Breach FM - der Infosec Podcast

In der neuen Folge von Breach FM sitzen Max und ich mal wieder beide zu Hause. Ich berichte kurz aus Brüssel, wo ich im EU-Parlament zu einer Expertenrunde zum CSA2 geladen war – und gemerkt habe, wie schwer es selbst Fachleuten fällt, die wachsende Regulierungslandschaft auseinanderzuhalten. Max bringt RSA-Nachschau mit: KI ist überall, aber die Gespräche dahinter sind spürbar substanzieller geworden.
Das private E-Mail-Konto von FBI-Direktor Kash Patel wurde von derselben iranischen Gruppe geknackt, über die wir zuletzt gesprochen haben. Bisher wurden vor allem private Bilder veröffentlicht – wir diskutieren, ob das eine Tröpfchentaktik ist oder das Ende der Fahnenstange.
LexisNexis bestätigt einen Breach über eine ungepatchte React-Frontend-Schwachstelle – drei Monate nach CVE-Veröffentlichung. Abgeflossen: 3,9 Millionen Datenbankeinträge, 21.000 Kundenaccounts, mehrere AWS-Secrets. Den OVHcloud-Claim aus der Vorwoche klären wir kurz: OVH hat dementiert, es sieht nach einem Fake-Data-Scam aus.
Der technisch spannendste Fall: LiteLLM wurde Opfer eines mehrstufigen Supply-Chain-Angriffs durch TeamPCP. Die Angreifer kompromittierten zunächst den Trivy Security-Scanner in LiteLLMs CI/CD-Pipeline, stahlen die PyPI-Publishing-Credentials und veröffentlichten zwei manipulierte Versionen. Version 1.82.8 führte Schadcode über eine .pth-Datei automatisch bei jedem Python-Interpreter-Start aus – kein Import nötig. Wer diese Versionen betrieben hat, sollte API-Keys sofort rotieren.
Dem Startup Delve – $32 Millionen Funding, $300 Millionen Valuation, Forbes-30-Under-30-Gründer – wird vorgeworfen fabrizierte SOC-2-Nachweise ausgestellt, Beobachtungsfristen übersprungen und 494 identische Compliance-Reports verschickt zu haben. Das als KI vermarktete Produkt soll in Wahrheit schlicht offshore ausgelagert gewesen sein.
Von Google kommen drei Meldungen: TurboQuant verspricht massive LLM-Kompression – noch theoretisch, aber mit großem Kostenpotenzial. Google will außerdem alle Systeme bis 2029 auf Post-Quantum-Kryptographie umstellen, zwei Jahre früher als geplant – ein Hinweis, wie weit der eigene Quantencomputer-Fortschritt intern bereits ist. Und schließlich kündigt Google eine Threat Disruption Unit an, die Cybercrime-Infrastruktur proaktiv neutralisieren soll – konsequent zur White House Cyber Strategy, aber mit offenen Fragen sobald Botnetze aus legitimen Unternehmensgeräten bestehen.

New LexisNexis Data Breach Confirmed After Hackers Leak Files
https://www.securityweek.com/new-lexisnexis-data-breach-confirmed-after-hackers-leak-files/

Delve accused of misleading customers with ‘fake compliance’
https://techcrunch.com/2026/03/22/delve-accused-of-misleading-customers-with-fake-compliance/

TurboQuant: Redefining AI efficiency with extreme compression
https://research.google/blog/turboquant-redefining-ai-efficiency-with-extreme-compression/

Iran-linked hackers breach FBI director's personal email, publish photos and documents
https://www.reuters.com/world/us/iran-linked-hackers-claim-breach-of-fbi-directors-personal-email-doj-official-2026-03-27/

Google launches threat disruption unit, stops short of calling it ‘offensive’
https://www.nextgov.com/cybersecurity/2026/03/google-launches-threat-disruption-unit-stops-short-calling-it-offensive/412321/

Quantum frontiers may be closer than they appear
https://blog.google/innovation-and-ai/technology/safety-security/cryptography-migration-timeline/

How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM
https://snyk.io/de/articles/poisoned-security-scanner-backdooring-litellm/

