Täglich werden Millionen Accounts durch unsichere, veraltete Passwörter kompromittiert. Sicherheitsexperten setzen daher auf sichere Alternativen wie Passkeys.

In unserem praxisorientierten iX-Workshop Sichere Authentifizierung für Web-Apps: 2FA und passwortlosen Login implementieren und einsetzen lernen Administratoren, Entwickler und DevOps-Engineers aktuelle Verfahren zur sicheren Authentifizierung kennen. Sie erfahren, wie Public Key Infrastructures (PKI), Zwei-Faktor-Authentifizierung und passwortlose Anmeldeverfahren funktionieren und wie sie diese sicher einsetzen können. Der Fokus liegt auf der sicheren und praxisnahen Anwendung dieser Technologien.

Der Online-Workshop vermittelt Ihnen moderne Alternativen zur klassischen Authentifizierung und zeigt, welche Bedeutung PKI-Zertifikate, FIDO und Passkeys dabei haben. Sie lernen, Zertifikate zu verwalten, zertifikatsbasierte Authentifizierung einzusetzen und Sicherheitskonzepte praxisnah umzusetzen. Dazu zählen unter anderem die Einrichtung von SSH- und Smartcard-Authentifizierung sowie die Absicherung von Webanwendungen und VPNs. Zudem beleuchtet der Workshop Stärken und Schwächen aktueller Verfahren wie OTP und Post-Quantum-Kryptografie.

Lernen in einer Übungsumgebung

Ihr neu erworbenes Wissen wenden Sie bei Übungen in einer sicheren virtuellen Umgebung an, die mit OpenSSL und Active Directory Certificate Services ausgestattet ist. Durch den Workshop führt der Sicherheitsexperte Tim Schmidt. Als Security Researcher bei der Neodyme AG ist er Experte für Code-Audits, Penetrationstests und Reverse Engineering von IoT-Geräten.

Erfahrungen aus dem Berufsalltag

Sie profitieren von der Erfahrung Ihres Trainers Tim Schmidt, der als Security Researcher bei der Neodyme AG täglich Authentifizierungsverfahren, Kryptografie und Login-Systeme in realen Sicherheitsanalysen bewertet. Dadurch erhalten Sie nicht nur ein Verständnis für Passkeys, FIDO und PKI, sondern vor allem Einblicke in typische Implementierungsfehler und reale Angriffsszenarien.

Im Workshop geht es über reine Theorie hinaus: Sie diskutieren konkrete Praxisfälle, klären Umsetzungsfragen und erhalten Einordnung zu Architektur- und Sicherheitsentscheidungen, die in Dokumentationen oder KI-Antworten oft zu kurz kommen. So gewinnen Sie Sicherheit in der praktischen Umsetzung moderner Authentifizierungsverfahren – von der Auswahl bis zur sicheren Integration in eigene Systeme.

Für wen lohnt sich die Teilnahme?

Der Workshop richtet sich an Administratoren, DevOps-Engineers und Entwickler, die moderne Authentifizierung wie Passkeys, FIDO und PKI sicher in der Praxis einsetzen und korrekt in bestehende Systeme integrieren möchten.

(ilk)

Die Digitalisierung des Alltags stellt den Schutz der Privatsphäre zunehmend vor Herausforderungen, was nicht zuletzt für Minderjährige gilt. Die Datenschutzbehörden der G7-Staaten rückten daher bei ihrem jährlichen, am Freitag in Paris zu Ende gegangenen Treffen unter dem Vorsitz der französischen Aufsicht CNIL die digitale Sicherheit von Kindern und Jugendlichen in den Vordergrund. Der Gipfel mündete in wegweisenden Beschlüssen zum Reizthema Altersprüfungen im Netz und zur Sicherheit in Smart Homes.

In der Erklärung für eine datenschutzfreundliche Altersverifikation, die nebst Social-Media-Verbot auch hierzulande kontrovers debattiert wird, stellen sich die G7-Datenschützer nicht prinzipiell gegen verlässliche Ausschlusskriterien für Kinder und Jugendliche in Teilen des Internets. Alterskontrollen könnten ihnen zufolge ein wichtiges Werkzeug sein, um den Nachwuchs vor jugendgefährdenden Inhalten wie Pornografie zu schützen oder gesetzliche Altersgrenzen in sozialen Netzwerken durchzusetzen.

Die Experten warnen aber vor einem unüberlegten, flächendeckenden Einsatz solcher Systeme: Ein Kontrollwahn berge erhebliche Risiken für die Grundrechte und Freiheiten aller User etwa durch die Einschränkung der Meinungs- und Informationsfreiheit. Sie verlangen, dass Alterssicherungen stets verhältnismäßig sein und strikt am konkreten Kontext sowie dem tatsächlichen Risiko ausgerichtet werden müssen. Bevor Staaten zu derart tiefgreifenden technischen Kontrollen greifen, sollten vorrangig die Aufsicht durch die Eltern sowie die digitale Medienkompetenz gestärkt werden.

Strenge Auflagen für die Online-Altersprüfung

Falls eine Online-Alterssicherung unumgänglich sei, müsse der Datenschutz direkt in die Technik eingebaut sein (Privacy by Design), heißt es in dem Papier. Die G7-Datenschützer betonen, dass die erhobenen Daten ausschließlich für die Altersverifikation genutzt und keinesfalls für die Identifizierung, das Tracking, die Profilbildung oder die Verhaltensüberwachung von Nutzern missbraucht werden dürften.

