, really want.View the full article

At WIRED’s Big Interview event, the activist and organizer said he doesn’t “think the Chuck Schumers of the world understand” what’s coming for the party.View the full article

Is it a bug? Is it a technical issue? Or did Apple just yank a camera feature that wasn't popular?View the full article

The newspaper is alleging copyright infringement and calling out Perplexity's Retrieval Augmented Generation (RAG) as a culprit. View the full article