Schwerpunktthema

Security

Fachartikel, Podcasts, Vorträge und mehr zum Thema Security.
Blog-Post

Trust but Sandbox

Coding-Agents können inzwischen (fast) alles. Sie lesen und schreiben alle Dateien, auf die du Zugriff hast, sie können beliebige Befehle ausführen, übers Netzwerk kommunizieren, deine Umgebungsvariablen Schlüssel lesen und deinen Browser mit allen Cookies benutzen. Im Sinne eines agentischen Workflows - den Agenten möglichst autonom arbeiten zu lassen - ist das sogar erwünscht, denn genau das macht sie nützlich. Trotzdem sollten wir einen Weg finden, mehr Kontrolle darüber zu erlangen, was dort passiert.

Blog-Post

Hör auf, Bearer Tokens wie Haustürschlüssel zu benutzen

Du hast eine API gebaut. Du hast sie mit OAuth 2.0 geschützt. Du nutzt JWTs. Du fühlst dich sicher. Bist du nicht.

Blog-Post

Nebu: Self-made Souveränität

Wie ich mit agentischer Entwicklung einen Enterprise-Chat-Server baue, den es so nicht gibt.

Podcast

KI Features für Jira Data Center

Ein Rezept ohne Atlassian Cloud

Podcast

KI-Agenten einsperren

Sandboxen und Prompt Injection

Blog-Post

Neuland reloaded

Blog-Post

Unsichere KI-Assistenten dürfen nicht zur Normalität werden

KI-Assistenten wie OpenClaw versprechen Komfort, Autonomie und immer stärker personalisierte Unterstützung. Doch hinter diesem Versprechen steht eine Architektur, die private Daten, Internetzugang und den Umgang mit nicht vertrauenswürdigen Inhalten kombiniert. Genau diese Konstellation bildet die „Lethal Trifecta“ des Sicherheitsrisikos. Sandboxing und physische Isolation können den Schaden begrenzen, beheben aber nicht das grundlegende Problem. Mit jeder zusätzlichen Fähigkeit vergrößert sich der potenzielle Schadensradius. Dieser Beitrag ist ein Plädoyer dafür, das Tempo zu drosseln, vermeintliche Selbstverständlichkeiten zu hinterfragen und unsichere Architekturen nicht als Normalfall zu akzeptieren.

Blog-Post

Die persönliche KI ist schon da

Drei Wochen mit OpenClaw auf einem Raspberry Pi und ein Blick darauf, was auf die Softwarearchitektur zukommt.

Security Podcast

MCP Security

Sicherheitsrisiken beim Model Context Protocol

Blog-Post

Ich habe meine KI-Agenten in eine Sandbox gesteckt. Du solltest das auch tun.

KI-Agenten sind mächtig, weil sie Programme mit der entsprechenden Berechtigung auf unseren Rechnern ausführen können. Genau diese Stärke macht uns aber auch angreifbar. Ein einziger Fehler oder eine Prompt-Injection reicht, um das ganze System zu kompromittieren.

Podcast

Digitale Souveränität

Im Ernstfall handlungsfähig bleiben

Blog-Post

Governance-Methodik für digitale Souveränität

Blog-Post

Der Weg zur heterogenen Cloud Plattform

Die digitale Transformation bringt für Unternehmen sowohl Herausforderungen als auch Chancen mit sich. Um zukunftssichere und flexible IT-Infrastrukturen zu schaffen, setzen immer mehr Unternehmen auf Multi-Cloud- oder hybride Cloud-Strategien. Hierbei geht es nicht nur um Kostenreduktion, sondern auch darum, innovative Dienste verschiedener Anbieter mit regulatorischen Anforderungen – insbesondere im Bereich Datenschutz – in Einklang zu bringen. Dieser Artikel zeigt Ihnen, wie Sie mit gezielten Integrationsstrategien die Vorteile von Multi-Cloud nutzen können, um Ihre bestehende Infrastruktur zu optimieren, technische Abhängigkeiten zu reduzieren und dabei den geschäftlichen Erfolg langfristig zu sichern.

Blog-Post

Updating OWASP’s Microservice Security Cheat Sheet: Practical Considerations & Recommendations

Turning principles and patterns into practice — just as promised.

Blog-Post

Updating OWASP’s Microservice Security Cheat Sheet: Decision Dimensions for Authorization Patterns

Blog-Post

Updating OWASP’s Microservice Security Cheat Sheet: Identity Propagation Patterns

Without trustworthy identity propagation, even strong initial authentication can be undermined — weakening trust boundaries and ultimately impairing the system’s ability to make reliable authorization decisions.

