Planet CCC - Blogs and more around CCC, CCC-Hamburg and Attraktor

December 06, 2025

Netzpolitik.org

KW 49: Die Woche, in der wir zurück ins Jahr 1986 reisten

– Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Die 49. Kalenderwoche geht zu Ende. Wir haben 14 neue Texte mit insgesamt 95.047 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

by Daniel Leisegang at December 06, 2025 07:41 AM

Metalab

December 05, 2025

Metalab

Netzpolitik.org

DSA: EU-Kommission verhängt 120-Millionen-Euro-Strafe gegen X

Elon Musk mit schwarzem Käppi und blauem AugeKontrolliert X: Elon Musk, hier mit blauem Auge. – Alle Rechte vorbehalten IMAGO / MediaPunch
Die EU-Kommission hat gegen die Plattform X, vormals Twitter, wegen Verstößen gegen den Digital Services Act eine Geldstrafe verhängt. Der Konzern hat nun 90 Tage Zeit für Anpassungen. Gleichzeitig drohen X weitere Sanktionen.

by Anna Ströbele Romero at December 05, 2025 02:05 PM

Geheimdienstreform: Der MAD hat ein neues Gesetz bekommen

Die MAD-Präsidentin Martina Rosenberg im BundestagMartina Rosenberg ist die Präsidentin des MAD (Archivbild) – Alle Rechte vorbehalten IMAGO / Mike Schmidt
Der Militärische Abschirmdienst darf künftig deutlich mehr, hat der Bundestag mit einem neuen Geheimdienstgesetz beschlossen. Doch die Reform des kleinsten deutschen Geheimdienstes ist erst der Auftakt für weitere Änderungen am Geheimdienstrecht.

by Anna Biselli at December 05, 2025 11:06 AM

December 04, 2025

Netzpolitik.org

Datenatlas der Bundesdruckerei: Verwaltungsmodernisierung von vorvorgestern

der Titan Atlas, der auf seinen Schultern den Kosmos aus 0 und 1 trägt; im Hintergrund eine aufgehende Sonne; ein goldener Rahmen umfasst das BildSchwere Last: der Datenatlas der Bundesdruckerei (Symbolbild)
Der Datenatlas soll die Bundesverwaltung effizienter machen. Ein wissenschaftliches Gutachten zeigt nun jedoch, dass er mitunter nicht einmal dem Stand der Technik aus dem Jahr 1986 entspricht. Anstatt den Gutachter zu konsultieren, erwägt die zuständige Bundesdruckerei "rechtliche Schritte" gegen ihn.

by Esther Menhard at December 04, 2025 04:12 PM

Neues Polizeigesetz: Berlin wirft die Freiheit weg

Eine Stabkamera mit Beleuchtung.Auf Demonstrationen (wie hier am 1. Mai) filmt die Berliner Polizei bereits fleißig mit. Künftig darf sie auch festinstallierte Kameras betreiben, die Bilder per KI auswerten und vieles mehr. – Alle Rechte vorbehalten IMAGO / Achille Abboud
Heute wurde in Berlin eine Novelle des Polizeigesetzes verabschiedet. Sie erlaubt so ziemlich alles, was an digitaler Überwachung möglich ist: Verhaltensscanner, Gesichtersuche, Palantir-artige Datenanalysen, Staatstrojaner. Ein Kommentar.

by Martin Schwarzbeck at December 04, 2025 10:46 AM

Digital Fights: Digital Knights: Wir kämpfen gegen die Überwachung mit Palantir

Vogelperspektive aus einer Überwachungskamera in einen tristen Verhörraum: Constanze Kurz sitzen am Tisch mit Blick in eine Kamera.Wir lassen uns nicht einschüchtern. CC-BY-NC-SA 4.0 netzpolitik.org
Die Software von Palantir soll auf Knopfdruck den Wildwuchs von Polizei-Datenbanken durchforsten. Damit die Polizei schon heute weiß, was du morgen tun wirst. Doch der Einsatz von Palantir-Software verletzt Grund- und Freiheitsrechte. Und er lässt die Rede von der anzustrebenden digitalen Souveränität endgültig unglaubwürdig werden.

