Passwortsicherheit wird oft als nachträglicher Fix behandelt. Doch 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen und täglich proaktiv handeln, statt nur in jährlichen Audits.
Passwortsicherheit wird oft als nachträglicher Fix behandelt, aber 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen.
Passwörter sind kein Feature – sie sind eine Grundannahme, mit der wir alle erschreckend nachlässig geworden sind. Und wenn die Passwortregeln eines Unternehmens eine eigene Wikipedia-Seite bräuchten, dann wurde dort kein Sicherheitssystem gebaut, sondern ein Rätsel.
Viel zu lange hat unsere Branche Passwörter wie einen notwendigen ersten Schritt behandelt, den man anschließend mit teuren, einmal jährlichen Audits „repariert“. Damit müssen wir ein für alle Mal aufhören. Ja, Penetrationstests sind großartig, um bestehende Schwachstellen aufzudecken – aber sie können und sollten durch robuste Passwortsicherheitsmaßnahmen ergänzt werden.
Die Formel ist simpel: sinnvolle Standards ausliefern, den sicheren Weg zum einfachsten machen und aufhören, ständig neue Stellen zu erfinden, an denen Passwörter durchsickern könnten.
Eine starke Zugriffskontrolle hat das klassische Konzept der Netzwerk-Perimeterverteidigung längst abgelöst. Einfache Passwortregeln reichen nicht mehr aus – gestohlene Zugangsdaten gehören weiterhin zu den häufigsten Einstiegspunkten bei Sicherheitsvorfällen. Laut Verizons DBIR 2025 gehen rund 22 Prozent aller Datenlecks auf missbrauchte Credentials zurück. Der Fokus muss sich deshalb auf entwicklerseitig durchgesetzte Authentifizierungsstandards verlagern: sichere Speicherung von Anmeldedaten, kontextbasierter Zugriff sowie die Integration robuster Identity Provider (IdPs).
Starke, einfache Zugriffskontrolle schlägt jedes clevere, aber anfällige Security-Hack. Passwörter sind inzwischen nur noch eine Kompatibilitätsschicht. Passkeys und Phishing-resistente MFA sind heute die empfohlenen Methoden, um alles zu schützen, was wirklich zählt. In der Cybersicherheit ist proaktives Handeln nicht länger Kür – es ist Pflicht.
Penetrationstests bleiben – völlig zu Recht – ein zentraler Bestandteil des Security-Werkzeugsatzes. Aber jeder Entwickler kann täglich dazu beitragen, das digitale Ökosystem von Unternehmen zu schützen. Entwicklergetriebene Sicherheitsmaßnahmen ergänzen regelmäßige Audits, indem sie Risiken kontinuierlich reduzieren – über Systeme, Teams und Nutzende hinweg.
Jeder Deploy sollte die Authentifizierung verschärfen, nicht lockern. Und Authentifizierungsprüfungen in der CI gehören auf dieselbe Stufe wie Unit-Tests: sie sind unverzichtbar.
Natürlich gehen Penetrationstests weit über automatisierte Sicherheitsscans hinaus. Viele Teams nutzen ihre Ergebnisse, um ganze Klassen von Schwachstellen durch bessere Defaults zu eliminieren, statt sie nur punktuell zu flicken … ein Pentest ist eine manuelle, strukturierte und dokumentierte Prüfung der Sicherheitsmaßnahmen eines Unternehmens. Erfolgreiche Tests verlangen, wie ein Angreifer zu denken und Szenarien zu simulieren, in denen sensible Daten exfiltriert oder kompromittiert werden könnten. Indem Schwachstellen identifiziert werden, bevor sie ausgenutzt werden, liefern Pentests einen klaren präventiven Rahmen, der echte Lücken sichtbar macht.
Gleichzeitig kämpfen Entwickler vor zahlreichen Herausforderungen bei der Verwaltung der Authentifizierung über verschiedene Systeme und Dienste hinweg. Der Missbrauch von Anmeldeinformationen (Credential Abuse) ist bei realen Vorfällen weiterhin weit verbreitet. Unsichere oder wiederverwendete Passwörter bleiben ein wesentlicher Faktor bei großen Sicherheitsvorfällen.. Im Juni 2025 berichteten Forscher von 16 Milliarden veröffentlichten Zugangsdaten, aggregiert aus 30 Datensätzen.– größtenteils durch Info-Diebstahl, historisch oder dupliziert. Diese Leaks machen den dringenden Bedarf an proaktivem Passwort- und Zugriffsmanagement deutlich.