Blog-Post

Updating OWASP’s Microservice Security Cheat Sheet: Authentication Patterns

Without knowing who the subject is, without verifying its identity, there is only a limited way to perform meaningful access decisions.

Blog-Post

What’s Wrong with the Current OWASP Microservice Security Cheat Sheet?

Blog-Post

Updating OWASP’s Microservice Security Cheat Sheet: Core Concepts

In part two of my series, I begin the journey to rethink the OWASP Microservice Security Cheat Sheet. This post focuses on core concepts, laying the groundwork for practical, real-world microservice security.

Blog-Post

Asset Administration Shell und Model Context Protocol

Mit der zunehmenden Digitalisierung der Industrie rücken standardisierte Schnittstellen zur Beschreibung, Verwaltung und Nutzung digitaler Assets in den Fokus. Die Asset Administration Shell (AAS) gilt als Herzstück des digitalen Zwillings in der Industrie 4.0. Dieser Standard soll einen reibungslosen Austausch von Daten gewährleisten. Gleichzeitig entstehen mit Konzepten wie dem Model Context Protocol (MCP) neue, leichtgewichtige Ansätze, Kontextinformationen auszutauschen, die insbesondere für KI-Anwendungen hohe Attraktivität bieten. Beide Protokolle tauschen Daten aus, beide bieten eine gewisse Interoperabilität, beide haben die Möglichkeit, kontextabhängige Informationen auszutauschen. Doch stellt sich die Frage: Kann das einfache, schnelle MCP das schwergewichtigere AAS verdrängen? Oder bieten beide zusammen eine neue, synergetische Perspektive?

Blog-Post

CIO-Fragestellungen zur digitalen Souveränität

Mit Enterprise Architektur geopolitische Risiken meistern

Blog-Post

Updating OWASP’s Microservice Security Cheat Sheet: Authorization Patterns

Authorization patterns explain how distributed systems organize their access control — where and how decisions happen, where policies live — and influence, in turn, how identities and related attributes travel between components.

Blog-Post

Kubernetes sicher und transparent – Erste Schritte mit Cilium

Cilium bringt Observability-, Security- und Netzwerkfeatures für Kubernetes – dank eBPF ganz ohne den eigentlichen Anwendungscode zu ändern. In dieser Artikelreihe lernen wir, wie wir ein lokales Cilium-Setup aufsetzen, wie Cilium funktioniert und in weiteren Teilen auch, eigene Netzwerkregeln durchzusetzen und sie in Echtzeit zu überwachen. Starte deinen lokalen Cluster und werde zum Kubernetes-Jedi-Meister - oder folge der dunklen Seite der Macht.

Blog-Post

Kubernetes sicher und transparent – Erste Schritte mit Cilium

Teil 2: Zerstört den Todesstern!

Blog-Post

Kubernetes sicher und transparent – Erste Schritte mit Cilium

Cilium bringt Observability-, Security- und Netzwerkfeatures für Kubernetes – dank eBPF ganz ohne den eigentlichen Anwendungscode zu ändern. In dieser Artikelreihe lernen wir, wie wir ein lokales Cilium-Setup aufsetzen, wie Cilium funktioniert und in weiteren Teilen auch, eigene Netzwerkregeln durchzusetzen und sie in Echtzeit zu überwachen. Starte deinen lokalen Cluster und werde zum Kubernetes-Jedi-Meister - oder folge der dunklen Seite der Macht.

Blog-Post

Bringt eure Schafe ins Trockene: Tipps für politische Risikovorsorge

Eines vorweg: Keine Panik! Das ist aktuell wichtiger als sonst. Leider hat sich die Welt in den letzten Monaten drastisch verändert, sodass nun ein neues Risiko aufgetaucht ist: Die US-basierten Cloud-Dienste, die uns viel ermöglichen, die den Betrieb von Anwendungen so vereinfacht haben und viele Innovationen ermöglichen, könnten auf einmal gegen uns verwendet werden. Sei es politischer Machtmissbrauch oder eskalierender Drang nach Reichtum. Dies ist ein komplett neues Risiko, das auf uns alle in Europa zukommt.

