Thomas Joos ♥ Security-Insider

Thomas Joos

Freiberuflicher Autor und Journalist

Thomas Joos ist ein deutscher IT-Experte, Autor und freiberuflicher Journalist mit über 30 Jahren Berufserfahrung. Nach seinem Abitur und einem Informatikstudium arbeitete er als IT-Administrator und IT-Leiter, bevor er sich frühzeitig als selbstständiger Consultant etablierte. Heute konzentriert er sich hauptsächlich auf das Schreiben und hat über 100 Fachbücher sowie mehrere tausend Fachartikel verfasst.

Seine Expertise umfasst Bereiche wie Microsoft-Produkte, Netzwerksicherheit, Cloud-Technologien (Microsoft Azure, Microsoft 365, Amazon Web Services), Virtualisierung mit vSphere, Big Data, Unternehmensanwendungen, SAP, Datenanalyse, Blockchain, Security und Künstliche Intelligenz. Er arbeitet eng mit verschiedenen Unternehmen im IT-Bereich zusammen, bleibt dabei jedoch kritisch und unabhängig. Neben Büchern für Microsoft Press schreibt er auch für andere Verlage und zahlreiche IT-Fachzeitschriften und -Portale. Zudem ist er für die Deutsche Presse-Agentur (dpa) tätig.

Joos erstellt auch Unternehmens-interne Texte für Firmen wie Microsoft, Dell, IBM und HPE. Seine Leidenschaft für IT-Themen und das Schreiben spiegelt sich in seiner Arbeit wider, die er mit großer Begeisterung ausübt.

Artikel des Autors

Trojanisierte TanStack-Pakete verteilten über die npm-Registry Schadcode, der beim Installieren Cloud-Zugänge stahl. Der Angriff gilt als Ausgangspunkt der selbstverbreitenden Kampagne Mini Shai-Hulud. (Bild: Gemini / KI-generiert)
Detailanalyse des technisch innovativsten Mini-Shai-Hulud-Angriffs

TanStack-Angriff nutzte vertrauens­würdige Pipelines als Waffe

Manipulierte TanStack-Pakete gelangten über einen missbrauchten OIDC-Token in die npm-Registry. Der eingebettete Schadcode sammelte beim Installieren Cloud-Zugänge, GitHub- und npm-Tokens sowie SSH-Schlüssel. Seit dem TanStack-Angriff hat die Mini-Shai-Hulud-Welle Microsoft, Red Hat und zahlreiche weitere Organisationen getroffen. Hier analysieren wir den technischen Ursprung dieser Angriffsserie.

Weiterlesen
PCPJack stiehlt Cloud-Zugangsdaten aus Entwicklerdiensten und Container-Plattformen. Das modulare Framework verdrängt dabei aktiv den Konkurrenten TeamPCP aus befallenen Systemen. (Bild: © Art_spiral - stock.adobe.com)
Modulares Hacking-Framework kompromittiert Cloud-Dienste

PCPJack stiehlt Cloud-Zugangsdaten und verdrängt Konkurrent TeamPCP

PCPJack ist ein modulares Framework, das Cloud-Zugangsdaten aus Entwicklerdiensten, Container-Plattformen und Datenbanken stiehlt. Es entfernt dabei aktiv Artefakte des Konkurrenten TeamPCP aus befallenen Systemen, was auf einen ehemaligen TeamPCP-Akteur als Urheber hin­deu­tet. Die Verbreitung erfolgt wurmartig über Common Crawl und fünf be­kan­nte Schwachstellen.

Weiterlesen
Über ein gekapertes npm-Konto gelangte Schadcode in 140 Mastra-Pakete. Dabei stahl der Schädling Cloud-Zugänge, obwohl der Paketcode unberührt blieb. (Bild: Gemini / KI-generiert)
npm-Lieferkettenangriff auf KI-Framework Mastra

Gekapertes npm-Konto schleust Schadcode in 140 Mastra-Pakete

Sicherheitsforscher haben einen Lieferkettenangriff auf das KI-Framework Mastra dokumentiert. Ein gekapertes npm-Konto verteilte in kurzer Zeit mehr als 140 manipulierte Pakete. Diese luden über eine getarnte Ab­hän­gig­keit beim Installieren einen plattformübergreifenden Schädling nach, der Cloud-Zugänge, CI/CD-Tokens und SSH-Schlüssel abgriff. Die Mastra-Pakete selbst blieben dabei unverändert.

