In der neuen Folge von Breach FM starten Max Imbiel und ich mit dem Nachklang zur Delve-Compliance-Affäre. Die Gründer haben sich per Videobotschaft zu Wort gemeldet und die Lage damit eher verschlechtert. Sie nennen den Vorfall eine koordinierte Diffamierung, bieten aber gleichzeitig Re-Audits und mehr manuelle Prüfprozesse an. Für eine reine Schmierkampagne eine aufwendige Reaktion. Y Combinator hat sich still von Delve getrennt, und Elizabeth Holmes bot den Gründern öffentlich Hilfe an.Dann zum nächsten Supply-Chain-Fall: Das NPM-Paket Axios – über 100 Millionen wöchentliche Downloads – wurde über einen gezielten Spearphishing-Angriff auf seinen Maintainer kompromittiert. Angreifer tarnten sich als legitimes Unternehmen, luden ihn zu einem gefälschten Teams-Call ein und installierten dabei Malware. Darüber kamen sie an seine NPM-Credentials und schleusten einen Payload in die nächste Version ein. Sarah Gooding beschreibt parallel, wie die Lazarus-Gruppe dieses Muster systematisch gegen hochwertige Open-Source-Maintainer im Node.js-Universum betreibt.Zur wöchentlichen Microsoft-Corner: ProPublica hat einen tiefen Artikel über die GCC High Government Cloud und ihre FedRAMP-Zulassung veröffentlicht. Das Fazit interner US-Regierungsprüfer: Die Bewertung basierte auf unvollständigen Informationen, weil Microsoft zentrale Sicherheitsfragen schlicht nicht beantworten konnte. Ein Auditor bezeichnete das System als "a pile of shit" – nicht mein Zitat. Passend dazu: Commander Reid Wiseman meldete während der Artemis-II-Mission, er habe zwei Outlook-Instanzen an Bord – und keine funktioniere.Zum Abschluss empfehle ich den Vortrag von Nicholas Carlini, Research Scientist bei Anthropic, auf der [un]prompted-Konferenz. Er zeigt, wie aktuelle LLMs autonom Zero-Days in produktivem Code finden – darunter eine SQL Injection in Ghost CMS nach 90 Minuten und ein Linux-Kernel-Bug, der seit 2003 unentdeckt war. Insgesamt hat das Frontier Red Team über 500 validierte High-Severity-Schwachstellen gefunden. Die Fähigkeiten verdoppeln sich laut Carlini etwa alle vier Monate. Den Vortrag verlinken wir – mit dem transparenten Hinweis, dass Carlini für Anthropic arbeitet.

Delve sets the record straight on anonymous attacks
https://delve.co/blog/delve-sets-the-record-straight-on-anonymous-attacks

Federal Cyber Experts Thought Microsoft’s Cloud Was “a Pile of Shit.” They Approved It Anyway.

How Axios was compromised

https://x.com/flaviocopes/status/2039973060158095827?s=46

Nicholas Carlini - Black-hat LLMs | [un]prompted 2026
https://www.youtube.com/watch?v=1sd26pWhfmg

Artemis II crew experienced issues with Outlook this morning

https://x.com/latestinspace/status/2039763355162812702?s=46

In der neuen Folge von Breach FM sitzen Max und ich mal wieder beide zu Hause. Ich berichte kurz aus Brüssel, wo ich im EU-Parlament zu einer Expertenrunde zum CSA2 geladen war – und gemerkt habe, wie schwer es selbst Fachleuten fällt, die wachsende Regulierungslandschaft auseinanderzuhalten. Max bringt RSA-Nachschau mit: KI ist überall, aber die Gespräche dahinter sind spürbar substanzieller geworden.

Das private E-Mail-Konto von FBI-Direktor Kash Patel wurde von derselben iranischen Gruppe geknackt, über die wir zuletzt gesprochen haben. Bisher wurden vor allem private Bilder veröffentlicht – wir diskutieren, ob das eine Tröpfchentaktik ist oder das Ende der Fahnenstange.

LexisNexis bestätigt einen Breach über eine ungepatchte React-Frontend-Schwachstelle – drei Monate nach CVE-Veröffentlichung. Abgeflossen: 3,9 Millionen Datenbankeinträge, 21.000 Kundenaccounts, mehrere AWS-Secrets. Den OVHcloud-Claim aus der Vorwoche klären wir kurz: OVH hat dementiert, es sieht nach einem Fake-Data-Scam aus.

Der technisch spannendste Fall: LiteLLM wurde Opfer eines mehrstufigen Supply-Chain-Angriffs durch TeamPCP. Die Angreifer kompromittierten zunächst den Trivy Security-Scanner in LiteLLMs CI/CD-Pipeline, stahlen die PyPI-Publishing-Credentials und veröffentlichten zwei manipulierte Versionen. Version 1.82.8 führte Schadcode über eine .pth-Datei automatisch bei jedem Python-Interpreter-Start aus – kein Import nötig. Wer diese Versionen betrieben hat, sollte API-Keys sofort rotieren.

Dem Startup Delve – $32 Millionen Funding, $300 Millionen Valuation, Forbes-30-Under-30-Gründer – wird vorgeworfen fabrizierte SOC-2-Nachweise ausgestellt, Beobachtungsfristen übersprungen und 494 identische Compliance-Reports verschickt zu haben. Das als KI vermarktete Produkt soll in Wahrheit schlicht offshore ausgelagert gewesen sein.

