Comretix Blog

Die Nutzung von "Big Data" ist im Zusammenhang mit polizeilichen Ermittlungen umstritten – neu in der Diskussion ist hingegen "Small Data". Die Probleme scheinen aber im Grunde dieselben und Polizisten und Datenschützer sind sich oft uneins. Das zeigte sich bei einer Debatte über den Technologieeinsatz in Polizeien beim 28. Europäischen Polizeikongress in Berlin.

Carolina Stindt von der Unternehmensberatung PwC stellte eine Studie auf der Grundlage von Interviews und Gesprächen mit Mitarbeitern der Polizei vor. Demnach ist der Technologieeinsatz in traditionellen Bereichen wie Videoüberwachung, Grenzkontrolle und Vorgangsbearbeitung vergleichsweise etabliert. Neuere, insbesondere KI-gestützte Technologien würden jedoch in Deutschland "häufig nur zaghaft und pilotartig" in einzelnen Bundesländern und Polizeibehörden eingesetzt. Die Rahmenbedingungen, so Stindt, seien oft "vor-digital" und die allermeisten Interviewpartner hätten gesagt, "dass gerade diese Technologien wichtig wären, um die Datenerfassung und -auswertung effizienter zu gestalten und insbesondere Muster besser zu erkennen". Stindt verwies aber auch darauf, dass gerade datenbasierte Entscheidungen in der Bevölkerung immer noch auf große Skepsis stießen.

Andreas Stenger, Präsident des LKA Baden-Württemberg, fand offene Worte. Er sieht den Status quo der Ausstattung in den Polizeien kritisch: Die IT-Landschaft sei heterogen, manche Bundesländer seien weit, andere nicht, die Technik zum Teil veraltet, Infrastruktur marode, Glasfaser problematisch, Automatisierungsprozesse teils schwierig umzusetzen, weil es an der Infrastruktur krankt. Das Hauptproblem für ihn als Praktiker sei die langsame Umsetzung im Zuge der Saarbrücker Agenda. Mit einem kleinen Seitenhieb auf drei der Diskussionsteilnehmer (inklusive Moderator), die beim Beratungshaus PwC arbeiten, regte er "mehr Governance und weniger externe Beratung" an.

Für Gerald Eder, den fachlichen Leiter des "Programm 20" zur Digitalisierung der Polizei, ist die heterogene Ausgangssituation in einem föderalen Staat die größte Herausforderung. Schon bei der Frage, welcher Beamte zu welchen Informationen Zugang habe, sei der Abstimmungsprozess gigantisch. Man stecke in einem Dilemma, so Eder: Derzeit habe man teils "tolle Daten", die aber nicht verfügbar seien, weil es die entsprechenden Regelungen dafür noch nicht gebe. Als Beispiel führte er den Attentäter von Magdeburg an – die mit dem Fall befassten Ermittler hätten bloß Daten aus Sachsen-Anhalt gesehen, nicht aber die bundesweit zum Täter erfasste Datenmenge.

Die Publizistin Anke Domscheit-Berg, ehemaliges Linken-MdB, gab zu bedenken, dass es immer um Balance gehe und verwies auf das Bundesverfassungsgericht. Das verlange Abwägungen: Ist eine Maßnahme überhaupt nachweislich geeignet, um ein Problem zu lösen? Und wenn sie geeignet ist, aber einen Eingriff in die Grundrechte bedeute: Kann man sie durch eine andere Maßnahme ersetzen? Und ist die Maßnahme angemessen, also stehen die "Nebenwirkungen" in einem Verhältnis zum erwartbaren Nutzen? "Das funktioniert in der Praxis ganz oft ganz schlecht", konstatierte Domscheit-Berg.

Admins, die Single-Sign-On-Anmeldungen (SSO) über die weitverbreitete Node.js-Bibliothek Samlify realisieren, sollten den verfügbaren Sicherheitspatch zeitnah installieren. Geschieht das nicht, können Angreifer die Authentifizierung umgehen und mit weitreichenden Rechten auf Systeme zugreifen.