Weiterlesen
Manipulierte CDN-Skripte von Awesome Motive legten auf 1,2 Millionen WordPress-Seiten Admin-Konten an. Ein einziger gestohlener CDN-Schlüssel genügte als Angriffsvektor. (Bild: Gemini / KI-generiert)
Plugins verteilen Schadcode über manipuliertes CDN-Skript

Supply-Chain-Angriff trifft 1,2 Millionen WordPress-Seiten

Sicherheitsforscher haben einen aktiven Supply-Chain-Angriff auf die WordPress-Plugins OptinMonster, TrustPulse und PushEngage von Awesome Motive aufgedeckt. Manipulierter JavaScript-Code aus dem CDN nutzte die Sitzung eingeloggter Administratoren, um heimlich Konten anzulegen und ein getarntes Backdoor-Plugin nachzuladen. Die Kampagne traf rund 1,2 Millionen WordPress-Seiten und war zum Zeitpunkt der Analyse noch aktiv.

Weiterlesen
Angreifer nutzen kritische Lücken in Fortinets Sicherheits-Appliance FortiSandbox aus. Korrigierte Firmware steht seit April bereit, Betreiber sollten umgehend aktualisieren. (Bild: Gemini / KI-generiert)
FortiSandbox-CVEs ermöglichen Codeausführung ohne Anmeldung

Drei FortiSandbox-Schwachstellen werden aktiv ausgenutzt

Angreifer nehmen drei kritische Schwachstellen in Fortinets Analyse-Appliance FortiSandbox ins Visier, zwei davon werden aktiv ausgenutzt. Glücklicherweise ist der Exploit für die dritte Lücke fehlerhaft, trotzdem besteht Gefahr. Die Sicherheitslücken erlauben unauthentifizierten Zugriff über manipulierte HTTP-Anfragen und erreichen einen CVSS-Score von 9,1. Korrigierte Firmware steht bereit.

Weiterlesen
Der Miasma-Wurm infiziert 73 Microsoft-GitHub-Repositories und startet Schadcode automatisch in KI-Coding-Tools. Microsoft sperrte die Repositories und warnt betroffene Kunden. (Bild: Gemini / KI-generiert)
Microsoft warnt Kunden vor gestohlenen GitHub-Credentials

Miasma-Wurm befällt 73 Microsoft-Repositories und stiehlt KI-Logindaten

Der Miasma-Wurm infiziert über ein gehacktes Entwicklerkonto 73 Microsoft-Repositories von KI-Coding-Tool auf GitHub. Der Schadcode aktiviert sich automatisch, sobald ein betroffenes Repository geöffnet wird und stiehlt GitHub-Credentials sowie Cloud-Zugangsdaten. Microsoft sperrt die Repositories, informiert betroffene Kunden und untersucht das Ausmaß.

Weiterlesen
Eine manipulierte Version der Nx Console 18.95.0 verteilte Schadcode via Auto-Update und stahl damit Entwickler-Zugangsdaten. Die US-Behörde CISA bestätigt die aktive Ausnutzung der Schwachstelle CVE-2026-48027 mit Aufnahme in ihren KEV-Katalog. (Bild: © Deemerwha studio - stock.adobe.com)
Supply-Chain-Angriff trifft VS-Code-Entwickler

Manipulierte Nx-Console-Version stiehlt Zugangsdaten

Eine bösartige Version der VS-Code-Erweiterung Nx Console gelangte für wenige Minuten in zwei Marktplätze und verteilte sich über die au­to­ma­ti­sche Update-Funktion. Der eingeschleuste Code greift Zugangsdaten aus Entwicklerumgebungen ab und ermöglichte über eine mehrstufige An­griffs­kette den Zugriff auf interne GitHub-Repositories. Die US-Behörde CISA stuft den Vorfall als aktiv ausgenutzt ein.

Weiterlesen
Die Schwachstelle CVE-2025-48595 erlaubt lokale Rechteausweitung auf allen aktuellen Android-Versionen. Googles Juni-Update schließt die aktiv ausgenutzte Lücke. (Bild: Gemini / KI-generiert)
Google Juni-Update schließt CVE-2025-48595 im Android Framework

Aktiv ausgenutzte Android-Lücke gefährdet alle aktuellen Versionen

Eine aktiv ausgenutzte Schwachstelle im Android Framework erlaubt lokale Rechteausweitung ohne Nutzerinteraktion und trifft alle aktuellen Android-Versionen von 14 bis 16. Google stuft die Ausnutzung als begrenzt und ziel­ge­rich­tet ein, was auf kommerzielle Spyware-Anbieter oder staatliche Ak­teu­re hindeutet. Das Juni-Update schließt die Lücke, betroffene Geräte ohne Patch bleiben angreifbar.