Entwickler sind leiderprobt und daran gewöhnt, Probleme zu beheben, sobald sie auftreten – aber eine stärkere Priorisierung von Passwortsicherheit würde ihnen langfristig Arbeit abnehmen. Denn der Preis für Vernachlässigung sind Datenlecks, und mit zunehmender Digitalisierung geraten Unternehmen jeder Größe ins Visier: große Institutionen wie der Flughafen Berlin, der öffentliche Nahverkehr, aber genauso kleine und mittlere Unternehmen. Niemand, wirklich niemand, ist immun.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Passwortsicherheit sollte ein grundlegender Bestandteil der Unternehmenssicherheit sein – eine Verlängerung des Pentest-Gedankens, nicht ein nachträglicher Fix.
Moderne Cybersecurity minimiert die Möglichkeiten für laterale Bewegung im System, indem sie Exposition reduziert und an jeder Stelle überprüft. Dahinter stehen Ansätze wie:
Just-in-Time (JIT) Access – Berechtigungen nur für die Dauer einer Aufgabe.
Least Privilege – Zugänge nur im absolut notwendigen Umfang.
Continuous Verification – permanente Identitäts- und Berechtigungsprüfung statt einzelner statischer Checks wie bei klassischen Pentests.
Entwickler spielen heute eine zentrale Rolle beim Aufbau und Erhalt dieser organisatorischen Sicherheitsarchitektur. Während Pentests spezialisierte Audits sind, können Entwickler beim täglichen Identitäts- und Zugriffsmanagement den größten Einfluss nehmen und sicherstellen, dass angemessene Maßnahmen ergriffen werden, um Fälle wie die oben genannten zu vermeiden. Diese organisatorische Passwortsicherheit umfasst:
Integrieren von Identitätsanbietern (IdPs).
Sichere Verwaltung und Speicherung von Zugangsdaten
Definieren des Umfangs der Berechtigungen gemäß dem Prinzip der geringsten Rechte (Least Privilege).
Komplexe Sicherheit wird ignoriert – einfache Sicherheit gewinnt. Es ist besser, weniger zu schulen und mehr zu automatisieren. Ein sicheres System, das einfach zu bedienen ist, ist die ultimative Form des präventiven Schutzes.
Pentesting bleibt essenziell, um die Sicherheit zu prüfen und Schwachstellen aufzudecken. Die wahre Absicherung kommt jedoch von täglichen, entwicklergesteuerten Authentifizierungsstandards. Diese Maßnahmen begegnen dem größten einzelnen Bedrohungsvektor: kompromittierte Zugangsdaten.
Wir sind längst über den Punkt hinaus, uns ausschließlich auf Netzperimeter-Verteidigungen zu verlassen. Das Burggraben-Modell ist tot. Identitätssicherheit muss nun kontinuierlich, durchgesetzt und mit der gleichen Strenge und institutionellen Investition behandelt werden wie ein jährlicher Penetrationstest. In so einem Umfeld ist Passwortsicherheit kein Basis-Check, sondern ein zentraler Baustein moderner, proaktiver Unternehmenssicherheit.
Schritte, die Entwickler lieber heute als morgen unternehmen sollten:
Secrets in Repositories auditieren, gefundene sofort rotieren, neue Commits mit Secrets blocken
JIT-Zugriff für Produktionssysteme aktivieren, Zugänge nach Ablauf standardmäßig entziehen
Kurz gesagt: Sicherheit ist kein Projekt, sondern eine Praxis. Und sie beginnt bei den Menschen, die täglich Code shippen.
