Wer hat Angst vorm bösen Wolf? Voice Cloning und die moderne Täuschung

Wer das Märchen vom bösen Wolf kennt, weiß, dass er mit geschickten Tricks seine Opfer täuschen konnte. Ähnlich kann uns heute auch künstliche Intelligenz (KI) täuschen.

Social Engineering ist mindestens so alt wie die Märchen der Gebrüder Grimm. In der Geschichte "Der Wolf und die sieben jungen Geißlein" wendet der Wolf verschiedene Tricks an, um sich als die Mutter der Geißlein auszugeben. Am Ende gelingt es ihm, die Geißlein zu überlisten, und sie öffnen ihm die Tür, was für sie verheerende Folgen hat. Dieses Märchen lehrt, dass man scheinbar vertrauten Merkmalen wie Aussehen und Stimme nicht uneingeschränkt trauen sollte.

KI: Der Wolf im Schafspelz

KI kann in vielen Bereichen die Arbeit erleichtern, doch sie birgt auch Risiken: Zum einen sollte man einer KI niemals uneingeschränkt vertrauen, da sie auf große Datenmengen unterschiedlichster Quellen trainiert wird, um Muster zu erkennen und Entscheidungen zu treffen. Wenn diese Daten unvollständig, voreingenommen, ungenau oder fehlerhaft sind, kann die KI falsche Schlussfolgerungen ziehen. Man erhält dann ungenaue oder fehlerhafte Antworten, die in sich plausibel klingen können. Zum anderen ermöglichen neue Technologien raffiniertere Angriffe. Insbesondere im Bereich des Social Engineerings können Angreifer nun einfacher, schneller und gezielter vorgehen, um uns ebenso zu täuschen, wie der böse Wolf im Märchen. Zukünftig wird es schwieriger sein Phishing-Angriffe zu erkennen. Im oben genannten Märchen täuscht der Wolf mit geschickten Tricks vor, eine bekannte Figur zu sein, um das Vertrauen seiner Opfer zu gewinnen. Heute sprechen wir von "Deepfakes" wie Voice Cloning sowie Bild- und Video-Manipulation. Genau wie die Geißlein im Märchen sollten wir vorsichtig sein, wem wir vertrauen und die Türe öffnen!

Zu diesem Thema haben wir an der Bunten Nacht der Digitalisierung einen Vortrag gehalten. Nachfolgend finden Sie das Video vom Vortrag als gekürzte Fassung.

Funktionsweise einer künstlichen Intelligenz

Vereinfacht ausgedrückt basiert eine KI auf statistischen Methoden, Wahrscheinlichkeiten und Mustererkennung. Durch das Training mit großen Datenmengen lernt sie, welche Muster in den Daten auftreten und wie Sprache verwendet wird. Ein KI-Sprachmodell wird mit umfangreichen Textdaten trainiert, die einen großen Teil des dokumentierten menschlichen Wissens umfassen. Dadurch kann es Vorhersagen darüber treffen, welche Wörter in einem bestimmten Kontext sinnvoll sind. Der Unterschied zwischen einem Huhn und einer Kuh wird von der KI erkannt, weil sie in den Trainingsdaten zahlreiche Beschreibungen beider Tiere verarbeitet hat.

Der erzeugte Text einer KI ist jedes Mal neu und kann variieren. Die Ergebnisse sind nicht deterministisch, was bedeutet, dass eine KI auf dieselbe Frage unterschiedliche Antworten geben kann – Im Gegensatz zu einem klassischen Computerprogramm, das mit festgelegten Anweisungen wie "if", "then" und "else" arbeitet.

Neue Angriffsmethoden bei Phishing und Vishing

Phishing ist eine beliebte Social Engineering Methode und kann über verschiedene Kanäle wie SMS, E-Mail und verschiedene Messenger ablaufen. Mit speziellen KIs können automatisiert personalisierte Phishing-Angriffe durchgeführt werden. Diese KIs scannen zum Beispiel Websites der anzugreifenden Firmen und erstellen mit den gesammelten Informationen automatisch Phishing-Nachrichten und versenden sie an selbst ausgewählte Empfänger.

Neben schriftlichen Phishing-Angriffen gibt es auch Angriffe per Telefon, sogenanntes Vishing. Angreifende geben sich zum Beispiel als Mitarbeitende eines großen Softwarekonzerns aus, um so an sensible Informationen ihrer Opfer zu gelangen. Traditionell erforderte diese Methode hohe Personalaufwendungen mit Callcenter-Charakter. Durch das Verbinden von textgenerativer und text-to-speech KI lassen sich mit minimalem Aufwand viele Opfer gleichzeitig erreichen.
Durch angepasstes Voice Cloning und gezieltes Vishing werden Methoden wie der altbekannte "Enkel-Trick" noch gefährlicher. Die Art der Angriffe ist nicht neu. Allerdings werden sie durch den Einsatz von Voice Cloning viel erfolgreicher.