Samlify vereinfacht die Implementierung des SAML-Standards (Security Assertion Markup Language), um in Webanwendungen SSO-Anmeldungen zu ermöglichen. Auf die "kritische" Sicherheitslücke (CVE-2025-47949) sind Sicherheitsforscher von Endor Labs gestoßen. In einem Bericht führen sie aus, dass Attacken mit vergleichsweise wenig Aufwand möglich sind. Eine Hürde gibt es aber.

Um Attacken einzuleiten, müssen Angreifer im Besitz eines vom Identitätsproviders signierten XML-Dokumentes sein. Der Zugriff auf so ein Dokument ist etwa als Man-in-the-Middle möglich. Nun können sie das Dokument etwa mit dem Nutzernamen eines Admins manipulieren. Weil kryptografische Signaturen aufgrund der Schwachstelle nicht korrekt verifiziert werden, können sie sich als Admin anmelden.

Samlify ist weitverbreitet und wird unter anderem in großen Firmen und Cloudumgebungen eingesetzt. Aus dem Paketmanager npm wird das Modul wöchentlich rund 200.000-mal heruntergeladen. Derzeit gibt es zwar noch keine Berichte zu Attacken, das kann sich aber schnell ändern. Dementsprechend sollten Admins zügig handeln.

Um Systeme vor der geschilderten Attacke zu schützen, müssen Admins Samlify 2.10.0 installieren. Alle vorigen Versionen sollen verwundbar sein. Vorsicht: Bei Github steht noch die angreifbare Ausgabe 2.9.1 zum Download. Im npm-Paketmanager gibt schon die abgesicherte Version zum Download.

Mutmaßliche Mitarbeiter des russischen Militärgeheimdienstes GRU haben sich Zugriff auf Netzwerke und IP-Kameras von Betreibern kritischer Infrastrukturen (KRITIS) verschafft. Das melden unter anderem NSA, FBI, der Bundesnachrichtendienst (BND) und die Bundesämter für Verfassungsschutz (BfV) sowie Sicherheit in der Informationstechnik (BSI). BSI-Präsidentin Claudia Plattner warnt im Gespräch mit heise online, dass es sich um Vorbereitungshandlungen für Sabotage handelt.

Betroffen sind laut einer Mitteilung der Behörden vor allem Unternehmen aus der Logistikbranche. Hier hätten Angreifer der Gruppierung APT-28 (alias "Fancy Bear", bekannt u.a. durch einen Angriff auf die SPD) zugeschlagen, hinter der sich laut westlichen Diensten eine Einheit des russischen Militärgeheimdienstes GRU verbirgt. Die Angreifer hätten potenzielle Schwachstellen in der physischen Sicherheit ausgekundschaftet, bei mehr als 10.000 Kameras habe es Angriffsversuche gegeben.

Ob damit die gleichen Logistikunternehmen gemeint sind, die etwa von den im vergangenen Jahr entdeckten Brandsatz-Paketen betroffen waren, teilten die Behörden nicht mit. Vor allem Kameras in der Ukraine, in Rumänien, Polen und Ungarn seien angegriffen worden. Der ukrainische Nachrichtendienst hatte bereits im vergangenen Jahr vor derartigen Attacken gewarnt, nachdem ihm zwei Fälle bekannt wurden. BSI-Präsidentin Claudia Plattner mahnt deutsche Firmen, die Warnung ernst zu nehmen und eine Betroffenheit zu prüfen. "Wir haben eine sehr hohe Dunkelziffer", sagt sie im Gespräch mit heise security. "Angreifer, die sich in unseren kritischen Infrastrukturen positionieren, tun das deshalb, damit sie in einem später gelagerten Fall schnell zuschlagen und die Kontrolle übernehmen können."