by netzpolitik.org at December 04, 2025 05:52 AM

December 03, 2025

Metalab

Netzpolitik.org

Pressefreiheit: Polizei behindert Presse bei Protesten in Gießen

Viele Polizist:innen mit Helm, daneben ein Wasserwerfer.In mehreren Fällen konnten Journalist:innen nicht so wie auf dem Bild aus nächster Nähe berichten. – Alle Rechte vorbehalten IMAGO / Moritz Schlenk
Bei den Protesten gegen die Gründung der AfD-Jugend in Gießen kam es mehrfach zu Vorfällen, bei denen die Pressefreiheit eingeschränkt wurde. Betroffen waren Reporter:innen der taz und von freien Radiosendern.

by Markus Reuter at December 03, 2025 03:31 PM

Jugendschutz-Streit: Pornhub jetzt offen für Ausweiskontrollen in der EU

Eien Person hat ein Smartphone in der Hand, auf dem das Logo von Pornhub zu sehen ist.Ausweiskontrollen für alle – zieht Pornhub mit? (Symbolbild) – Alle Rechte vorbehalten IMAGO/Starface; Bearbeitung: netzpolitik.org
Zwar hat ein deutsches Verwaltungsgericht die verhängten Netzsperren gegen Pornhub gekippt. Dennoch will die Plattform anscheinend Alterskontrollen in der EU einführen, wie der Konzern auf Anfrage von netzpolitik.org mitteilt. Hinter dem möglichen Kurswechsel steckt eine Strategie.

by Sebastian Meineck at December 03, 2025 02:22 PM

Interview mit der Bundesdatenschutzbeauftragten: „Die aktuelle Debatte geht in die falsche Richtung“

Louisa Specht-Riemenschneider steht im Türrahmen zu einem Büro.Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider. – Alle Rechte vorbehalten Johanna Wittig
Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält.

by Ingo Dachwitz at December 03, 2025 01:35 PM

Digitaler Omnibus: So unterschiedlich wollen EU-Staaten die Digitalregulierung verändern

Die 27 EU-Staaten müssen sich nun einigen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com FORTYTWO
Mit Blick auf das Reformpaket der EU-Kommission zeigen sich die Mitgliedstaaten gespalten. Einige setzen wie die Kommission auf Deregulierung und wollen so die europäische Digitalwirtschaft ankurbeln. Andere wiederum würden lieber die Umsetzung der bestehenden Regeln verbessern.

by Anna Ströbele Romero at December 03, 2025 11:10 AM

Transparenzregister mit Lücken: KI-Nutzung der öffentlichen Verwaltung bleibt undurchsichtig

transparenter Rollcontainer mit Hängeregister, auf den Mappen sind schwarze Boxen abgebildetKI als Black-Box-Technologie: Verwaltungen sollten zu umfassenden Angaben über entsprechende Tools verpflichtet sein. (Symbolbild) CC-BY-SA 4.0 Bildelemente generiert mit Gemini; Bearbeitung: netzpolitik.org
Seit gut einem Jahr gibt es das nationale KI-Transparenzregister. Der IT-Planungsrat will es nun auf alle Verwaltungsebenen ausweiten. Dennoch bleibt weiterhin unklar, in welchem Umfang die öffentliche Verwaltung sogenannte Künstliche Intelligenz einsetzt - und mit welchem Risiko.

by Esther Menhard at December 03, 2025 06:58 AM

December 02, 2025

Netzpolitik.org

Werbeanzeigen: EuGH nimmt Plattformen bei Datenschutzverstößen in die Pflicht

Eine Hand schlägt mit einem Richter*innenhammer auf einen Holzblock. Im Hintergrund ist die Webseite eines Online-Marktplatzes auf einem Latop.Plattformen müssen Werbeanzeigen noch vor ihrer Veröffentlichung auf Datenschutzverstöße prüfen. – Alle Rechte vorbehalten IMAGO / Zoonar
Gegen ihren Willen veröffentlichte jemand im Namen einer Frau eine Online-Anzeige für sexuelle Dienstleistungen, inklusive Fotos und Telefonnummer. Nun sagt der EuGH: Der Marktplatz, wo das passiert ist, trägt eine Mitverantwortung. Die Entscheidung könnte weitreichende Folgen für die Haftung von Plattformen haben.