KI-Technologie für Voice Cloning

Im Zusammenhang mit Voice Cloning kann ein Sprach-KI-Modell trainiert werden, um die Stimme einer bestimmten Person nachzuahmen, indem es Stimmproben verwendet und erlernt, wie sie sprechen. Es gibt bereits Open-Source-KIs mit benutzerfreundlichen Oberflächen, die von vielen Menschen ohne umfangreiche Vorkenntnisse verwendet werden können. Somit können sich Angriffe in diesem Bereich häufen.

Es gibt zwei Haupttypen von KI für Voice Cloning:

  • Text-to-Speech (TTS)
    Bei dieser Methode wird der Text vorgegeben, den die geklonte Stimme vorlesen soll. Die TTS-Technologie liest einfach einen bestimmten Text laut vor und erzeugt so eine künstliche Sprachausgabe.
  • Inference
    Bei dieser Methode liest das trainierte Modell keine Text-Datei vor, sondern manipuliert die Stimmmerkmale in einer bestehenden Audioaufnahme. Mit Echtzeit-Modellen können so Texte direkt beim Sprechen mit der geklonten Stimme ausgegeben werden.

So gelangen Angreifende an Stimmproben

Es gibt verschiedene Möglichkeiten, wie Angreifende an Stimmproben gelangen können. Die beiden wahrscheinlichsten Szenarien sind Social Engineering und öffentlich verfügbare Sprachaufzeichnungen:

  • Social Engineering
    Angreifende können ihre Zielperson in ein Gespräch verwickeln und diese heimlich aufzeichnen. So erhalten sie Stimmproben, die sie später für das Klonen der Stimme verwenden können.
  • Öffentlich verfügbare Sprachaufzeichnungen
    Öffentliche Aufzeichnungen von Reden oder Social-Media-Profilen mit Videoinhalten im Internet können als Quelle für Stimmproben dienen. Dies kann insbesondere für Personen riskant sein, die in der Öffentlichkeit stehen oder über soziale Medien aktiv sind.

Legitime Anwendungsfälle für Voice Cloning

Neben dem Missbrauch von Voice Cloning für kriminelle Zwecke gibt es auch einige Bereiche in denen es sinnvoll und legal eingesetzt werden kann. Zum Beispiel hier:

  • Bildung und Lernen
    Durch das Klonen von Sprache können multilinguale Schulungsmaterialien einfacher erstellt werden. Dies könnte die Verfügbarkeit von Lehrmaterialien in verschiedenen Sprachen ermöglichen und Schüler mit unterschiedlichem Hintergrund besser auf das Lernen vorbereiten.
  • Barrierefreiheit
    Voice Cloning kann Menschen helfen, die aufgrund körperlicher Einschränkungen oder Unfällen nicht mehr in der Lage sind, ihre Stimme zu verwenden. Mithilfe eines trainierten Text-to-Speech-Modells können sie weiterhin kommunizieren und mit ihrer eigenen Stimme sprechen.
  • Entertainment
    Voice Cloning kann verwendet werden, um die Sprechrollen von Schauspielern in Filmen oder Videospielen nachzustellen.
  • Geschichtspräsentation
    Voice Cloning kann historische Persönlichkeiten und Ereignisse zum Leben erwecken. Durch das Klonen bekannter Stimmen könnten Menschen diese Personen und ihre Lebensgeschichten besser verstehen, da die Präsentation authentischer wirkt.

Social Engineering – Motive und Techniken

Angreifende nutzen gezielt die psychologischen Schwächen der Menschen aus und verwenden dabei verschiedene Methoden, um ihre Ziele zu erreichen. Zu ihren Motiven zählen finanzielle Bereicherung durch Erpressung oder Betrug, politische und soziale Manipulation zur Generierung von Unruhen in der Bevölkerung, Identitäts- oder Datendiebstahl, Rufschädigung oder Desinformation.

Durch geschickt eingefädelte Tricks setzen Angreifende eine oder mehrere Taktiken ein. Oft basieren sie auf den Prinzipien der Überzeugungspsychologie, wie sie der bekannte US-amerikanische Psychologe Robert B. Cialdini in seinem Buch "Die Psychologie des Überzeugens" (1984) beschreibt:

  • Zeitdruck
  • Autorität
  • Gegenseitigkeit
  • Soziale Bewährtheit
  • Verpflichtung und Konsistenz
  • Sympathie

2016 ergänzte Cialdini die sechs Techniken um eine weitere: Das Prinzip der Einheit und gemeinsamen Identitäten.

Betrug funktionierte schon immer, indem die menschliche Psyche ausgenutzt wird. Im Laufe der Jahre haben sich jedoch die Anforderungen verändert. Angreifende passen ihre Methoden ständig an, um möglichst erfolgreich zu sein. Mit KIs haben sie einen praktischen Werkzeugkasten erhalten, der es ihnen noch einfacher macht, Angriffe durchzuführen.