Blog-Post

Beyond the hype: An engineer’s journey into ReBAC and AI with the Model Context Protocol

Blog-Post

Digitale Souveränität

Digitale Souveränität bedeutet letztlich, dass Europa die Kontrolle über seine digitale Zukunft behält – technologisch, wirtschaftlich und regulatorisch. Für Unternehmen ist dies nicht nur ein politisches Schlagwort, sondern ein handfester Faktor für Risiko- und Erfolgsbewertung. Doch warum genau sollten Unternehmen bei Entscheidungen zur digitalen Transformation den Aspekt der europäischen Souveränität berücksichtigen?

Podcast

Heimdalls Bewerbung bei der CNCF

Vom Feierabendprojekt zum weltweit genutzten Tool

Blog-Post

Social Engineering ist durchgespielt

Soziotechnische Welten - Teil 14

Security Podcast

Das Crowdstrike Desaster

Wenn Sicherheitssoftware zur Gefahr wird

Security Podcast

Die XZ/OpenSSH Backdoor

Zerbrechliche Strukturen in Open-Source-Projekten

Security Podcast

Der Security-Adventskalender 2023

24 Türchen: 24 Folgen

Security Podcast

Passkeys

Nutzbar und sicher?

Blog-Post

Improve your CSP with Style Nonces in Angular 16

What to do, to enable your Angular application to use style-src: nonce in a CSP for stricter security rules

Security Podcast

Browser Security

Was hat der Browser je für uns getan?

Security Podcast

KI und Security

Eine Risikobewertung

Blog-Post

How to Encrypt a File on the JVM

You’ve got a secret password and some bytes you’d like to encrypt. JVM has all the tools you need to get it done.

Podcast

Kubernetes Secrets

Schützenswerte Resscourcen

Security Podcast

Firewall

Die Wiege der falschen Sicherheit

Blog-Post

How to use and build your own distroless images

Security and efficiency are key goals in production systems. This begins when we build our application images and look for a suitable base image. So what are good base images and how do distroless images fit into this picture?

Security Podcast

Das LastPass Drama

Passwort-Manager? Na klar. Aber doch nicht so!

Security Podcast

Der Security-Adventskalender 2022

24 Türchen: 24 Folgen

Security Podcast

Parsen statt validieren?

Der Leserbrief

Security Podcast

Sidechannel Attacks

Unfair über die Seitenlinie

Security Podcast

Software Supply Chain Security

Finde das schwächste Glied in der Kette

Security Podcast

OWASP Top 10

Die größten Security-Risiken für Webanwendungen

Security Podcast

Open Source Security

Risiken (und Nebenwirkungen) der Arbeit mit und an Open Source Software

Blog-Post

CORS extension “Private Network Access”

Chrome rolled out the „Private Network Access” extension for its CORS handling. Let’s try to understand the why and how this is affecting us.

Blog-Post

Cloud Security

Die Cloud-Welt bringt eigene sicherheitstechnische Herausforderungen. Zusätzlich haben regulatorische Auflagen für den Umgang mit personenbezogenen Daten starke Implikationen, zumal weder Netzwerke noch Speichersysteme von Cloudanbietern vorbehaltlos vertrauenswürdig sind.

Security Podcast

Der Security-Adventskalender

24 Türchen: 24 Folgen

Security Podcast

Passwort-Manager

Alles, nur keine Kladde

Blog-Post

Machine Learning Security – Teil 2

ML kommt immer mehr in sensiblen Entscheidungssystemen zum Einsatz - z.B. in autonomen Fahrzeugen, in der Gesundheitsdiagnostik oder der Kreditwürdigkeitsprüfung. Dies bringt nicht nur neue Möglichkeiten, sondern auch neue Schwachstellen mit sich, die gezielt von Angriffen ausgenutzt werden können. In Teil 2 dieser Artikelserie beschäftigen wir uns mit verschiedenen Angriffstypen in der ML-Security-Landschaft und den dazugehörigen Lösungsvorschlägen.

Blog-Post

Machine Learning Security – Teil 1

Eine neue Herausforderung

Security Podcast

Machine Learning Security

„Aus großer Kraft folgt große Verantwortung“

Security Podcast

TLS richtig konfigurieren

Mehr als Copy & Paste

Security Podcast

Input Validation, Output Encoding

Keine Kür, sondern Pflicht

Security Podcast

Passwörter

Eintrittskarten im Netz

Security Podcast

Sondersendung: Exchange

Der Exploit „ProxyLogon“

Security Podcast

Jahresend-Mix 2020

Unsere persönlichen Security-Learnings des Jahres

Security Podcast

OpenID Connect und SSO

Ausweise im Netz

Security Podcast

OAuth(2)

Vollmachten im Netz

Security Podcast

AAAAA

Authentisierung, Authentifizierung, Autorisierung, Access-Control, Audit

Security Podcast

Steganografie

Alles muss versteckt sein

Security Podcast

CAs und Let’s Encrypt

Wer zertifiziert hier eigentlich wen?