In der neuen Folge von Breach FM meldet sich Max direkt von B-Sides San Francisco. Sein Eindruck: KI ist auf jedem Stand, aber anders als noch vor einem Jahr wissen einige der Leute dahinter wirklich, was sie bauen. Keynote-Botschaft: die Security-Industrie braucht wieder mehr Optimismus – und die Geschichte zeigt, dass sie aus jeder Krise verbessert rausgekommen ist.
Eines der Hauptthemen der Folge ist der Angriff auf Stryker. Die Iran-nahe Gruppe Handala – nach Einschätzung von Palo Alto und CrowdStrike eine staatliche Einheit aus dem Umfeld des iranischen Geheimdienstministeriums MOIS – hat Zugriff auf Strykers Microsoft-Intune-Umgebung erlangt und einen Remote-Wipe über gut 200.000 Geräte in 79 Ländern ausgelöst, inklusive privater BYOD-Geräte. Kein Ransomware, kein Malware – einfach alles weg. Wir diskutieren, warum das fehlende Multi-Admin-Approval in Intune eine strukturelle Schwäche sein kann und was es bedeutet, wenn die gefährlichste Waffe im Netzwerk das eigene IT-Management-Tool ist.
Direkt anschließend eine Geschichte, die in der deutschen Security-Community gerade extreme Wellen schlägt: PTC hat das BKA über eine Schwachstelle in ihrem PLM-Tool Windchill informiert – und LKA-Beamte fuhren nachts bei Geschäftsführern vor und klingelten sie wach. Grundsätzlich richtig, Unternehmen bei realer Gefahr auch unkonventionell zu erreichen – mit dem aktuellen Wissensstand fühlt sich die Aktion aber befremdlich an. Wir hoffen noch mehr Informationen zu erlangen.
Dann zur Studie, die niemanden überraschen sollte: KI-Agenten deaktivieren EDR-Lösungen eigenständig, wenn diese ihre Arbeit blockieren – nicht aus böser Absicht, sondern weil sie auf Output optimieren. Genau wie Admins, die kurz mal den EDR abschalten. Unsere These: KI-Agenten brauchen dieselben Zero-Trust-Prinzipien wie menschliche Identitäten im Netzwerk.
Zum Abschluss: wie Google über reCAPTCHA jahrelang die Weltbevölkerung als kostenloses KI-Trainingsprogramm eingespannt hat – erst für Texterkennung, dann für Bilderkennung für autonomes Fahren. Ob das schlimm ist, darüber sind wir uns nicht ganz einig. Ich bekenne mich aber schuldig, durch wildes Klicken möglicherweise mitverantwortlich für Waymos heutige Schwächen in der Katzenerkennung zu sein.

Emergent Cyber Behavior: When AI Agents Become Offensive Threat Actors
https://www.irregular.com/publications/emergent-offensive-cyber-behavior-in-ai-agents

Stryker attack raises concerns about role of device management tool
https://www.cybersecuritydive.com/news/stryker-attack-device-management-microsoft-iran/814816/

How ‘Handala’ Became the Face of Iran’s Hacker Counterattacks
https://www.wired.com/story/handala-hacker-group-iran-us-israel-war/

Critical RCE Vulnerability reported in Windchill
https://www.ptc.com/en/support/article/CS466318?as=0

You've been training Google's AI for 15 years. You had no idea.
https://x.com/sharbel/status/2033921312716882384?s=46

In der neuen Folge von Breach FM starten wir direkt mit einer Geschichte, die zeigt, wie ein staatliches Cyberweapon seinen Weg vom Rüstungskonzern bis zur organisierten Kriminalität findet.
Google-Forscher haben ein 23-teiliges iPhone-Exploitation-Framework namens Coruna aufgedeckt, dessen Code laut Aussagen ehemaliger Mitarbeiter aus der Trenchant-Division von L3 Harris stammt – einer Rüstungsfirma, die Surveillance-Tools für US-Behörden und Five-Eyes-Partner entwickelt. Peter Williams, ehemaliger General Manager bei Trenchant, verkaufte das Toolkit an den russischen Zero-Day-Broker "Operation Zero", der laut US-Behörden direkt mit russischen Regierungsstellen zusammenarbeitet. Gezielt in der Ukraine eingesetzt, tauchten Teile des Frameworks später in der Operation Triangulation auf – einer iOS-Zero-Click-Kette, die 2023 von Kaspersky entdeckt wurde – und landeten schließlich bei chinesischen Gruppen für Kryptowährungsdiebstahl. Williams wurde zu gut sieben Jahren Haft verurteilt, eine Strafe, über deren Verhältnismäßigkeit wir uns nicht ganz einig sind.
Dann zu den Iran-Themen von Max: Das polnische Nuklearforschungszentrum NCBJ wurde Opfer eines Cyberangriffs mit Iran-Attribution – offenbar ein Fehlschuss, eine Forschungseinrichtung statt einer operativen Nuklearanlage. Parallel dazu berichtet die New York Times über den massiven Einsatz generativer KI für iranische Desinformationskampagnen: vollautomatisierte Fake-Accounts, KI-generierte Explosionsbilder, algorithmisch gepushte Bot-Kommentare – billiger und schneller skalierbar als jede Trollfarm. Wir diskutieren das Netanyahu-Deepfake-Gerücht und warum die Faustregel "wenn es nach KI aussieht, ist es KI" dann versagt, wenn echte Videos nachträglich verfremdet werden, um ihre Authentizität zu untergraben.
Zum Abschluss ein Thema, das wir schon länger auf dem Radar hatten: Incident-Responder, die gleichzeitig für Ransomware-Gruppen arbeiten. Angelo Martino von DigitalMint wurde festgenommen, nachdem Ryan Goldberg (Sygnia) und Kevin Martin (DigitalMint) sich bereits schuldig bekannt haben. Die drei saßen als ALPHV/BlackCat-Affiliates bei Fällen mit Lösegeldzahlungen von insgesamt über 75 Millionen Dollar auf beiden Seiten des Tisches – als bezahlter Responder beim Opfer und gleichzeitig als Informant für die Angreifer. Wir ordnen ein, warum Background-Checks in dieser Branche strukturell kaum ausreichen werden – und warum das trotzdem keine Entschuldigung für mangelnde Due Diligence ist.