Betrug erkennen und sich davor schützen

Um sich vor Betrugsversuchen zu schützen, ist es wichtig, wachsam und skeptisch gegenüber ungewöhnlichen Vorfällen zu sein. Wir haben Ihnen hier einige Strategien aufgelistet, wie Sie sich vor Social Engineering schützen können:

  • Sicherstellen der Identität
    • Seien Sie skeptisch, wenn ungewöhnliche Kommunikationswege gewählt wurden.
    • Hinterfragen Sie ungewöhnliche Aufforderungen kritisch, selbst wenn sie von vermeintlich bekannten Personen stammen.
    • Im Zweifel wählen Sie einen bekannten und sicheren Kommunikationsweg zur Rückfrage oder Verifizierung.
  • Geben Sie im Internet nur die nötigsten persönlichen Informationen preis.
    • Wenn möglich, achten Sie darauf, dass Ihre Stimme nicht frei im Internet verfügbar ist.
    • Vermeiden Sie die Weitergabe vertraulicher Informationen über unsichere Kanäle.
    • Definieren und verwenden Sie sichere Kommunikationswege, beispielsweise bei Bankgeschäften oder anderen sensiblen Angelegenheiten.
  • Kritische Betrachtung von Medieninhalten
    • Vertrauen Sie nicht blind Bildern, Videos und Tonaufzeichnungen von ungeprüften Quellen. Insbesondere in sozialen Medien können Inhalte manipuliert oder gefälscht sein.
    • Überprüfen Sie die Quelle und suchen Sie nach weiteren Bestätigungen, wenn etwas verdächtig erscheint.
  • Informieren Sie sich regelmäßig über neue Betrugsmaschen und -techniken.
    • Bleiben Sie wachsam und achten Sie auf Anzeichen von Phishing, Vishing oder Social-Engineering-Angriffen.

Wollen Sie Ihr Unternehmen besser vor Phishing, Vishing und Social Engineering schützen? Wir verteidigen Sie gegen diese Gefahren.


Niklas Fuhrberg

Am 26.08.2024 veröffentlicht.

Wer ist von NIS-2 betroffen? (Teil 2)

Etwa 30.000 Unternehmen sind in Deutschland von der NIS-2 betroffen. Finden Sie heraus, wann ein Unternehmen die NIS2-Anforderungen erfüllen muss. (weiterlesen)

Niklas Fuhrberg

Am 19.08.2024 veröffentlicht.

NIS-2: Was müssen Unternehmen tun? (Teil 3)

Als erstere Schritte sollten Verantwortlichkeiten im Unternehmen festgelegt werden. Neben einer koordinierenden Stelle, beispielsweise einem Informationssicherheitsbeauftragten, muss auch die Geschäftsleitung ganz konkrete Pflichte wahrnehmen. (weiterlesen)

Fabienne Hofsäß

Am 05.06.2024 veröffentlicht.

Steganographie: Kunst der verborgenen Kommunikation

Verschlüsselte Kommunikation reicht in die Antike zurück. Bis heute hat sich vieles geändert und die Art der Kommunikation ist deutlich sicherer geworden. (weiterlesen)

Fabienne Hofsäß

Am 21.05.2024 veröffentlicht.

Vielseitiges Programm bei der Bunten Nacht der Digitalisierung

aramido öffnet mit einem vielseitigen Programm als Partner der Bunten Nacht der Digitalisierung am Freitag, den 7. Juni 2024 ab 15 Uhr die Türen. (weiterlesen)

Patrick Stracke

Am 14.05.2024 veröffentlicht.

Künstliche Intelligenz und Social Engineering: Die Zutaten für einen Hackathon

In der heutigen Welt sind Künstliche Intelligenz (KI) und Social Engineering zwei mächtige Kräfte, die auf unterschiedliche Weise auf uns Menschen einwirken. (weiterlesen)

Fabienne Hofsäß

Am 04.03.2024 veröffentlicht.

Active Directory gehackt – wie geht das?

Angriff auf das "zentrale Nervensystem" von Unternehmensnetzwerken. So schnell kann ein Angreifer die vollständige Kontrolle erlangen. (weiterlesen)

Leonard Otto

Am 27.04.2023 veröffentlicht.

In 30 Minuten zum Domain-Admin

Am 4. Mai 2023 zeigen wir bei einem Live-Hacking-Event, wie Angreifer innerhalb von 30 Minuten ein ganzes Netzwerk übernehmen können. (weiterlesen)

Kadir Ates

Am 14.03.2023 veröffentlicht.

Incident Response Tabletop

Jetzt zum Incident Response Pen & Paper von aramido bewerben! Werde Teil des Krisenstabs und versuche die IT-Sicherheitsvorfälle zu lösen. (weiterlesen)

Christian Birker

Am 27.01.2023 veröffentlicht.