by Timur Vorkul at December 02, 2025 06:56 PM

Für gemeinwohlorientierten Journalismus: So unterstützt ihr uns mit Spenden aus und von Unternehmen

Herz mit Pixeln an Wand gesprüht. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Claudio Schwarz
Ihr macht zu Weihnachten eine Spenden-Aktion in eurer Firma oder im Verein? Du hast Geburtstag oder hast einen anderen Grund zu feiern und möchtest lieber Spenden als Geschenke? Dann erstelle eine eigene Spendensammelaktion und unterstütze so unsere Arbeit.

by netzpolitik.org at December 02, 2025 02:47 PM

CCC Events

Druckfrische Kursbücher für den 39C3: Der Fahrplan steht

Nach dem halfnarp ist vor dem Programm. Dank euch und vieler helfender Hände der Content-Teams können wir euch heute die erste Version des 39C3-Fahrplans präsentieren!

Das offizielle Bühnenprogramm des 39. Chaos Communication Congress startet am 27. Dezember um 10:30 Uhr durch die Opening Ceremony und glänzt mit insgesamt 165 Vorträgen. Diese wurden für euch liebevoll in sieben thematischen Tracks sortiert und kuratiert. Da ist definitiv für jede*n etwas dabei!

An diejenigen unter euch, die jetzt händisch nachgezählt oder sogar die Lücken im Programm gefunden haben: Das ist richtig, denn wir haben einige Überraschungs-Talks, die wir euch erst kurz vor dem 39C3 bekanntgeben können. Dieser Fahrplan ist Version Alpha-0.2. Traditionell gibt es noch kleinere Änderungen vor und auch während des Congress. Es lohnt sich also, immer wieder mal nachzuschauen, was das Content-Team für euch zusammengestellt hat.

December 02, 2025 06:00 AM

December 01, 2025

CCC Dresden

pentaradio24: Fernseher ohne Intelligenz!?

(((pentaradio))

Der November war ein Monat der Abschaltungen: egal ob Staubsaugerroboter, Völkerrechtshof oder das halbe Internet, überall war der Wurm drin. Wir muntern uns auf und staunen über Wargames, ein altes Magnetband und ein Schiffskarussell. Auf Basis der Live-Sendung vom 25. November 2025.

Shownotes:

by CCC Dresden (mail@c3d2.de) at December 01, 2025 08:00 PM

Chaostreff Dortmund

Kein Repair Café am 25.12.25

Aufgrund des 39C3 und der Weihnachtstage findet am 25.12.25 kein Repair Café statt. Der nächste Termin ist voraussichtlich der 29.01.26.

by xoy at December 01, 2025 12:24 PM

Attraktor e.V. Blog

Lötzauber im Attraktor e.V. am 06.12.2025 um 14:00 Uhr

Im Herzen von Altona wird der Attraktor e.V. am 06. Dezember 2025 um 14:00 Uhr zum Schauplatz eines Lötzaubers, der so magisch ist, dass selbst die Weihnachtselfen vor Neid erblassen würden!
Die Teilnehmer erwartet ein unterhaltsamer Workshop, bei dem nicht nur gelötet wird, sondern auch der Spaß an erster Stelle steht. Keine Sorge, wenn eure bisherigen Löterfahrungen eher in der Kategorie „heiße Finger und viel Rauch“ liegen – unsere erfahrenen Workshopleiter werden euch mit Rat und Tat zur Seite stehen. Selbst diejenigen, die beim Anblick einer Lötkolbenspitze nervös werden, sind herzlich eingeladen, ihre Ängste zu überwinden!

Die Anzahl der Workshopteilnehmer ist begrenzt, deshalb bitten wir euch um eine Anmeldung unter diesem Meet-Up Link: https://www.meetup.com/attraktor/events/312249101/

Wir bitten um eine Kostenbeteiligung von 10€ wo möglich und/oder Spenden für den Verein.