Zugleich erinnern sie an das Gebot der Datenminimierung: Informationen müssen demnach auf das notwendige Maß beschränkt und sicher verwahrt werden. Sie dürfen nicht unnötig auf Vorrat gespeichert werden. Bei der Einbindung von Drittanbietern sei darauf zu achten, dass diese nicht zu neuen Sicherheitsrisiken führen. Hier seien robuste technische Schutzmaßnahmen und absolute Transparenz gegenüber den Nutzern und Kindern zwingend erforderlich.

Die Digitalminister der G7-Staaten machten sich jüngst für einen „Safety-by-Design“-Ansatz stark. Digitale Angebote sollen demnach von vornherein so konzipiert sein, dass sie die Privatsphäre und die psychische Gesundheit von Minderjährigen wahren. Laut einer Studie für das EU-Parlament ist Altersverifikation im Internet zwar nötig, in Demokratien aber gar nicht machbar.

Parallel verabschiedeten die Datenschützer ein Positionspapier zu vernetzten Heimgeräten und der Privatsphäre von Kindern. Smart-TVs, Sprachassistenten und internetfähiges Spielzeug sind demnach längst in einen sensiblen Rückzugsort – ihr eigenes Zuhause – eingezogen. Betreiber und Hersteller nutzen in diesem Ökosystem oft Tracking-Technologien wie Cookies oder automatisierte Inhaltserkennung, um das Verhalten der Bewohner im großen Stil zu analysieren. Das erfolgt oft ohne deren Wissen.

Da Kinder die Konsequenzen dieser Datenverarbeitung kaum überblicken können, fordern die Kontrolleure von der Industrie ein Umdenken. Ortungsdienste und verhaltensbasierte Werbeeinstellungen müssten bei kinderrelevanten Geräten ab Werk standardmäßig ausgeschaltet sein. Einwilligungen dürften nicht durch manipulative Designmuster (Dark Patterns) erschlichen werden. Ferner müssten Geräte, die passiv im Hintergrund zuhören oder aufzeichnen, unmissverständlich signalisieren, wann sie aktiv Daten erfassen.

Smart Glasses im Visier der Datenschützer

Die CNIL packte ein weiteres, zukunftsträchtiges Thema auf die Agenda: eine Übersicht über Ansätze der G7-Datenschutzbehörden zu „intelligenten“ Brillen. Solche Smart Glasses, die kaum mehr als solche zu erkennen und mit KI-Funktionen sowie Kameras, teils mit biometrischer Gesichtserkennung ausgestattet sind, werfen gravierende Fragen rund um die permanente Überwachung im öffentlichen und privaten Raum auf.

Erste Klagen in den USA verdeutlichen die Brisanz, da Hersteller unbemerkt an Subunternehmer zur menschlichen Überprüfung weitergeleitet haben. Die G7-Behörden wollen den Austausch intensivieren, um auch bei dieser Technologie gemeinsame, internationale Datenschutzstandards zu etablieren.

Für Deutschland brachte der stellvertretende Bundesdatenschutzbeauftragte Andreas Hartl die hiesige Perspektive in die Diskussionen ein. Internationale Organisationen wie die OECD und der Europarat sowie KI-Forscher begleiteten den Austausch.

(nen)

Ganze 19 Jahre hatten Hacker, Cracker und Sicherheitsexperten jetzt schon Zeit, die Playstation 3 durch die Mangel zu drehen und Software zu schreiben, mit der man aus der Konsole mehr herausholen kann als nur die von Sony vorgesehenen Funktionen … Zumindest ging das mit der regulären Play-Station 3. Es ist aber erst jetzt – im Jahr 2026 – gelungen, die späteren Slim- und Super-Slim-Modelle der Konsole permanent zu hacken. BadWDSD heißt der Hack und er basiert auf Makers-Liebling: dem Pi Pico.

Die frühen Modelle der PlayStation 3 (die sogenannten „Fat“-Modelle) gelten als die „offenen“ PS3-Konsolen, weil sie echte Custom Firmware (kurz: CFW) direkt installieren konnten. Doch wie ist es dazu gekommen? Die PS3 besitzt eine sogenannte „Chain of Trust“, also eine Startkette aus mehreren Bootloadern und Sicherheitsstufen. Beim Einschalten lädt zunächst ein sehr kleiner, fest im Prozessor eingebrannter Code die nächste Startstufe. Jede weitere Stufe prüft kryptografisch die nächste, damit nur originale Sony-Software ausgeführt wird, weil Software von anderer Stelle nicht korrekt signiert sein kann. Das hat bis 2010 funktioniert, bis die Hackergruppe „fail0verflow“ einen Fehler in Sonys Signatursystem entdeckte.

Sony verwendete für die kryptografischen ECDSA-Signaturen (siehe Kasten „ECDSA“) einen nicht ausreichend zufälligen Wert. Dadurch konnten die privaten Signaturschlüssel mathematisch rekonstruiert werden. Ab diesem Zeitpunkt war es möglich, eigene Firmware-Dateien zu erstellen, die für die PS3 wie offiziell von Sony signierte Dateien aussahen. Damit konnten Entwickler dann eigene oder modifizierte Firmware-Versionen entwickeln, die von der Konsole akzeptiert wurden.

Das war die Leseprobe unseres heise-Plus-Artikels „So kann man eine PS3 mit dem Raspberry Pi Pico hacken“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.