What could (possibly) go wrong? - Threat Modeling spielerisch mit einem Kartenspiel gestalten

Um den Threat-Modeling-Prozess spielerisch zu gestalten, wurde von aramido ein Kartenspiel entwickelt. Diese hilft Entwicklungsteams beim Security by Design. (weiterlesen)

Hannah Schneider

Am 08.06.2022 veröffentlicht.

Mit einem bunten Programm Informationssicherheit sichtbar machen

aramido macht als Partner der Bunten Nacht der Digitalisierung am Freitag, den 1. Juli ab 15 Uhr Informationssicherheit sichtbar. (weiterlesen)

Hannah Schneider

Am 31.03.2022 veröffentlicht.

Doppelt hält besser: Mit einem Backup auf der sicheren Seite

Am 31. März ist der Welt-Backup-Tag. Er soll daran erin­nern, für die Sicher­heit der eigenen Daten durch Back­ups zu sor­gen. Wir zei­gen Ihnen wie. (weiterlesen)

Oliver Werner

Am 04.03.2022 veröffentlicht.

Phishing, SMiShing, Vishing, ... Tishing!

Neben E-Mail und SMS stellt Microsoft Teams einen neuen Kanal für Phishing-Angriffe dar. Wie laufen diese ab und wie kann ich mich dagegen schützen? (weiterlesen)

Hannah Schneider

Am 21.10.2021 veröffentlicht.

Die neuen OWASP Top 10 - 2021

Die OWASP Top 10 - 2021 be­schrei­ben die zehn häu­figs­ten Sicher­heits­risi­ken für Web­an­wen­dun­gen. Sie helfen Ent­wicklern An­wen­dun­gen sicher um­zu­setzen. (weiterlesen)

Thomas Schmitt

Am 12.08.2021 veröffentlicht.

Sicher mit System: Brauche ich ein Management für Informationssicherheit?

Brauche ich ISO 27001, IT-­Grund­schutz, TISAX und VdS 10000? Mit einem Manage­ment­system für In­for­ma­tions­sicher­heit (ISMS) sorgen Firmen dauer­haft für Sicher­heit. (weiterlesen)

Hannah Schneider

Am 10.06.2021 veröffentlicht.

Sicher mit System: Cybinar zum Thema Managementsystem für Informationssicherheit

Brauche ich ein Manage­ment­sys­tem für In­for­ma­tions­sicher­heit? Die Be­rater von aramido ge­ben am 14. Juli praxis­nahe Tip­ps an­hand eines Fall­bei­spiels. (weiterlesen)

Hannah Schneider

Am 12.02.2021 veröffentlicht.

Auf Wachstumskurs: aramido bezieht neue Räumlichkeiten an der Durlacher Allee

Davon kann auch Ihr Un­ter­neh­men pro­fi­tie­ren: aramido ver­mietet große, helle Büro­ein­heiten in einem sepa­ra­ten Be­reich für Unter­mie­ter (weiterlesen)

Moritz Kaumanns

Am 01.02.2021 veröffentlicht.

Sicherheitswarnung: Amazon Secret Key öffentlich einsehbar (CVE-2020-28199)

Eine Sicher­­­heits­­­lücke in einem Amazon Pay Plugin für Shopware 5 erlaubt das un­auto­ri­sier­te Aus­lesen des Amazon Secret Keys (CVE-2020-28199). (weiterlesen)

Hannah Schneider

Am 30.11.2020 veröffentlicht.

Wie die Dolphin-Attacke Angreifern Tür und Tor im Smart Home öffnet

aramido zeigte live beim Inno­va­tion­Festi­val, wie durch Sprachassistenten gesteuerte Smart-Home-­Geräte un­be­merkt an­ge­grif­fen wer­den kön­nen (weiterlesen)

Jan Weil

Am 21.11.2020 veröffentlicht.

OCSP (Stapling): das Gute, das Schlechte und das Hässliche

Haben Hacker ein Zer­tifi­kat er­beu­tet, ist das On­line Cer­ti­fi­cate Status Proto­col (OCSP) mit der Er­wei­terung Must-Staple oft die letzte Möglich­keit zum eigenen Schutz. (weiterlesen)

Gil Talebian

Am 15.10.2020 veröffentlicht.

Schutz vor Phishing, Vishing & Co. - Sieben goldene Regeln gegen Social Engineering

aramido zeigt, wie man sich gegen Phis­hing und andere So­cial Engi­nee­ring-­An­griffe schützen kann - unser Bei­trag zum European Cyber Security Month (ECSM). (weiterlesen)

Hannah Schneider

Am 09.10.2020 veröffentlicht.

Wenn Delfine das Smart Home austricksen - InnovationFestival @karlsruhe.digital

aramido zeigt live, wie Smart Home-­Geräte un­be­merkt durch Sprach­befehle im Ultra­schall-­Bereich an­ge­grif­fen wer­den kön­nen (weiterlesen)

Andreas Sperber

Am 14.09.2020 veröffentlicht.