Über den Attraktor e.V.:
Der Attraktor e.V. ist eine gemeinnützige Organisation, die sich der Förderung von Technikbegeisterung, Tüftelei und Kreativität verschrieben hat. Mit einem breiten Angebot an Workshops und Veranstaltungen sorgt der Verein dafür, dass sich auch die technisch Ungeübten trauen, in die Welt der Schaltkreise und Widerstände einzutauchen.

by andreas at December 01, 2025 11:33 AM

Netzpolitik.org

Empfängerüberprüfung: IBAN eingeben, Klarnamen bekommen

Eine Person mit schulterlangen blonden Haaren hält in der einen Hand eine Kreditkarte und in der anderen ein Smartphone.Die neue Empfängerüberprüfung dürfte so einige Überraschungen für die Zahler*innen bereithalten. – Alle Rechte vorbehalten IMAGO / Zoonar
Eigentlich soll die Empfängerprüfung Fehlüberweisungen verhindern. Doch die praktische Umsetzung zeigt: In vielen Fällen legen Banken den vollständigen Namen der Kund*innen offen. Betroffen sind Millionen.

by Timur Vorkul at December 01, 2025 11:32 AM

November 30, 2025

Metalab

Netzpolitik.org

Breakpoint: Wir alle sollten mehr übereinander wissen

Fenster in einer weißen Wand, darin brennt ein Licht. Schwarz-weiß.Von wem wissen wir was? – Gemeinfrei-ähnlich freigegeben durch unsplash.com sq lim
Auf Social Media wird Reichweite massenhaft mit intimen Details erzeugt. Während wir Fremden beim Oversharing zusehen, verlieren wir den Blick für die Menschen, die wirklich zählen. Wir wissen nicht zu viel übereinander, findet unsere Kolumnistin: Wir wissen das Falsche über die falschen Personen.

by Carla Siepmann at November 30, 2025 07:23 AM

November 29, 2025

Metalab

C3W Generalversammlung (2026-03-22 12:00:00)

C3W Generalversammlung (2026-03-22 12:00:00)

November 29, 2025 01:00 PM

Netzpolitik.org

KW 48: Die Woche, in der NRW es erlaubte, mit unseren Daten Überwachungs-KI zu trainieren

Die 48. Kalenderwoche geht zu Ende. Wir haben 16 neue Texte mit insgesamt 92.826 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

by Martin Schwarzbeck at November 29, 2025 07:06 AM

Metalab

November 28, 2025

Netzpolitik.org

Proteste gegen AfD-Jugend: Verwaltungsgerichtshof bestätigt Demoverbotszone in Gießen

Karte von Gießen, westlicher Teil rot eingefärbt, auf den Messehallen ein brauner Punkt mit Aufschrift AfDMit der Bestätigung der Verfügung der Stadt Gießen sind alle Gegenproteste in den Ostteil verlegt worden, dadurch entsteht faktisch eine Demoverbotszone rund um die AfD-Veranstaltung. netzpolitik.org / ODbL
Die Stadt Gießen hat sich mit einer versammlungsfeindlichen Demoverbotszone im gesamten Westteil der Stadt durchgesetzt, wo am Samstag der neue Jugendverband der AfD gegründet werden soll. Durch die Entscheidung wird Protest in Hör- und Sichtweite der Rechtsradikalen deutlich erschwert. Ein Eilantrag der Linken beim Bundesverfassungsgericht scheiterte.

by Markus Reuter at November 28, 2025 09:01 PM

FAQ: Wie geht es weiter mit der Chatkontrolle?