BSI-Präsidentin Plattner warnte im Gespräch mit heise Security vor Cybersabotage aus Russland.

(Bild: BSI)

Googles Chrome-Browser soll bald automatisch Passwörter ändern können, wenn bei der Anmeldung damit erkannt wird, dass es kompromittiert wurde. Das hat der US-Konzern im Rahmen der hauseigenen Entwicklerkonferenz angekündigt und erklärt, wie Websites dafür angepasst werden müssen. Im Idealfall bekommen Nutzer und Nutzerinnen in Chrome dann künftig einen Hinweis, wenn ein gespeichertes Passwort in einem Datenleck gefunden wurde und können den Browser dazu bringen, das Passwort durch ein sicheres zu ersetzen. Das wird dann im Passwortmanager von Chrome abgespeichert, das unsichere wird ersetzt. Die automatische Passwortänderung benötigt dafür insgesamt nur einen Klick.

Mit der Funktion geht man bei Chrome ein altbekanntes Problem an. Zwar kann nicht nur der Browser von Google, sondern beispielsweise auch Firefox eine Warnung ausgeben, wenn ein kompromittiertes Passwort entdeckt wird. Ändern muss man das aber bislang selbst. Häufig dürfte man das nicht direkt angehen, etwa weil gerade keine Zeit ist. Chrome soll den Aufwand nun soweit reduzieren, dass Nutzerkonten geschützt werden können, ohne dass man sich dafür umständlich durch schwer zu findende Kontoeinstellungen suchen muss. Noch muss sich aber zeigen, wie rasch und umfangreich die Funktion auch von Websites unterstützt wird.

"Wir befinden uns im Jahre 2025. Die ganze Kryptografie wird von Quantencomputern geknackt... die ganze? Nein, ein von unbeugsamen quantensicheren Algorithmen bewohntes Rechenzentrum hört nicht auf, der neuartigen Bedrohung Widerstand zu leisten." So oder ähnlich könnte eine Einleitung zur aktuellen Folge des Passwort-Podcasts lauten. Denn sie befasst sich mit der mittlerweile allgegenwärtigen Frage: Wie konkret bedrohen Quantencomputer unsere moderne Verschlüsselung?

Und das in leicht veränderter Besetzung: Co-Host Christopher ist dieses Mal nicht mit von der Partie, daher hat Sylvester sich zwei Kolleg:innen eingeladen. Die kürzlich mit dem Journalismuspreis Informatik ausgezeichnete Dr. Sabrina Patsch und Wilhelm Drehling blicken mit ihm hinter den Quantenhype.

Ein Cyberangriff hat am Dienstagmorgen das Gesundheitsnetzwerk "Kettering Health" in Ohio getroffen und zu erheblichen Betriebsstörungen geführt. Dies berichtet der Nachrichtensender CNN. Wie Kettering Health in einer Erklärung mitteilte, wurden infolge des Angriffs nicht dringend notwendige Eingriffe für den Tag abgesagt und müssen neu terminiert werden. Notfälle können jedoch weiter versorgt werden.

Laut einer Stellungnahme von Kettering Health gibt es erhebliche Einschränkungen bei der Patientenversorgung, im Callcenter und beim Zugriff auf elektronische Patientenakten. Die Klinikleitung und mehrere Teams arbeiten mit Hochdruck daran, die Auswirkungen des Angriffs einzudämmen und die Systeme wiederherzustellen.

Hinter dem Angriff steht nach Informationen von CNN die Ransomware-Gruppe "Interlock", die seit Herbst 2024 verschiedene Branchen ins Visier nimmt. In einer von CNN eingesehenen Lösegeldforderung drohen die Täter, sensible Daten von Kettering Health zu veröffentlichen, sollte das Netzwerk nicht mit ihnen verhandeln.

