Breach FM - der Infosec Podcast

🎙️ In der neuen Folge von Breach FM starten Robert und  Max beim Realitätscheck des 2026 Global CISO Leadership Report von Hitch Partners – und der Frage, was es mit den dort ausgewiesenen Durchschnittsgehältern von 470.000 Dollar außerhalb Nordamerikas auf sich hat. Methodisch bleibt der Report schwach und die Zahlen spiegeln kaum die Realität im DACH-Raum wider. 

Dann zum Paukenschlag der Woche: Anthropic veröffentlicht Claude Code Security als Public Beta und schickt damit Crowdstrike, Okta und Co. im zweistelligen Prozentbereich nach unten. Wir diskutieren, was das Tool wirklich kann und warum die Börsenreaktion eine klassische Überreaktion war. Living-off-the-Land-Angriffe oder gestohlene Session-Credentials löst auch der schönste Secure-Coding-Assistant nicht. Passend dazu: In OpenClaw gibt es bereits einen frischen CVE mit Remote Code Execution – ein Reminder, dass auch KI-Agenten-Frameworks Security Guardrails brauchen.

Außerdem: Amazon Web Services (AWS) Threat Intelligence dokumentiert eine russischsprachige Gruppe, die über 600 FortiGate-Geräte in 55 Ländern kompromittiert hat – ohne einen einzigen Exploit. Credential Stuffing auf exponierte Management-Ports mit fehlendem MFA reichte vollständig aus. Besonders bemerkenswert: auch der operative Einsatz von LLMs durch einen Threat Actor wird beschrieben. Wir ordnen ein, was daran wirklich neu ist, was wir komisch finden und ob wir gerade den Rise der KI-gestützten Script-Kiddies erleben. Untermauert wird das unter anderem durch aktuelle Warnungen aus den VAE und dem US-Verteidigungsministerium.

Zum Abschluss ein konstruktiver Ausblick: Hessen startet sein Aktionsprogramm Kommunale Cybersicherheit mit kostenlosem Incident-Response-Einsatz (zumindest 5 Tage davon) innerhalb von 24 Stunden für alle Kommunen. Flankiert von Sicherheitsaudits, Phishing-Simulationen und E-Learning. 

2026 Global CISO Leadership Report
https://2026-ciso-survey.vercel.app/

DOD leaders warn AI, cryptocurrency ‘lowers the bar’ for cybercriminals

UAE Cyber Security Council announces successful countering of ransomware attacks, identification of hackers
https://www.wam.ae/en/article/bhqhlnt-uae-cyber-security-council-announces-successful

1-Click RCE via Authentication Token Exfiltration From gatewayUrl
https://github.com/openclaw/openclaw/security/advisories/GHSA-g8p2-7wf7-98mq

AI-augmented threat actor accesses FortiGate devices at scale

https://aws.amazon.com/de/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/

Making frontier cybersecurity capabilities available to defenders
https://www.anthropic.com/news/claude-code-security?trk=feed_main-feed-card_feed-article-content

Land stärkt kommunale Cybersicherheit mit neuen kostenfreien Angeboten
https://hessen.de/presse/land-staerkt-kommunale-cybersicherheit-mit-neuen-kostenfreien-angeboten

🎧 Palo-Alto-Attribution, DJI-Saugroboter-Hack, Ring-Überwachungsdebatte, Notepad-RCE 🎙️

In der neuen Folge von Breach FM sprechen Max Imbiel und ich nach einigen Eindrücken von der Munich Cyber Security Conference über die Debatte rund um einen Unit-42-Report von Palo Alto Networks, der mutmaßlich chinesische Spionageaktivitäten beschreibt – ohne China explizit zu nennen. Wir diskutieren, was Attribution in der privatwirtschaftlichen Threat-Intel-Welt eigentlich leisten soll, wo wirtschaftliche und politische Zwänge beginnen und warum die Community darauf so emotional reagiert hat.

Außerdem geht es um eine ziemlich ernste, aber reale IoT-Story: Ein Sicherheitsforscher entdeckt beim Basteln an seinem DJI-Saugroboter eine Server-Fehlkonfiguration und erhält plötzlich Zugriff auf tausende Geräte inklusive Wohnungs-Karten und Telemetrie. Wir ordnen ein, warum solche Schwachstellen weniger „China-Problem“ als IoT-Strukturproblem sind – und was das über Privatsphäre im Smart-Home aussagt.

Passend dazu schauen wir auf einen gescheiterten Ring-Super-Bowl-Spot, der Nachbarschafts-Kameras zur KI-Suchtruppe macht – und warum der Backlash überraschend breit war. Zum Abschluss gibt’s noch eine frische Windows-Notepad-RCE sowie eine juristisch schräge Geschichte aus den Niederlanden über einen falsch versendeten Polizei-Downloadlink und die Frage: Wann wird neugieriges Klicken zu „Hacking“?

Man arrested for demanding reward after accidental police data leak
https://www.bleepingcomputer.com/news/security/man-arrested-for-demanding-reward-after-accidental-police-data-leak/

Exclusive: Palo Alto chose not to tie China to hacking campaign for fear of retaliation from Beijing, sources say
https://www.reuters.com/world/china/palo-alto-chose-not-tie-china-hacking-campaign-fear-retaliation-beijing-sources-2026-02-12/

Ring ends partnership plans with Flock days after privacy blowback from Super Bowl ad
https://therecord.media/ring-ends-partnership-with-flock-superbowl-ad

CVE-2026-20841 Security Vulnerability in Windows
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841

The DJI Romo robovac had security so poor, this man remotely accessed thousands of them
https://www.china-gadgets.de/sicherheits-gau-bei-dji-saugrobotern/
https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt

In der aktuellen Folge von Breach FM sprechen Robert und Max über neue Erkenntnisse zu Salt Typhoon und dessen Aktivitäten in europäischen Telekommunikationsnetzen – mit besonderem Blick auf Norwegen und die geopolitischen Implikationen langfristiger Spionagekampagnen. Wir diskutieren den kritischen Bericht des US Cyber Safety Review Board zur Sicherheitskultur bei Microsoft und fragen, was „Security Governance“ bei einem der wichtigsten Tech-Konzerne der Welt wirklich bedeutet.
Außerdem schauen wir auf Dänemarks ungewöhnlich offene Rekrutierungsoffensive für offensive Cyber-Operationen und ordnen ein, was das über aktuelle Bedrohungslagen und staatliche Cyberstrategien verrät. Mit dabei ist auch eine schwere Schwachstelle in Azure Front Door und warum „Patch your stuff“ weiterhin keine Floskel ist. Zum Abschluss geht es um gezielte Phishing-Kampagnen gegen Signal-Nutzer, die besonders Journalisten, Politiker und Militärs ins Visier nehmen – und warum hier weniger Technik als vielmehr Social Engineering das eigentliche Risiko ist.

Norwegian intelligence discloses country hit by Salt Typhoon campaign
https://therecord.media/norawy-intelligence-discloses-salt-typhoon-attacks 

Denmark's military intelligence service has launched a campaign to recruit cybersecurity specialists for offensive cyber operations
https://www.fe-ddis.dk/da/nyheder/2026/fe-soger-landets-skarpeste-hoveder-til-hackerakademi/

Gemeinsamer Sicherheitshinweis (BfV und BSI) - Phishing über Messengerdienste
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2026/202602_BfV_BSI.html

CSRB Slams Microsoft for ‘Inadequate’ Security Culture, Calls for Overhaul
https://www.meritalk.com/articles/csrb-slams-microsoft-for-inadequate-security-culture-calls-for-overhaul

CVE-2026-24300
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24300

The Technological Republic (Buch von Alex Karp)
https://www.m-vg.de/finanzbuchverlag/shop/article/25367-the-technological-republic/

Careless People
https://www.thalia.de/shop/home/artikeldetails/A1074309386

In der aktuellen Folge von Breach FM sprechen Max und Robert über einen bisher weniger beachteten Cyberangriff auf dezentrale Energieerzeuger in Polen und was das für die Resilienz kritischer Infrastrukturen bedeutet. Wir ordnen den Notepad++-Supply-Chain-Vorfall ein und diskutieren, warum selbst scheinbar unscheinbare Tools ein erhebliches Risiko darstellen können. Außerdem geht es um eine bemerkenswerte Schwachstelle im AWS-Build-Prozess, die theoretisch massive Auswirkungen gehabt hätte. Ein weiteres Thema ist das von Google teilweise zerschlagene Residential-Proxy-Netzwerk und seine Rolle für Cybercrime und staatliche Akteure. 

Notepad++ Hijacked by State-Sponsored Hackers
https://notepad-plus-plus.org/news/hijacked-incident-info-update/

Cyber Attack on Poland's Electric System 2025
https://tinyurl.com/mr3ntszc

AI Agents vs Humans: Who Wins at Web Hacking in 2026?
https://www.wiz.io/blog/ai-agents-vs-humans-who-wins-at-web-hacking-in-2026

CodeBreach: Infiltrating the AWS Console Supply Chain and Hijacking AWS GitHub Repositories via CodeBuild
https://www.wiz.io/blog/wiz-research-codebreach-vulnerability-aws-codebuild

No Place Like Home Network: Disrupting the World's Largest Residential Proxy Network
https://cloud.google.com/blog/topics/threat-intelligence/disrupting-largest-residential-proxy-network?hl=en

Max und Robert haben auch diese Woche wieder keine Mühen gescheut euch die aktuellen Cyber News aufzubereiten.

Layered Ambiguity: US Cyber Capabilities in the Raid to Extract Maduro from Venezuela
https://www.rusi.org/explore-our-research/publications/commentary/layered-ambiguity-us-cyber-capabilities-raid-extract-maduro-venezuela

Reprompt: The Single-Click Microsoft Copilot Attack that Silently Steals Your Personal Data
https://www.varonis.com/blog/reprompt

Windows 11 shutdown bug forces Microsoft into out-of-band damage control
https://www.theregister.com/2026/01/19/windows_11_shutdown_bug/

CISA to cease participation at RSAC conference after Biden-era cyber leader named CEO
https://www.nextgov.com/cybersecurity/2026/01/cisa-cease-participation-rsac-conference-after-biden-era-cyber-leader-named-ceo/410921/?oref=ng-homepage-river

Projekt Aegis: Ohne Rechtsrahmen bleibt Cyberschutz unvollständig
https://cdultnds.de/2026/01/21/projekt-aegis-ohne-rechtsrahmen-bleibt-cyberschutz-unvollstaendig

Niedersachsen implementiert mit „Projekt Aegis“ Schutzschirm gegen Cyberangriffe
https://www.mi.niedersachsen.de/startseite/aktuelles/presseinformationen/niedersachsen-implementiert-mit-projekt-aegis-schutzschirm-gegen-cyberangriffe-248018.html

Resurgence of a multi‑stage AiTM phishing and BEC campaign abusing SharePoint 
https://www.microsoft.com/en-us/security/blog/2026/01/21/multistage-aitm-phishing-bec-campaign-abusing-sharepoint/

Microsoft Gave FBI Keys To Unlock Encrypted Data, Exposing Major Privacy Flaw
https://www.forbes.com/sites/thomasbrewster/2026/01/22/microsoft-gave-fbi-keys-to-unlock-bitlocker-encrypted-data/