US military contractor likely built iPhone hacking tools used by Russian spies in Ukraine
https://techcrunch.com/2026/03/10/us-military-contractor-likely-built-iphone-hacking-tools-used-by-russian-spies-in-ukraine/

Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit
https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit?hl=en

WA man jailed for stealing intimate material and using ‘evil twin’ WiFi networks
https://www.afp.gov.au/news-centre/media-release/wa-man-jailed-stealing-intimate-material-and-using-evil-twin-wifi

Hacking Attempt Reported at Poland’s Nuclear Research Center
https://www.securityweek.com/hack-attempt-reported-at-polands-nuclear-research-center/

Cascade of A.I. Fakes About War With Iran Causes Chaos Online
https://www.nytimes.com/interactive/2026/03/14/business/media/iran-disinfo-artificial-intelligence.html?unlocked_article_code=1.TVA.ng5C.XptQ5HbNUCwF&smid=url-share&utm_source=doppelgaenger.beehiiv.com&utm_medium=newsletter&utm_campaign=kw12-die-petrochemische-weltordnung&_bhlid=bcb9705b6acf8d77db93b0fadc5c2292599d1547

Ransomware incident responder gave info to BlackCat cybercriminals during negotiations, DOJ alleges
https://therecord.media/ransomware-blackcat-doj-incident-responder

Robert war leider zu müde von meinen Abenteuern am Wochenende für eine pünktliche Folge - dafür steigen wir direkt mit dem vielleicht kuriosesten KI-Fail des noch jungen Jahres ein.
Sicherheitsforscher von CodeWall haben McKinseys interne Gen-AI-Plattform "Lilli" auseinandergenommen. Über 200 API-Endpunkte waren öffentlich zugänglich, 22 davon komplett ohne Authentifizierung. Besonders pikant: Die Reconnaissance haben die Forscher selbst größtenteils per KI-Agenten durchgeführt – der dann autonom anfing, die gefundene API-Dokumentation zu testen. Das Ergebnis war eine SQL-Injection über unsanitierte JSON-Keys, mit der man am Ende rund 46,5 Millionen Chatnachrichten, 57.000 Nutzerkonten, die komplette Organisationsstruktur und den gesamten vektorisierten Wissensbestand der Plattform hätte abgreifen können – inklusive fast live mitlesbar, welcher Berater gerade an was arbeitet. McKinsey hat nach Responsible Disclosure innerhalb eines Tages gepatcht, was fair ist. Dass sowas bei einer der einflussreichsten Beratungsfirmen der Welt gebaut werden konnte, bleibt trotzdem schwer zu erklären.
Passend dazu: OpenAI hat Promptfoo akquiriert – ein Framework für LLM Red-Teaming und Pentesting, gerade mal zwei Jahre alt. Das Tool war auf automatisiertes Testen von Prompt Injections, Jailbreaks und Data Leakage ausgelegt und bereits bei über 100.000 Entwicklern und zahlreichen Fortune-500-Unternehmen im Einsatz. Wir ordnen ein, warum wir eher an einen Acquihire glaube als an ein eigenständiges Produkt – und warum AI Application Security trotzdem gerade als eigenständige Marktkategorie entsteht.
Dann schauen wir uns Trumps neue Cyber Strategy for America an – und sind ehrlich überrascht. Das Dokument ist auffällig kurz, aber das ist nicht zwingend ein Kritikpunkt. Sechs strategische Leitlinien, darunter offensive Abschreckung, stärkere Einbindung der Privatwirtschaft gegen Cybercrime-Netzwerke und Regulierungsentlastung. Wir diskutieren, was losgelöst vom Namen auf dem Deckblatt inhaltlich tatsächlich Sinn ergibt und wo berechtigte Skepsis bleibt.
Zum Abschluss: Satya Nadella kündigt Copilot Cowork an – einen vollständigen Workspace-Agenten mit Zugriff auf alle Apps und Dateien innerhalb von M365. Wir fragen uns, wann der erste Pentesting-Report kommt, der das auseinandernimmt und warum das undurchschaubare Microsoft-Lizenz-Ökosystem selbst für erfahrene Security-Leute mittlerweile kaum noch zu überblicken ist.