Über den Autor: Avery Pennarun ist Mitbegründer und CEO von Tailscale, das mit seinem Zero-Trust-Ansatz die sichere Vernetzung vereinfacht. Er ist ein Software-Ingenieur mit Erfahrung von innovativen Start-ups bis hin zu Tech-Giganten wie Google. Avery ist bekannt dafür, komplexe Systeme zu vereinfachen und Innovationen voranzutreiben. Zu seinen Open-Source-Projekten gehören netselect, bup, sshuttle und gfblip. Seine Arbeit priorisiert Einfachheit, Zuverlässigkeit und Entwicklerergonomie. Als visionäre Führungskraft brennt er für moderne Vernetzung und Open-Source-Innovationen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/f2/7af27244e2a7e2020c8cf1e428560094/0129336301v2.jpeg "Self-hosted GitHub Actions Runner eignen sich aufgrund ihrer Eigenschaften – wie der Fähigkeit, beliebigen Code auszuführen und persistenten Zugriff auf interne Netzwerke zu bieten – für Angreifer perfekt, um dort Backdoors zu verstecken. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/ba/7dbaa635d6a6c618f72199882f8b838f/0129755658v2.jpeg "Das Personal der BDH-Klinik in Greifswald habe nach einem Cyberangriff einige digitale Abläufe analog ausführen müssen, die Versorgung der Patienten sei jedoch sichergestellt gewesen. (©peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/89/1889ed31c2dce0a86bd0e07c2f125197/0129714473v2.jpeg "Deepfakes sind zur realen Bedrohung für Unternehmen geworden. Zero Trust muss künftig auch die Echtheit von Inhalten verifizieren, nicht nur die Identität von Nutzern. (Bild: © Flash memory - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/70/8070dd073ca803c665eed95cc230a701/0128735549v1.jpeg "Der Autor: Trevor Dearing ist Director of Critical Infrastructure Solutions bei Illumio (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db155e114b7d535ee7ec9cbed89079/0129714250v2.jpeg "KMU stehen unter Compliance-Druck durch Vendor-Management und NIS-2. Minimum Viable Security ermöglicht strukturierte Informationssicherheit ohne Vollzeit-CISO und teure Zertifizierung. (Bild: © sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/01/6c0154fdb59eb48f6829cd91be1c03b8/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/5f/1d/5f1d070630e02593c44d07f590a62330/0129718619v1.jpeg "„Viele Security-Teams sind heute im Dauerstress – nicht, weil sie zu wenig tun, sondern weil sie in einem reaktiven Paradigma gefangen sind: Vorfall erkennen, isolieren, analysieren, schließen.“ sagt Max Rahner, Senior Business Development Manager bei Tenable. (Bild: Tenable)")
:quality(80)/p7i.vogel.de/wcms/1d/cf/1dcfd91e73b22fe28bb14755027091e2/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/8e/918e589e4ee9bb4c02dad8354f57045b/0128846297v1.jpeg "Cloud-Dienste, digitale Kommunikation und globaler IT-Support machen internationale Datentransfers für viele Unternehmen in Deutschland unverzichtbar. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/97/6697cc7bd2918128a8f649b94cb00223/0129719820v1.jpeg "Passwortsicherheit wird oft als nachträglicher Fix behandelt, aber 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei IDMerit, einem kalifornischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/da/b0da219a083f51ec8d1a177ed2f734ed/0129623165v2.jpeg "Die RTL Group ist Europas größter kommerzieller Radio- und Fernsehanbieter und hat damit Zugang zu sensiblen Informationen und Quellen, die für ihre Berichterstattung und investigativen Recherchen von entscheidender Bedeutung sind. Somit ist die Gruppe ein besonders interessantes Ziel für Cyberkriminelle. (Bild: Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/65/6665965cfd1e5ec1dcc76d98f91803ba/0129704585v1.jpeg "Souveränität als Spektrum: (v.l.) Agnes Heftberger (CEO Microsoft Deutschland & Österreich) und Brad Smith (Vice Chair und President, Microsoft) bei der Eröffnung des ersten „European Sovereignty & Digital Resilience Studios“ in München. (Bild: @alexschelbertphotography)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/de/82/de828351d24ce22947e9c469931ffd20/0126593157v1.jpeg "Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5b/d3/5bd3c9c31eab13525adb69bd1759f278/0126593157v1.jpeg "Initial Access Broker (IAB) sind die Türöffner der Cyberkriminalität. Sie beschaffen sich Zugangsdaten zu Netzwerken oder Systemen und verkaufen diese an andere Cyberkriminelle weiter. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/93/c2/93c2a1998fd1fdd704701ba7056673a8/0128454446v2.jpeg "Das BSI fand bei seinem Passwortmanager-Test erhebliche Sicherheitsunterschiede. Doch der Einsatz von Passwortmanagern bleibt insgesamt klar empfehlenswert. (©wutzkoh - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/43/a743330b2d327b2b40cb5e030714fe8f/0119835422v1.jpeg "Passkeys sind eine MFA-Methode von vielen. Ja, die Phishing-Resistenz ist fantastisch, aber - können sich die Nutzer auch auf einem ihrer Remote Desktops damit anmelden? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ef/ea/efeae27c783bf2c99586975ada8fc9a2/0125265251v2.jpeg "Die Analysten von Cybernews suchen im Netz nach offengelegten Daten. Seit Jahresbeginn seien sie in der Lage gewesen, 30 ungeschützt Pakete zu identifizieren, die gemeinsam 16 Milliarden Einträge enthalten sollen. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1a/37/1a37c410f95a6de4b683dc415022dfeb/0129719055v1.jpeg "Geräte unter Windows verwalten: Die Tailscale-App integriert sich in die Windows-Taskleiste und ermöglicht Benutzern schnellen Zugriff, während die Admin-Konsole alle verbundenen Geräte anzeigt.(Bild: Tailscale)")
:quality(80)/p7i.vogel.de/wcms/34/f9/34f99317b12df35e341efe0ab021c612/0129719057v1.jpeg "Zugriffssteuerung einrichten: Die Seite „Zugriffssteuerung“ ermöglicht es Administratoren, ACLs direkt zu bearbeiten und Änderungen mit integrierter Anleitung zu überprüfen.(Bild: Tailscale)")
:quality(80)/p7i.vogel.de/wcms/bc/51/bc51e3efc65f8d6807408cd2ed0fe554/0129719062v1.jpeg "Alle Maschinen anzeigen: Die Ansicht „Maschinen“ bietet eine klare Liste der Geräte, ihrer Versionen und ihres Verbindungsstatus.(Bild: Tailscale)")
:quality(80)/p7i.vogel.de/wcms/9f/c5/9fc51d460597972a8a3f30d226584c10/0129719056v1.jpeg "Benutzer verwalten: Die Seite „Benutzer“ macht es einfach, Rollen, Aktivitäten und Kontodaten im gesamten Tailnet zu verfolgen.(Bild: Tailscale)")
:quality(80)/p7i.vogel.de/wcms/9f/1b/9f1bf57d39e6cc17051e94e149a4405b/0120847876v2.jpeg "Passwort-Policies sind das Ergebnis der zunehmenden Besorgnis über die von User erstellten leicht zu erratenden Kennwörter. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/ec/a9ecfbc90f2fdd25735bd272e5b6d72b/0121486173v1.jpeg "Immer weniger Menschen setzen bei der Authentifizierung auf Passwörter. Stattdessen nutzen sie biometrische Verfahren wie Passkeys. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/f3/d3f3141f83933d5fb72e57804a9da26d/0122174150v2.jpeg "Je länger das Passwort, desto sicherer. Nicht jeder Nutzer folgt diesem Grundsatz. (Bild: Wanisa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/97/af97245494f5ed2d9e7a5e85d635821e/0129347165v2.jpeg "Am 15. September 2025 schlug der Entwickler Daniel Pereira Alarm: Er entdeckte, dass das beliebte npm-Paket „@ctrl/tinycolor“ mit Malware infiziert worden war. (Bild: © Creative_Bringer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/e2/f7e21b6036f819f9291021a1306d2f46/0124353122v1.jpeg "Der aktuelle „State of DevSecOps 2025“ Bericht zeigt: Der Großteil der als kritisch eingestuften Schwachstellen sollte gar nicht als solche eingestuft werden, da sie so ein falsches Bild des Risikoprofils vermitteln. (Bild: Midjourney / KI-generiert)")