Weiterlesen
Wer besonders sicher arbeiten oder das Netzwerk überwachen will, greift zu speziellen, hochsicheren Linux-Distributionen.  (rimom - stock.adobe.com)
Qubes OS, Tails, Whonix und Co.

Hochsichere Linux-Distributionen im Überblick

Linux gilt als sehr sicheres Betriebssystem, aber manchmal gibt es Einsatzgebiete, für die es ein noch sichereres System braucht. Wer vertraulich arbeiten und kommunizieren muss, oder die Sicherheit des eigenen Netzwerks überwachen will, greift zu speziellen Linux-Distributionen wie z.B. Qubes OS, Tails oder Whonix. Wir stellen einige der bekanntesten und besten Distributionen in diesem Bereich vor.

Weiterlesen
Durch weniger Benutzerrechte erreichen Unternehmen eine höhere Sicherheit im eigenen Netzwerk, ohne die Produktivität negativ zu beeinflussen. (flashmovie - stock.adobe.com)
Mehr Sicherheit durch weniger Rechte

Benutzer ohne Admin-Rechte

Häufig erhalten Benutzer Admin-Rechte auf einem Computer, weil einzelne Programme ansonsten nicht funktionieren. Das ist seit Jahren üblich, bringt aber viele Probleme, wie zum Beispiel ein erhöhtes Malware-Risiko mit sich. Dabei sind die erweiterten Rechte in den meisten Fällen gar nicht notwendig. Windows bietet genug Möglichkeiten, damit Benutzer auch ohne Admin-Rechte mit dem System arbeiten können.

Weiterlesen
Open-Source-Firewalls haben nicht immer den gleichen Funktionsumfang wie kommerzielle Firewalls, oft ist das aber auch gar nicht notwendig. (gemeinfrei)
Kostenlose Firewalls unter Linux

7 Open-Source-Firewalls auf Basis von Linux

Eine gut konfigurierte Firewall braucht jedes Netzwerk. Open-Source-Firewalls haben den Vorteil, dass Sie kostenlos sind und es nachprüfbar keine Hintertüren gibt. Der Code ist bekannt und wird meist regelmäßig gepflegt. Es kostet zwar in der Regel etwas mehr Arbeit um sie zu installieren und zu konfigurieren, aber es lohnt sich manchmal doch einen Blick auf diese Technologie zu werfen.

Weiterlesen
VeraCrypt bietet Nutzern Datensicherheit für Windows, macOS und Linux mit Open Source. (j-mel - stock.adobe.com)
Video-Tipp: VeraCrypt

Festplatten mit VeraCrypt verschlüsseln

Die Open Source-Lösung VeraCrypt kann komplette Festplatten verschlüsseln, aber auch einzelne Bereiche auf Festplatten nutzen, um einen verschlüsselten Container zu erstellen. Hier können Anwender Daten schnell und einfach verschlüsseln.VeraCrypt bietet Nutzern hohe Datensicherheit für Windows, macOS und Linux zum Nulltarif.

Weiterlesen
Mit der Integration von kali Linux in das Windows-Subsystem für Linux (WSL) können Admins einfacher die Sicherheit in modernen Microsoft-Netzwerken testen. (Offensive Security)
Video-Tipp: Kali Linux und das WSL

Kali Linux direkt in Windows 10 einbinden

Die meisten Sicherheitsexperten kennen die Security-Distribution „Kali Linux“. Die praktische Tool-Sammlung enthält auch zahlreiche Werkzeuge und Sicherheits-Tools für Microsoft-Netzwerke. Über das Windows-Subsystem für Linux (WSL) lässt sich Kali Linux sogar direkt in Windows integrieren. In diesem Video-Tipp zeigen wir die Vorgehensweise zur Installation.