Als Folge der Störung werden derzeit Rettungsdienste zu anderen Krankenhäusern umgeleitet. Auch die Kommunikation zwischen verschiedenen Kliniknetzwerken ist beeinträchtigt. Zusätzlich warnt Kettering Health vor vermehrten Betrugsanrufen, bei denen Unbekannte sich als Mitarbeitende ausgeben und Kreditkartendaten erfragen – alle offiziellen Anrufe wurden bis auf Weiteres eingestellt.

Der Vorfall reiht sich in eine Serie von Cyberangriffen auf das US-Gesundheitswesen ein, etwa den Angriff auf den Zahlungsdienstleister Change Healthcare, von dem Informationen 190 Millionen US-Bürger betroffen sind. Auch in Europa häufen sich Cyberangriffe auf Gesundheitseinrichtungen. In Deutschland war beispielsweise das Krankenhaus Agatharied betroffen, woraufhin laut der Tageszeitung Merkur auf "alte Kassendiktiergeräte" zurückgegriffen werden musste.

Broadcoms Entwickler haben in VMware Cloud Foundation insgesamt drei Softwareschwachstellen geschlossen. Daran können Angreifer für Attacken ansetzen.

Wie aus einer Warnmeldung hervorgeht, sind die Lücken (CVE-2025-41229, CVE-2025-41230, CVE-2025-41231) mit dem Bedrohungsgrad "hoch" eingestuft. Nutzen Angreifer die Schwachstellen erfolgreich aus, können sie etwa im Netzwerk über den Port 443 auf sensitive Informationen oder interne Services zugreifen.

Bislang gibt es keine Berichte zu Attacken. Die Entwickler versichern, die Lücken in den Ausgaben 5.2.1.2 und 4.5.x KB398008 geschlossen zu haben.

Zuletzt sorgten Sicherheitslücken in VMware Aria Automation für Schlagzeilen. Auch an dieser Stelle konnten Angreifer unbefugt auf eigentlich abgeschottete Bereiche zugreifen.

Ein indischer Sicherheitsforscher hat erhebliche Sicherheitslücken in der “My Volkswagen”-App entdeckt. Alleine mit der Angabe der Fahrzeugidentifikationsnummer (VIN) sei es ihm möglich gewesen, über die API der Smartphone-App weitreichende Daten über Fahrzeuge abzurufen. Der Autohersteller aus Wolfsburg habe die Lücken nach seinem Hinweis inzwischen geschlossen, berichtet er in einem Blogpost. Ob sich das Problem auf die indische Variante der App reduziert, ist unklar.

Vishal Baskar, der sich in seinem Medium-Blog loopsec nennt, hatte nach dem Kauf eines Gebrauchtwagens ein Problem: Als er mit der Smartphone-App des Herstellers auf die Daten seines Fahrzeugs zugreifen wollte, war die Eingabe eines One-Time-Passworts (OTP) nötig. Dies landete allerdings auf dem Smartphone des Vorbesitzers, der nicht auf Anrufe reagierte.

Die genauere Beschäftigung mit der App weckte dann allerdings die Neugierde des Technikinteressierten. Trotz diverser Falscheingaben der OTP-Zahl erfolgte keine Sperrung. Daraufhin installierte Baskar die Software Burp Suite, um die API-Aufrufe der App auf seinem iPhone auslesen zu können. Tatsächlich, so fand er heraus, war eine unbegrenzte Zahl an Versuchen möglich, sodass er schließlich mithilfe eines Python-Skripts die richtige Zahl ermittelte und Zugriff auf seinen Wagen nehmen konnte.

Aber mehr noch: Seiner Dokumentation zufolge entdeckte er bei dieser Gelegenheit, dass offene API-Endpunkte Daten wie Passwörter, Tokens und Benutzernamen im Klartext offenbarten. Nur mithilfe der Identifikationsnummer des Autos gelang ihm zudem der Zugriff auf Informationen über Service- und Wartungspakete – er habe Namen, Telefonnummern, Adressen, E-Mails, Fahrzeugdetails und Vertragsinformationen einsehen können, berichtet er.