Blog-Post

Ganz sichere Verbindungen

Teil 2: Aufsetzen von nginx unter der Verwendung eines Yubikey HSMs

Blog-Post

Ganz sichere Verbindungen

Security Podcast

TLS

Der sichere Weg von A nach B

Security Podcast

Zertifikate

Ich bräuchte dann noch eine digitale Unterschrift von Ihnen

Podcast

Kryptografie

AXPTX OABOO FZEQF DBPZE IRBPP BI

Security Podcast

Kryptografie

AXPTX OABOO FZEQF DBPZE IRBPP BI

Blog-Post

String-Vergleich gegen Timing-Angriffe härten

Sichere Software erstellen

Podcast

Secrets Management

Von der Herausforderung, Geheimnisse zu verwalten

Blog-Post

OpenID Connect Auth-Proxy

Mit OpenID Connect kann Single Sign-On in einem verteilten System erreicht werden. Ein Auth-Proxy kapselt den Aspekt Authentifizierung in einem eigenständigen Modul. Wir schauen uns an, wie das im Detail umgesetzt werden kann.

Blog-Post

A Playground for Testing OpenID Connect

Solving problems we wish we didn’t have

Blog-Post

Sichere Kubernetes Cluster

Container und Kubernetes haben die Art und Weise, wie wir Software in Produktion bringen stark vereinfacht. Anwendungen lassen sich in Container Images verpacken und auf einem Kubernetes-Cluster mit mehreren Knoten betreiben. Bei all der Einfachheit sollte aber nicht vergessen werden, dass trotz der Kapselung in Container verschiedene Aspekte der Sicherheit noch immer eine wichtige Rolle spielen müssen.

Blog-Post

Have YOU been pwned?

With the V2 release of the „pwned passwords” database came a new feature called range search, which allows to securely check passwords with only minor efforts. Here’s how to use it.

Blog-Post

Enforce strong passwords!

Blog-Post

Vault

Eigentlich ist man sich einig, dass durch immer größere und komplexere Netze und Systemlandschaften das Thema “Sicherheit” nicht einfach durch die eine grosse Perimeter-Firewall erledigt ist. Trotzdem fehlt es häufig an Infrastruktur, die dabei unterstützt zum Beispiel mit Zugangsdaten automatisiert und sicher umzugehen. Vault unterstützt hier als “a tool for managing secrets” dieses Problem anzugehen.

Blog-Post

Content Security Policy

Cross-Site-Scripting ist seit Jahren eines der Security Probleme im Web. Neben anderen sicherheitsrelevanten HTTP-Headern gibt es seit geraumer Zeit auch die Möglichkeit, dem Browser eine „Content Security Policy” mitzuteilen. Dieser Blogpost erklärt deren Zweck und Einsatz.

Podcast

Sicherheit von IT-Systemen

Allgemeine Aspekte der IT-Sicherheit und der Web-Sicherheit im Speziellen

Vortrag
Vortrag

Super sichere Software oder ultra unsicheres Slopaggedon? KI und die Software-Supply-Chain

heise devSec 2026 / 11:15 - 12:00

Vortrag
Vortrag

Nur auf Sand gebaut? Sandboxing-Technologien im Vergleich

heise devSec 2026 / 10:30 - 11:15

Vortrag
Vortrag

Secure Build Pipelines hands-on

heise devSec 2026 / 10:00 - 17:00

Case Study

DEVK: Einheitliche Security- und Compliance-Prozesse für eine gewachsene Softwarelandschaft

News

INNOQ Technology Day am 12. November 2026

News

IT-Security bei INNOQ: Sichere Software beginnt mit durchdachter Architektur

News

New Primer: Advanced IAM Patterns and Strategies

News

INNOQ Fragezeit startet am 31. Juli

News

INNOQ Security Podcast Adventskalender 2023: Tägliches Security-Kompaktwissen im Dezember

News

OWASP Top Ten in der Praxis: neues Training mit Christoph Iserlohn bei socreatory

News

Kompaktes Security-Wissen