Sicherheitswarnung: 1CRM schützt Daten unzureichend (CVE-2020-15958)

Eine Sicher­­heits­­lücke in der Soft­ware 1CRM er­­laubte un­auto­risier­ten Nutzern den Zu­griff auf sen­tive Da­teien und Back­ups des Systems. (weiterlesen)

Moritz Kaumanns

Am 23.07.2020 veröffentlicht.

FIDO2 und WebAuthn: Login ohne Passwort

FIDO2 und WebAuthn erlau­ben eine sichere und phi­shing­re­sis­ten­te Authen­ti­fi­ka­tion bei Web­diens­ten, um einen Daten­ab­fluss zu ver­mei­den. (weiterlesen)

Tristan Wagner

Am 09.07.2020 veröffentlicht.

Zwei Schwachstellen in TeamBeam

In der Datenaustauschplattform TeamBeam konnte aramido zwei Schwachstellen identifizieren. (weiterlesen)

Benjamin Pokrant

Am 06.05.2020 veröffentlicht.

HTML-Injection Schwachstelle bei WordPress Plugin WPForms

Eine Sicherheitslücke im WordPress Plugin WPForms erlaubte Angriffe per HTML-Injection. Wie wirkt sich diese Lücke aus und wie schließt man sie? (weiterlesen)

Jonas Lehmann

Am 03.04.2020 veröffentlicht.

Wie können IT-Verantwortliche in Zeiten des Coronavirus für ein sicheres Homeoffice sorgen?

Eine Anleitung in sechs Schrit­ten für Infor­mations­sicherheit im Hom­eoffice und Tipps zur finan­ziellen Unter­stützung. (weiterlesen)

Hannah Schneider

Am 17.02.2020 veröffentlicht.

Save the Date: Kältespray, Popcorn und Live-Hacking im IT-Kino

aramido demonstriert den Cold Boot-Angriff im BWG IT-Kino und zeigt dadurch, wie eine Fest­platten­ver­schlüs­se­lung ausgehebelt werden kann. (weiterlesen)

Martin Nuß

Am 28.10.2019 veröffentlicht.

Veranstaltungen im November: aramido führt Sie sicher durch das digitale Wunderland

Am 7. und 14. November mit aramido die gefährlichen Seiten des digitalen Wunderlands kennenlernen und dabei selbst aktiv werden und nützliche Gadgets basteln (weiterlesen)

Kai Streiling

Am 09.10.2019 veröffentlicht.

aramido bei der Bunten Nacht der Digitalisierung

aramido ist Partner der Bunten Nacht der Digitalisierung und lädt am 11.10.19 zu Live Hacking-Vorträgen, inter­aktiven Workshops und anregenden Gesprächen ein. (weiterlesen)

Andreas Sperber

Am 09.10.2019 veröffentlicht.

Cold Boot-Angriff: Festplattenverschlüsselung ade

aramido demonstriert den aktuellen Stand zum Cold Boot-Angriff und zeigt, wie dadurch die Festplattenverschlüsselung ausgehebelt werden kann. (weiterlesen)

Andreas Sperber

Am 09.07.2019 veröffentlicht.

HTTP Security Header schützen Ihre Besucher

Secu­rity Hea­der schü­tzen die Be­nutzer von Web­sei­ten und er­wei­tern die De­fense-In-Depth. Wir zei­gen, wie sie ein­ge­setzt wer­den und welche Wir­kung sie ha­ben. (weiterlesen)

Regina Okun

Am 03.04.2019 veröffentlicht.

aramido bei KA-IT-Si: Hacking on Ice

„Cold-Boot“ Live-Hacking mit aramido und an­schlie­ßen­dem Buffet-Networking am 11. April 2019 um 18 Uhr in Karlsruhe (weiterlesen)

Elisabeth Apicella

Am 03.04.2019 veröffentlicht.

Wie finde ich einen Job in der Informationssicherheit?

Informations­sicher­heit: Ein span­nen­des Feld mit ge­sell­schaft­li­cher Relevanz und vielversprechenden Ver­dienst­aus­sich­ten. Was soll­ten In­teres­sierte mit­brin­gen? (weiterlesen)

Elisabeth Apicella

Am 20.12.2018 veröffentlicht.

Sicherheitshinweis: Drei Funde bei prescreen.io und jobbase.io

Wie aramido ent­deck­te, wies die cloud-ba­sier­te Be­wer­ber­ma­na­ge­ment-Soft­ware der Fir­ma Prescreen meh­re­re Si­cher­heits­män­gel auf. (weiterlesen)

Andreas Sperber

Am 21.11.2018 veröffentlicht.

Was sind die OWASP Top 10 - 2017?

Die OWASP Top 10 - 2017 be­schrei­ben die zehn häu­figs­ten Sicher­heits­risi­ken für Web­an­wen­dun­gen. Sie helfen Ent­wicklern An­wen­dun­gen sicher um­zu­setzen. (weiterlesen)

Elisabeth Apicella

Am 07.11.2018 veröffentlicht.