Weiterlesen
Rettungs-CDs haben IT-Profis lange Zeit gute Dienste geleistet, aber immer weniger PCs haben noch ein optisches Laufwerk. Es ist an der Zeit von der CD zum Rettungs-Stick zu wechseln! (Stockfotos-MG - stock.adobe.com)
Bootstick statt Rettungs-CD

Systemrettung mit bootbaren USB-Sticks

Startet das Betriebssystem eines Rechners nicht mehr, greift man normalerweise zur Rettungs-CD. Hat der PC aber kein optisches Laufwerk kann man sich mit einem bootfähigen USB-Stick behelfen um die Daten oder das komplette System zu retten. Es gibt viele Möglichkeiten, Rettungs-CDs oder ganze Live-Betriebssysteme auf einen Bootstick zu kopieren. Wir zeigen die besten Windows- und Linux-Tools.

Weiterlesen
Wie man die Windows Server Update Services (WSUS) installiert und welche Optionen bei der Ersteinrichtung besonders wichtig sind, zeigen wir in diesem Video-Tipp. (ileezhun - stock.adobe.com)
Video-Tipp: WSUS (Teil 1)

WSUS-Grundlagen für Admins

Die Installation von Windows-Updates oder Patches für Microsoft-Produkte möchten Administratoren selten ganz dem Anwendern überlassen. Will man die Updates effizient, zur passenden Zeit und ohne extreme Auslastung der eigenen Internetleitung im Netzwerk verteilen, kommt man um Windows Server Update Services (WSUS) nicht herum. Im ersten Teil der WSUS-Video-Tipp-Serie zeigen wir die wichtigsten Grundlagen für Installation und Einsatz von WSUS.

Weiterlesen
Video-Tipp #52: Sichere Datenlöschung unter Windows und macOS

Daten auf SSD und USB-Sticks sicher löschen

Um Daten auf SSD, NVMe, SD-Karten oder USB-Sticks sicher zu löschen, sind altbewährte Tools und Vorgänge, die für herkömmliche Festplatten funktionieren nicht sinnvoll. SSD und NVMe funktionieren anders und vermeintlich sicher gelöschte Daten lassen sich leicht wiederherstellen. Wir zeigen in diesem Video-Tipp, wie man Daten unter Windows, macOS und Linux auch auf SSDs & Co sicher löscht!

Weiterlesen
Windows Defender Application Guard (WDAG) ermöglicht sicheres Webbrowsen in Windows 10 mit Microsoft Edge oder Google Chrome. (cutimage - stock.adobe.com)
Video-Tipp: WDAG

Sicherer Browser mit Windows Defender Application Guard

Mit der neuen Sicherheitsfunktion „Windows Defender Application Guard“ (WDAG) in Windows 10 lassen sich in Microsoft Edge Browsersitzungen isolieren und sicherer betreiben. Der Einsatz im Unternehmen ist auf jeden Fall überlegenswert. Wie sich der Edge-Browser mit Hyper-V für mehr Sicherheit isolieren lässt, zeigen wir in diesem Video-Tipp!

Weiterlesen
Wie man mit Hilfe der Überwachungsprotokollierung von Postfächern im Exchange Admin Center die Mailbox-zugriffe delegierter Benutzer und Administratoren im Blick behält, zeigen wir in diesem Video-Tipp. (freshidea - stock.adobe.com)
Video-Tipp: Exchange-Überwachung

Überwachen von Zugriffen auf Exchange-Postfächer

Exchange und Outlook ermöglichen Anwendern oder Administratoren relativ einfach Zugriff auf Postfächer von Dritten zu erhalten. Das ist zwar häufig richtig und notwendig, aber es sollte immer ein Überblick darüber behalten werden, wer auf fremde Postfächer zugreifen darf, und ob der Zugriff noch erwünscht ist. Die Postfachüberwachungsprotokollierung (mailbox audit logging) von Exchange bietet hier alle nötigen Informationen.

Weiterlesen
Wie man mit Nmap Netzwerke scannt und so für mehr Sicherheit sorgt, zeigen wir in diesem Tool-Tipp und in 90 Sekunden im Video. (Maksim-Pasko - stock.adobe.com)
Tool-Tipp: Nmap & Zenmap

Netzwerke mit Nmap und Zenmap untersuchen

In Netzwerken ist ständig Datenverkehr unterwegs. Mit dem Tool Nmap lassen sich bestimmte Datenpakete herausfiltern, um beispielsweise festzustellen, ob Anwender Daten in Cloudspeichern ablegen. Mit Zenmap erhalten Administratoren zusätzlich noch eine grafische Oberfläche für das Tool und können so einfacher für mehr Sicherheit sorgen.

Weiterlesen