Auch die komplette Werkstatthistorie und Fahrzeugtelematikdaten habe er über die API aufrufen können. Ihm zufolge hätte man die Lücken nutzen können, um den Standort des Fahrzeugs aus der Ferne zu kontrollieren, etwa für Stalking. Auch ein Betrug mit den detaillierten persönlichen Informationen wäre möglich gewesen.

"Ich möchte erreichen, dass Betroffene es sich nicht quasi zur Lebensaufgabe machen müssen, ständig falsche Zitate zu suchen und die zu melden", erklärt die Grünen-Politikerin Renate Künast in der ersten Folge der zweiten Staffel des Reportage-Podcasts "Bits & Böses". Sie ist eine der bekanntesten Stimmen im Kampf gegen Hass im Netz und führt seit Jahren Prozesse, aktuell gegen den Meta-Konzern wegen eines Falschzitats, das ihr untergeschoben wurde und trotz Meldung immer wieder auf Facebook kursiert. Künast strebt eine Grundsatzentscheidung an, damit Plattformen wie Meta verpflichtet werden, sinngleiche Inhalte eigenständig zu suchen und zu löschen. Diese Ansicht teilten bereits das Landgericht und Oberlandesgericht Frankfurt. Nun liegt der Fall beim Bundesgerichtshof.

Neben Renate Künast sind auch andere Personen des öffentlichen Lebens betroffen. Die Klimaaktivistin Luisa Neubauer erhält regelmäßig Hasskommentare und Drohungen, wie ein Video zeigt, in dem ein Mitglied eines AfD-Kreisverbands sie als seinen "schlimmsten Feind" bezeichnet. Auch der SPD-Politiker Karamba Diaby, erster schwarzer, in Afrika geborener Bundestagsabgeordneter, ist seit Jahren Ziel von Hass und Hetze.

Doch Hass trifft nicht nur bekannte Persönlichkeiten. Die 15-jährige Amanda Todd aus Kanada wurde Opfer von Sextortion und nahm sich 2012 das Leben, nachdem intime Bilder von ihr verbreitet wurden. Ihr Fall führte zur Gründung des Amanda Todd Legacy Fund. Ähnlich erging es dem 20-jährigen Tim Ribberink aus den Niederlanden, der jahrelang online gemobbt wurde und 2012 Suizid beging. Sein Tod löste eine nationale Debatte aus, die zu gesetzlichen Anti-Mobbing-Maßnahmen an niederländischen Schulen führte. Eine WHO-Studie von 2024 zeigt, dass Cybermobbing unter Jugendlichen zugenommen hat, und laut der Studie "Lauter Hass, leiser Rückzug" wurde in Deutschland fast jede zweite Person schon online beleidigt, was viele zum Rückzug aus Online-Diskussionen bewegt.

Admins, die Anwendungsentwicklungssysteme mit HCL Domingo verwalten, sollten das Add-on Leap (ehemals Volt) aus Sicherheitsgründen auf den aktuellen Stand bringen. Ohne aktuelle Sicherheitspatches sind Systeme verwundbar.

Wie aus einem Supportbeitrag hervorgeht, können Angreifer insgesamt an neun Softwareschwachstellen ansetzen. Auch wenn der Großteil der Lücken mit dem Bedrohungsgrad "mittel" eingestuft ist, sollten Admins mit dem Patchen nicht zu lange warten. Schließlich stellen auf kompromittierten Systemen erstellte Anwendungen ein Sicherheitsrisiko dar.

Über die am gefährlichsten eingestufte Schwachstelle (CVE-2023-37535 "hoch") können Angreifer eigene Skripte in den Arbeitsablauf bringen. Außerdem können Angreifer unrechtmäßig auf eigentlich geschützte Daten zugreifen (CVE-2023-37517 "niedrig").