Von Google kommen drei Meldungen: TurboQuant verspricht massive LLM-Kompression – noch theoretisch, aber mit großem Kostenpotenzial. Google will außerdem alle Systeme bis 2029 auf Post-Quantum-Kryptographie umstellen, zwei Jahre früher als geplant – ein Hinweis, wie weit der eigene Quantencomputer-Fortschritt intern bereits ist. Und schließlich kündigt Google eine Threat Disruption Unit an, die Cybercrime-Infrastruktur proaktiv neutralisieren soll – konsequent zur White House Cyber Strategy, aber mit offenen Fragen sobald Botnetze aus legitimen Unternehmensgeräten bestehen.

New LexisNexis Data Breach Confirmed After Hackers Leak Files

https://www.securityweek.com/new-lexisnexis-data-breach-confirmed-after-hackers-leak-files/

Delve accused of misleading customers with ‘fake compliance’

https://techcrunch.com/2026/03/22/delve-accused-of-misleading-customers-with-fake-compliance/

TurboQuant: Redefining AI efficiency with extreme compression

https://research.google/blog/turboquant-redefining-ai-efficiency-with-extreme-compression/

Iran-linked hackers breach FBI director's personal email, publish photos and documents

https://www.reuters.com/world/us/iran-linked-hackers-claim-breach-of-fbi-directors-personal-email-doj-official-2026-03-27/

Google launches threat disruption unit, stops short of calling it ‘offensive’

https://www.nextgov.com/cybersecurity/2026/03/google-launches-threat-disruption-unit-stops-short-calling-it-offensive/412321/

Quantum frontiers may be closer than they appear

https://blog.google/innovation-and-ai/technology/safety-security/cryptography-migration-timeline/

How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM

https://snyk.io/de/articles/poisoned-security-scanner-backdooring-litellm/

In der neuen Folge von Breach FM meldet sich Max direkt von B-Sides San Francisco. Sein Eindruck: KI ist auf jedem Stand, aber anders als noch vor einem Jahr wissen einige der Leute dahinter wirklich, was sie bauen. Keynote-Botschaft: die Security-Industrie braucht wieder mehr Optimismus – und die Geschichte zeigt, dass sie aus jeder Krise verbessert rausgekommen ist.

Eines der Hauptthemen der Folge ist der Angriff auf Stryker. Die Iran-nahe Gruppe Handala – nach Einschätzung von Palo Alto und CrowdStrike eine staatliche Einheit aus dem Umfeld des iranischen Geheimdienstministeriums MOIS – hat Zugriff auf Strykers Microsoft-Intune-Umgebung erlangt und einen Remote-Wipe über gut 200.000 Geräte in 79 Ländern ausgelöst, inklusive privater BYOD-Geräte. Kein Ransomware, kein Malware – einfach alles weg. Wir diskutieren, warum das fehlende Multi-Admin-Approval in Intune eine strukturelle Schwäche sein kann und was es bedeutet, wenn die gefährlichste Waffe im Netzwerk das eigene IT-Management-Tool ist.

Direkt anschließend eine Geschichte, die in der deutschen Security-Community gerade extreme Wellen schlägt: PTC hat das BKA über eine Schwachstelle in ihrem PLM-Tool Windchill informiert – und LKA-Beamte fuhren nachts bei Geschäftsführern vor und klingelten sie wach. Grundsätzlich richtig, Unternehmen bei realer Gefahr auch unkonventionell zu erreichen – mit dem aktuellen Wissensstand fühlt sich die Aktion aber befremdlich an. Wir hoffen noch mehr Informationen zu erlangen.

Dann zur Studie, die niemanden überraschen sollte: KI-Agenten deaktivieren EDR-Lösungen eigenständig, wenn diese ihre Arbeit blockieren – nicht aus böser Absicht, sondern weil sie auf Output optimieren. Genau wie Admins, die kurz mal den EDR abschalten. Unsere These: KI-Agenten brauchen dieselben Zero-Trust-Prinzipien wie menschliche Identitäten im Netzwerk.

Zum Abschluss: wie Google über reCAPTCHA jahrelang die Weltbevölkerung als kostenloses KI-Trainingsprogramm eingespannt hat – erst für Texterkennung, dann für Bilderkennung für autonomes Fahren. Ob das schlimm ist, darüber sind wir uns nicht ganz einig. Ich bekenne mich aber schuldig, durch wildes Klicken möglicherweise mitverantwortlich für Waymos heutige Schwächen in der Katzenerkennung zu sein.

Emergent Cyber Behavior: When AI Agents Become Offensive Threat Actors

https://www.irregular.com/publications/emergent-offensive-cyber-behavior-in-ai-agents

Stryker attack raises concerns about role of device management tool

https://www.cybersecuritydive.com/news/stryker-attack-device-management-microsoft-iran/814816/

How ‘Handala’ Became the Face of Iran’s Hacker Counterattacks

https://www.wired.com/story/handala-hacker-group-iran-us-israel-war/

Critical RCE Vulnerability reported in Windchill

https://www.ptc.com/en/support/article/CS466318?as=0

You've been training Google's AI for 15 years. You had no idea.

https://x.com/sharbel/status/2033921312716882384?s=46