Reflektierte HTML-Injection bei CRM-Software

Eine Sicher­heits­lücke in der Web­soft­ware CRM+ von Brainformatik er­laubte An­griffe per HTML-In­jec­tion. Wer ist da­von be­troffen und was soll­ten Sie jetzt tun? (weiterlesen)

Regina Okun

Am 01.10.2018 veröffentlicht.

Hacker-Angriffe verstehen - ein Workshop für Ethical Hacker

Ganztägiger Hacker-Work­shop als Cap­ture-The Flag (CTF-Game) im Jeo­pardy-Modus. Wie kann ich als Ethical Hacker meine eigenen Anwen­dungen prü­fen? (weiterlesen)

Regina Okun

Am 06.07.2018 veröffentlicht.

Veranstaltungshinweise: Live Hacking, Vorträge und Messen

Er­le­ben Sie IT-Sicher­heit und ara­mido auf ei­nem der näch­sten Events. Wir freu­en uns darauf, Sie bei einem Vortrag oder Live-Hacking zu be­grüßen! (weiterlesen)

Daniel Matesic

Am 13.06.2018 veröffentlicht.

52. OWASP Stammtisch - Betreutes Hacken einer Webanwendung

Zum 52. OWASP Stammtisch wurden zahlreiche Sicher­heits­risiken, darunter auch die OWASP Top 10, durch das betreute Hacken einer Web­anwendung veran­schaulicht. (weiterlesen)

Andreas Sperber

Am 15.05.2018 veröffentlicht.

Efail - die Verschlüsselung lebt noch

Mit Efail wurde ein Angriff auf verschlüsselte E-Mails angekündigt, durch den angeblich die Verschlüsselung geknackt werden kann. Grund zur Verunsicherung? (weiterlesen)

Regina Okun

Am 08.05.2018 veröffentlicht.

Wo ist die Knautschzone von IT-Systemen?

Sol­len Siche­rheits­vor­fälle ver­hin­dert oder er­war­tet wer­den? Die­se Fra­ge be­ant­wortet ara­mido-Ge­schäfts­führer An­dre­as Sperber auf in­for­ma­tik-aktuell.de (weiterlesen)

Regina Okun

Am 28.02.2018 veröffentlicht.

Events! Live Hackings, Live Forensics, Kino

Er­le­ben Sie IT-Sicher­heit und ara­mido auf ei­nem der näch­sten Live Hackings, Live Forensics und auf Aus­stellungen. Wir freu­en uns darauf, Sie zu be­grüßen! (weiterlesen)

Regina Okun

Am 15.02.2018 veröffentlicht.

Was ist Payment Diversion?

Zwei In­ter­net­gi­gan­ten sind auf die Be­trugs­ma­sche Pay­ment Di­version rein­gefallen – Kön­nte das Ihrem Unter­neh­men auch pas­sieren? (weiterlesen)

Regina Okun

Am 24.01.2018 veröffentlicht.

Live-Hacking eines Unternehmens - Im Minenfeld des Internets

Live-Hacking im Innotec Pforzheim am 7. Februar 2018 mit Andreas Sperber von aramido (weiterlesen)

Andreas Sperber

Am 21.07.2017 veröffentlicht.

HTTP Public Key Pinning sicher einsetzen

Public Key Pinning stellt das Vertrauen in die PKI wieder her. Das mächtige Verfahren muss aber richtig eingesetzt werden, da sonst empfindliche Gefahren drohen (weiterlesen)

Andreas Sperber

Am 31.05.2017 veröffentlicht.

Vertrauen ist gut. Kontrolle ist besser.

Andreas Sperber hat auf der 17. GPN über Ver­trauens­proble­me in PKIs gespro­chen. Mit "Ver­trauen ist gut. Kon­trolle ist bes­ser." ruft er Dienst­betrei­ber zum han­deln auf. (weiterlesen)

Andreas Sperber

Am 17.04.2017 veröffentlicht.

Certificate Transparency – Transparenz im Zertifikatsdschungel

Certificate Trans­pa­rency ist ein Sys­tem zur Überwa­chung von Zertifika­ten. Für Goog­le Chro­me ist es ab Oktober 2017 Pf­licht. Wir berich­ten, was zu beach­ten ist. (weiterlesen)

Andreas Sperber

Am 21.03.2017 veröffentlicht.

Warum vertrauen wir Zertifizierungsstellen?

Zertifizierungs­stellen sind eine wesent­liche Kom­po­nen­te im heu­ti­gen World Wide Web. Wir schen­ken Ihnen großes Ver­trauen trotz besor­gnis­er­regen­der Vor­komm­nisse. (weiterlesen)

Armin Harbrecht

Am 03.03.2017 veröffentlicht.

Mehrere Schwachstellen im neuen Portal des CyberForums

aramido hat mehrere Sicher­heits­lücken auf der Cyber­Forum-Web­seite gef­un­den. Sie zei­gen die typi­schen Ge­fah­ren von Web­seiten mit nutzer­gene­rierten In­halten. (weiterlesen)

Armin Harbrecht

Am 14.02.2017 veröffentlicht.