Die Entwickler versichern, die Lücken in den Ausgaben 1.1.1, 1.1.2, 1.1.3, 1.1.4 und 1.1.5 geschlossen zu haben.

Docker Inc. stellt mit den Docker Hardened Images (DHI) eine Auswahl an sicherheitsoptimierten und unternehmensgerechten Container-Images zur Verfügung. Die Pakete sollen höchste Sicherheits-Anforderungen an die Software-Lieferkette erfüllen. Die DHI sind im Kern minimalistisch aufgebaut und werden laut Docker kontinuierlich weiterentwickelt, um den Compliance-Standards von Unternehmen zu genügen.

Die Docker Hardened Images (DHI) stehen auf Docker Hub speziell gekennzeichnet zum Download bereit.

(Bild: Docker)

Zuletzt gab es immer wieder Angriffe auf Docker Hub und andere öffentliche Repositorys. Dabei wurden unter anderem 2,8 Millionen Docker-Hub-Repositorys mit Malware oder Phishing verseucht.

Laut Docker erfüllt jedes DHI das SLSA-Level 3, unterstützt Compliance-Werkzeuge wie SBOM und VEX und läuft als non-root mit den geringsten Privilegien, um Sicherheitsrisiken zu minimieren. Durch ihr minimalistisches Design sollen die Softwarepakete zudem schneller starten und gegenüber nicht gehärteten Images eine um bis zu 95 Prozent reduzierte Angriffsfläche gegenüber Manipulationen aufweisen.

Die erste deutsche Ausgabe des Exploit-Wettbewerbs "Pwn2Own" ist zuende und brachte seinen Teilnehmern über eine Million US-Dollar Preisgeld ein. Sieger des Wettbewerbs und frischgekürter "Master of Pwn" war das Team von "STAR Labs" aus Singapur. Der einzige deutsche Teilnehmer Manfred Paul hatte einen Firefox-Exploit im Gepäck.

Der dreitägige Exploit-Wettbewerb fand parallel zur "OffensiveCon", einer Fachkonferenz für Exploit-Autoren und andere Experten offensiver IT-Sicherheit, statt und zog Teilnehmer aus der ganzen Welt an. Diese brachten reichlich unveröffentlichte Sicherheitslücken mit: Insgesamt 28 verschiedene "Zero-Days" kaufte die ausrichtende Zero Day Initiative (ZDI) des Sicherheitsunternehmens Trend Micro an. Nach einer Analyse durch eigene Experten gibt ZDI die Lücken an die Hersteller weiter, die zudem eigene Mitarbeiter als Beobachter vor Ort hatten.

Zwei asiatische Teams setzten sich an die Spitze des Teilnehmerfelds: STAR Labs aus Singapur trugen mit 320.000 Dollar Prämie den Gesamtsieg davon, das Security-Team der vietnamesischen Telefongesellschaft Viettel erreichte Platz 2. Auf den Plätzen 3 bis 5 lagen zwei französische Teams und die Sicherheitsforscher von Wiz.

Manfred Paul war der einzige deutsche Teilnehmer. Er "popped calc", wie es im Pwn2Own-Jargon heißt, rief also den Windows-Taschenrechner mittels einer Sicherheitslücke aus Firefox heraus auf. Das brachte dem vormaligen Gewinner des "Master of Pwn"-Titels immerhin 50.000 US-Dollar Prämie ein. Die Siegprämien für erfolgreiche Teilnehmende sind zugleich der Kaufpreis für die zugehörige Sicherheitslücke bei der ZDI.

Die 28 auf der Pwn2Own verwendeten Sicherheitslücken betrafen zu einem Viertel AI-Produkte, darunter Nvidias Triton-Inferenzserver. Doch auch Broadcoms Virtualisierer VMware, Virtualbox, Docker und natürlich Windows waren beliebte Angriffsziele der Exploit-Profis.