Prompt: Magnifying glass looks at screen smartphone, big question mark background, comic-style --chaos 35 --ar 16:9 --stylize 350 --weird 400Viele Fragen sind noch offen bei der Chatkontrolle. (Symbolbild) – Public Domain netzpolitik.org / generiert mit Midjourney
Die verpflichtende Chatkontrolle ist vorerst vom Tisch, doch viele Fragen sind noch offen. Was ist der genaue Stand und welche Gefahren lauern im weiteren Prozess?

by Andre Meister at November 28, 2025 04:10 PM

Digital Fights: Digital Riots: Wie wir alle die verpflichtende Chatkontrolle gestoppt haben

Draufsicht eines trostlosen Verhörraums aus Perspektive einer Überwachungskamera. Marksu Reuter sitzt am Tisch und blickt auf eine Kamera. Auf dem Tisch Utensilien: Lampe, rose Telefon, vertrocknete Pflanze, BND Schreibblock und eine Digitaluhr ist auf 13:12 stehen geblieben.Wir lass uns nicht einschüchtern CC-BY-NC-SA 4.0 netzpolitik.org
Dank eines jahrelangen Kampfes ist die verpflichtende Chatkontrolle vorerst vom Tisch. Das ist ein Etappensieg für die Grundrechte. Doch die Befürworter von mehr Überwachung werden nicht locker lassen. Wir kämpfen weiter für die private und vertrauliche Kommunikation im Netz. Dafür brauchen wir deine Unterstützung!

by netzpolitik.org at November 28, 2025 06:04 AM

November 27, 2025

Netzpolitik.org

Proteste gegen AfD-Jugend: Stadt Gießen will Demoverbotszone vor Gericht durchsetzen

Ortsschild mit Gießen und durchgestrichene AfD-JugendIn Gießen wird es Massenproteste gegen die rechtsradikale AfD-Jugend geben. (Symbolbild) – Alle Rechte vorbehalten imago-giessen-afd-jugend-montage
Der Streit um eine von der Stadt Gießen verfügte Demoverbotszone geht nun in die nächste Instanz, vor den Hessischen Verwaltungsgerichtshof. Die Stadt beharrt darauf, die Proteste weit weg von der AfD-Veranstaltung zu verlegen.

by Markus Reuter at November 27, 2025 06:51 PM

Digitale Souveränität: Wie die EU Freie Software ausblendet

durch eine Fensterfront sind Emmanuel Macron und Friedrich Merz auf einem Podest bei einer Pressekonferenz zu sehenOpen Source musste beim Digitalgipfel in Berlin draußen bleiben. – Alle Rechte vorbehalten IMAGO/Chris Emil Janßen
Wenn es nach den EU-Staatschef:innen geht, heißt "digitale Souveränität", auf Technologie aus Europa zu setzen, so der Tenor auf dem Digitalgipfel Mitte November. Um sich von Big Tech unabhängig zu machen, ist aber weniger relevant, wo Lösungen herkommen, sondern vielmehr dass sie Open Source sind, entgegnen zivilgesellschaftliche Akteure.

by Esther Menhard at November 27, 2025 04:21 PM

Interview zu WhatsApp: Von Emojis zum Mega-Datenleck

Auf einem Smartphone Bildschirm sind Apps zu sehen. Ein Finger schwebt über dem WhatsApp-Symbol.Beinah die Hälfte der Weltbevölkerung hat ein WhatsApp-Profil. Das kann ziemlich verräterisch sein. – Alle Rechte vorbehalten IMAGO / NurPhoto
Forscher*innen aus Österreich entdeckten die freie Verfügbarkeit von 3,5 Milliarden WhatsApp-Profilen. Wie es zu dem spektakulären Fund kam und wie Meta auf ihre Warnung reagierte, erzählt Aljosha Judmayer, Co-Autor der Studie zum Datenleck.

by Paula Clamor at November 27, 2025 03:13 PM

Lobbyismus: Palantir-Mitarbeiterin saß beim Souveränitätsgipfel mit Macron und Merz am Tisch

Bild eines Konferenztisches mit Personen.Laura Rudas (in grün-weiß) beim Round Table. Screenshot eines Videos vom Gipfel
Eine hochrangige Palantir-Managerin nahm ausgerechnet am Gipfel zur digitalen Souveränität teil. Palantir gilt als Paradebeispiel für die Gefahren digitaler Abhängigkeiten. Das Bundeskanzleramt wusste offenbar nichts davon.