HOW WE HACKED MCKINSEY'S AI PLATFORM
https://codewall.ai/blog/how-we-hacked-mckinseys-ai-platform

OpenAI to acquire Promptfoo
https://openai.com/index/openai-to-acquire-promptfoo/

Trumps Cyber Strategy for America
https://www.whitehouse.gov/wp-content/uploads/2026/03/president-trumps-cyber-strategy-for-america.pdf

Announcing Copilot Cowork, a new way to complete tasks and get work done in M365.
https://x.com/satyanadella/status/2030992877665583440?s=46

🎙️ In der neuen Folge von Breach FM starten Max und Robert mit dem größten KI-Policy-Clash der Woche: Anthropic weigert sich, seine ethischen Guardrails auf Verlangen des Department of War zu entfernen – und wird prompt als Supply Chain Risk tituliert. Wir ordnen ein, was davon juristisch haltbar ist, was pure Machtpolitik ist und warum dieses Label in bisher beispielloser Weise gegen ein amerikanisches Unternehmen eingesetzt wird. Dazu: Sam Altman postet Solidarität und macht wenige Stunden später einen DOW-Deal – und ein SPD-Digitalexperte wittert die Chance, Anthropic nach Europa zu holen.

Dann zu einem Thema, das unter dem Radar fliegt: Anthropic veröffentlicht einen Blogartikel über Destillationsangriffe durch chinesische Akteure. 16 Millionen Konversationen, 24.000 Accounts, mindestens zwei namentlich genannte Firmen – und das Ergebnis sind Open-Source-Modelle auf westlichem Top-Level bei halbem Energieaufwand. Wir diskutieren, warum das zwar ein reales Problem ist – aber von Unternehmen adressiert wird, die selbst jahrelang großzügig mit dem Urheberrecht anderer umgegangen sind.

Anschließend der Samstag, der die Welt verändert hat: USA und Israel greifen den Iran an, der Iran fährt innerhalb von dreieinhalb Stunden sein komplettes Internet herunter. Der Cloudflare Radar bildet das in Echtzeit ab – und ein AWS-Rechenzentrum in den VAE wird von Objekten getroffen, mit Auswirkungen auf die Availability Zone MEC1-AZ2. Wer dabei komplett offline war, sollte weniger über Cloud-Souveränität nachdenken als über seine Multi-AZ-Strategie.

Außerdem: Eine iranische Gebets-App mit 5 Millionen Downloads wird genutzt, um der Bevölkerung auf Persisch Push-Nachrichten zu schicken – „Help is on the way". Gehackt oder von Anfang an lanciert? Wir haben eine klare Meinung. Und zum Abschluss das vielleicht beste Stück opportunistisches Marketing der Woche: Der CEO von Whoop nutzt ein Foto aus dem Mar-a-Lago Situation Room, um klarzustellen, dass sein Armband kein Mikrofon hat – und der Stabschefin angesichts ihrer Performance eine grüne Recovery bescheinigt.

Anthropics Statement on the comments from Secretary of War Pete Hegseth
https://www.anthropic.com/news/statement-comments-secretary-war

Wyden blocks Rudd confirmation to lead Cyber Command, NSA
https://therecord.media/wyden-blocks-rudd-confirmation-nsa-cyber-command

Hacked Prayer App Sends “Surrender” Messages to Iranians Amid Israeli Strikes
https://www.wired.me/story/hacked-prayer-app-sends-surrender-messages-to-iranians-amid-israeli-strikes

Cloudflare Radar
https://radar.cloudflare.com/de-de