Sicherheitsforscher und Curl-Maintainer Daniel Stenberg hat in seinem Blog auf ein Sicherheitsproblem durch Unicode-Schwindel aufmerksam gemacht, das für Reviewer, Merger und CI-Jobs schlecht zu erkennen ist.

Stenberg zeigt in seinem Blog, wie ein Angreifer ein gängiges ASCII-Zeichen im Code durch ein fast identisches aus der Unicode-Tabelle ersetzt. Das ist im Code-Editor nicht zu erkennen, ergibt aber beispielsweise eine andere URL, hinter der sich bösartiger Code verstecken kann. Als Beispiel verwendet der Blogger ein armenisches g.

Die Zahl möglicher Verwechselungen ist groß: Auf der Seite von Unicode.org lassen sich die vielen ähnlichen Zeichen auflisten, hier im Bild am Beispiel von heise.

Die Zahl der ähnlichen, für einen URL-Schwindel geeigneten Zeichen ist groß.

(Bild: Screenshot Unicode.org)

Angreifer können Anfragen der Fernzugriffslösung Sonicwall SMA1000 umleiten. Ein Sicherheitspatch schafft Abhilfe.

In einer Warnmeldung führt der Anbieter von Netzwerktechnik aus, dass Angreifer im Zuge einer Server-side-request-forgery-Attacke (SSRF) Anfragen an etwa von ihnen kontrollierte Server umleiten können (CVE-2025-40595 "hoch").

Im Kontext einer Fernzugriffslösung, über die Mitarbeiter mit ihren Geräten eigentlich sichere Verbindungen aufbauen sollen, kann das weitreichende Folgen haben. Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein.

Bislang gibt es keine Berichte zu laufenden Angriffen. Netzwerkadmins sollten dennoch zeitnah reagieren und die Version 12.4.3-02963 (platform-hotfix) installieren, um die Lücke im Appliance-Work-Place- Interface zu schließen

Am zweiten Tag des Exploit-Wettbewerbs Pwn2Own in Berlin nutzten Sicherheitsforscher auf der Bühne Lücken in Redis, VirtualBox und Windows 11 aus. Besonders beliebt war jedoch NVidias KI-Server Triton, an dem sich gleich mehrere Wettbewerbsteilnehmer ausprobierten. Ausrichter Trend Micro hat bereits über 600.000 US-Dollar Preisgeld verteilt.

Das Finden und Ausnutzen von Sicherheitslücken findet in aller Regel im Verborgenen statt – ob durch "Whitehat"-Sicherheitsforscher oder Cyberkriminelle. Nur wenige der Sicherheitsexperten suchen eine Bühne, um ihre Zero-Day-Exploits öffentlich auszuprobieren. Diejenigen, die die Aussicht auf Ruhm und fünf- bis sechsstellige Preisgelder auf die Pwn2Own lockt, tun jedoch genau das.

In verschiedenen Kategorien wie AI, cloud-native-Anwendungen oder Webbrowser nutzen die Teilnehmer im Wettbewerb zuvor gefundene Sicherheitslücken aus, die dem Hersteller unbekannt sind – die berühmt-berüchtigten "Zero Days". Dazu erhalten sie vom Veranstalter Laptops mit der Zielanwendung, etwa dem Browser Firefox, und dreißig Minuten Zeit. Schaffen die Hacker es etwa, in dieser Zeit Root-Zugriff zu erhalten oder aus der Browser- oder Virtualisierungsumgebung auszubrechen, erhalten sie das Preisgeld.

Und das kann beträchtlich ausfallen: Für einen Ausbruch aus ESXi strich ein singapurisches Team 150.000 US-Dollar ein, am Ende des zweiten Wettbewerbstages hatte die Zero Day Initiative (ZDI) bereits über 695.000 Dollar ausbezahlt. Insgesamt prognostizieren die Ausrichter, knapp eine Million Dollar auszuzahlen.