Live Hacking für Hoteliers

IT-Sicherheit spielt eine immer wichti­gere Rolle im Gastgewerbe. Im DEHOGA-Seminar zu Daten­sicher­heit wird gezeigt, wie man sein Hotel sichern kann. (weiterlesen)

Armin Harbrecht

Am 06.02.2017 veröffentlicht.

Sicherheit durch Transparenz – wie wir Sicherheitslücken veröffentlichen

Das verantwortungsvolle Offenlegen von Sicherheitslücken ist ein bewährtes Vorgehen, um IT-Systeme für alle sicherer zu machen. (weiterlesen)

Andreas Sperber

Am 28.01.2017 veröffentlicht.

aramido auf der 18. Industriemesse i+e 2017

aramido ist Aus­steller auf der In­dus­trie­messe i+e 2017 in Frei­burg: Besu­cher kön­nen sich am 1. und 2. Febru­ar über In­for­mations­sicher­heit bera­ten las­sen. (weiterlesen)

Armin Harbrecht

Am 18.01.2017 veröffentlicht.

Live Hacking auf der Messe „Produkte suchen Produzenten“

Erleben Sie IT-Sicherheit hautnah auf dem nächsten Live Hacking-Event der aramido GmbH in Karlsruhe am 27.01.2017. (weiterlesen)

Armin Harbrecht

Am 05.01.2017 veröffentlicht.

Sichere Software-Updates

Wie schaffe ich es als Software-Hersteller meine Nutzer sicher mit Updates zu versorgen? Lernen Sie sichere Software-Update-Mechanis­men kennen. (weiterlesen)

Andreas Sperber

Am 15.12.2016 veröffentlicht.

Live-Hacking einer Symfony-Anwendung

Andreas Sperber von aramido ist am 21.12.16 zu Gast bei SensioLabs in Köln. Er hackt eine Symfony-App und zeigt, was man für IT-Sicher­heit tun kann. (weiterlesen)

Armin Harbrecht

Am 09.12.2016 veröffentlicht.

SWR-Interview zum Hack der Telekom-Router

Vorige Woche waren eine Million Deutsche vom Internet ausgesperrt. Was zuerst nach einem Angriff auf Telekom-Router aussah, stellte sich später anders dar. (weiterlesen)

Armin Harbrecht

Am 14.11.2016 veröffentlicht.

Was kostet ein Penetrationstest?

Als Penetrationstester bekommt man häufig die Frage, was die Kosten für einen Penetrationstest sind. Die Antwort hängt von verschiedenen Faktoren ab. (weiterlesen)

Armin Harbrecht

Am 28.10.2016 veröffentlicht.

Rückblick it-sa Messe 2016 in Nürnberg

Im Recap zur IT-Sicherheitsmesse it-sa 2016 in Nürn­berg berich­ten wir über aktuelle Trends der IT-Sicherheits­branche. (weiterlesen)

Andreas Sperber

Am 24.10.2016 veröffentlicht.

Gründerstories und Live-Hacking

aramido ist am 08.11.2016 bei der Pionier­Garage in Karls­ruhe zu Gast. Meet the Foun­der bei Grün­der­stories und Live-Hacking! (weiterlesen)

Armin Harbrecht

Am 19.10.2016 veröffentlicht.

HTTPS auf dem Vormarsch - Warum 2017 jeder seine Seite auf HTTPS umstellen muss

Verschlüsselte Kommunikation per HTTPS war lange nur etwas für hoch­sichere Web­anwen­dungen. Bald bestraft Google jedoch un­ver­schlüs­selte Web­seiten. (weiterlesen)

Armin Harbrecht

Am 30.09.2016 veröffentlicht.

Treffen Sie aramido auf dem Infomarkt „Das neue Sog-Prinzip“

aramido präsentiert sich am 11.10.2016 beim Info­markt des Cyber­forums in Karls­ruhe. Wir freuen uns Sie dort zu treffen. (weiterlesen)

Andreas Sperber

Am 27.09.2016 veröffentlicht.

Workshop: IT-Sicherheit@Mittelstand bei der IHK Gießen-Friedberg

Der IT-Sicher­heits­exper­te Andreas Sperber spricht am 06.10.2016 vor der IHK Gießen-Friedberg zum The­ma IT-Sicher­heit@Mittel­stand und zeigt Wege hierfür auf. (weiterlesen)

Andreas Sperber

Am 19.09.2016 veröffentlicht.

RoundTable: Gebt mir eure Daten!

Lang­fristiger Kun­den­er­folg Ihrer SaaS-Lö­sung durch IT-Sicher­heit und Da­ten­schutz - ein Vor­trag mit Live-Hacking von aramido und eknowvation (weiterlesen)

Andreas Sperber

Am 18.08.2016 veröffentlicht.

Acht Gründe für einen Penetrationstest

Mit einem Pene­trations­test wird die Ver­wund­bar­keit von Sys­te­men ge­prüft. Wir ge­ben acht Grün­de, warum Pene­tra­tions­tests für Un­ter­neh­men wich­tig sind. (weiterlesen)

Armin Harbrecht

Am 03.08.2016 veröffentlicht.

Mehr IT-Sicherheit für Hotels notwendig

IT-Sicherheit ist ein wichti­ges The­ma für Ho­tels. Die Initia­tive IT-Sicher­heit für Ho­tels hilft beim Schutz von Kredit­karten­daten und WLAN-Netzen. (weiterlesen)

Andreas Sperber

Am 01.08.2016 veröffentlicht.

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)

Armin Harbrecht

Am 19.07.2016 veröffentlicht.

Penetrationstest-Angebot von aramido Opfer einer DDoS-Attacke?

Bei DDoS-Attacken versuchen An­grei­fer eine Web­an­wen­dung ge­zielt zu über­las­ten. Unsere Ser­ver-Logs ließen den Ver­dacht auf­kom­men, selbst davon be­trof­fen zu sein. (weiterlesen)

Armin Harbrecht

Am 01.07.2016 veröffentlicht.

Was Hotels beim Umgang mit Kreditkartendaten beachten müssen

Hotels stehen als Sammel­stelle vieler persön­licher Daten im Visier von Krimi­nellen. Wir erklären, was Hoteliers zum Schutz der Daten ihrer Gäste tun müssen. (weiterlesen)

Armin Harbrecht

Am 23.06.2016 veröffentlicht.

Mit aramido sind Sie gut beraten

aramido ist seit kurzem Mitglied im Berater­netz Karlsruhe. Erfahren Sie außer­dem, wie Sie bis zu 2.000 Euro För­der­ung für Bera­tungs­pro­jekte erhalten (weiterlesen)

Andreas Sperber

Am 14.06.2016 veröffentlicht.

Infektion durch einen Kryptovirus

Im aramido Sicher­heits­labor haben wir uns mit einem Ver­schlüs­selungs­tro­janer infi­ziert und zei­gen, was ein Krypto­locker mit Ihren Da­ten an­rich­ten wür­de. (weiterlesen)

Armin Harbrecht

Am 21.05.2016 veröffentlicht.

Kidnapping 2.0 - Verschlüsselungstrojaner auf dem Vormarsch

Kryptotrojaner richten bei Unter­nehmen große Schäden an. Mit der Artikel­serie zum Thema Ransom­ware berichtet aramido über Hinter­gründe zur akuten Be­drohungs­lage (weiterlesen)

Andreas Sperber

Am 19.05.2016 veröffentlicht.

SWR2: Wie man WLAN sicher nutzt

Der SWR hat Andreas Sperber von aramido und andere Ex­per­ten inter­viewt und be­rich­tet von der Anti-Prism-Party 2016 über "Wie man WLAN sicher be­nutzt". (weiterlesen)

Andreas Sperber

Am 20.04.2016 veröffentlicht.

Fünf Mythen über sichere WLAN-Netzwerke

Es gibt viele Empfeh­lungen für siche­re WLAN-Netz­wer­ke. Eini­ge da­von gilt es zu bea­chten, ande­re gel­ten als My­then. Wir zeigen was an ihnen war ist und was nicht (weiterlesen)

Armin Harbrecht

Am 15.04.2016 veröffentlicht.

Piwik Security – Webanwendungen sicher analysieren

Das aramido-Best-Practice zu Piwik zeigt, auf was man beim Einsatz des Web­ana­lyse-Tools ach­ten sollte. Die Piwik-Se­cu­rity-Check­liste hilft beim Ab­si­chern Ihrer Piwik-Installa­tion. (weiterlesen)

Andreas Sperber

Am 08.04.2016 veröffentlicht.

Anti-Prism-Party 2016 - Schutz vor Überwachung

Seit der Prism-Affäre bewegt Spio­nage die Gemü­ter. aramido zeigt auf der Anti-Prism-Party 2016 wie WLANs sicher funktionieren und wann Hotel-WLANs unsicher sind (weiterlesen)

Andreas Sperber

Am 25.03.2016 veröffentlicht.

Sieben Empfehlungen für ein sicheres WLAN

WLAN verwen­det heute jeder. Man ist stets mit allen Gerät ver­bun­den. Wir zeigen, wie Sie ein siche­res WLAN auf­bauen und klä­ren über WPA2-PSK und Konsor­ten auf. (weiterlesen)

Andreas Sperber

Am 18.03.2016 veröffentlicht.

aramido-Blog für IT-Sicherheit

Der aramido-Blog be­richtet regel­mäßig zur IT-Sicher­heit. Abon­nieren Sie den Feed zu Pen­tests, Sicher­heit von Web­anwen­dungen und weite­ren inte­res­santen The­men. (weiterlesen)