by Markus Reuter at November 27, 2025 02:28 PM

CCC Dresden

Projekteabend

Datum
Dienstag, 9. Dezember 2025 um 20:00 Uhr
Ort
HQ, /proc, Zentralwerk, Riesaer Straße 32, 01127 Dresden

Der regelmäßige Projekteabend findet am 09.12.25 im HQ statt. Woran arbeitet ihr zurzeit? Bringt eure Projekte mit! Kleine Projekte, große Projekte, alles ist erwünscht. Ihr könnt auch Mitstreitende für eure Projekte suchen wenn ihr wollt.

by CCC Dresden (mail@c3d2.de) at November 27, 2025 11:00 AM

Netzpolitik.org

Demoverbotszone Gießen: DGB legt Beschwerde gegen Beschluss des Verwaltungsgerichts ein

Große Demonstration gegen Rechtsradikalismus.Die Gießener sind stabil gegen Rechts. An einer Demo im Februar 2025 nahmen mehr als 10.000 Menschen teil. – Alle Rechte vorbehalten IMAGO / Müller-Stauffenberg
In der juristischen Auseinandersetzung um eine faktische "Demoverbotszone" in Gießen hat das Verwaltungsgericht in einem Fall die Auflagen der Stadt bestätigt. Die möchte den Protest gegen die rechtsradikale AfD-Jugend auf die andere Seite der Stadt verlegen. Doch die Anmelder der Demos wehren sich weiter.

by Markus Reuter at November 27, 2025 04:00 AM

November 26, 2025

CCC Media

Barrierefreiheit: Das Internet ist für alle da (dgna)

Digitale Dienstleistungen und Angebote sind aus dem Alltag nicht mehr wegzudenken. Von reiner Informationsvermittlung bis zur KI-Interaktion: Das Web ist unser ständiger Begleiter. Was aber tun all jene Menschen, die aufgrund von körperlichen oder geistigen Beeinträchtigungen nur bedingt oder im schlimmsten Fall gar nicht am Netz teilhaben können? Die Stiftung «Zugang für Alle» beschäftigt sich seit 25 Jahren mit genau dieser Frage und gilt als Kompetenzzentrum für Fragen rund um Barrierefreiheit und Inklusion im Netz. Dr. Andreas Uebelbacher und Mo Sherif vermitteln uns am Netzpolitischen Abend einen Einblick in das vielfältige Gebiet und die mannigfaltigen digitalen Herausforderungen, welche Menschen mit Beeinträchtigungen täglich meistern. about this event: https://www.digitale-gesellschaft.ch/event/netzpolitischer-abend-zu-barrierefreiheit-das-internet-ist-fuer-alle-da/

Video:import-56497-deu-Barrierefreiheit_Das_Internet_ist_fuer_alle_da_hd.mp4

November 26, 2025 11:00 PM

Netzpolitik.org

Datenspende: „Digitaler Omnibus“ könnte Forschung zu Big-Tech erschweren

Eine Reihe von weißen einsen und nullen aufm schwarzen Grund, in der Mitte sind einzige Ziffern rot, sodass ein Herz sichtbar wird.Wer mit Daten Gutes tun will, könnte es bald schwer haben. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Alexander Sinn
Weil Tech-Konzerne selten Zugang zu ihren Daten gewähren, ist unabhängige Forschung auf Datenspenden angewiesen. Damit könnte es jedoch bald vorbei sein, denn die EU-Kommission will das Datenauskunftsrecht einschränken. Ein offener Brief aus der Wissenschaft warnt vor schwerwiegenden Folgen für die Plattformforschung.

by Ingo Dachwitz at November 26, 2025 03:43 PM

EU-Rat einigt sich zur Chatkontrolle: Schlimmster Giftzahn gezogen, aber weiterhin gefährlich

Lupe schaut auf MessengerKnackpunkt der Verhandlungen war die verpflichtende Chatkontrolle. (Symbolbild) – Alle Rechte vorbehalten IMAGO / IlluPics
Nach langer Blockade hat sich der EU-Rat bei der Chatkontrolle geeinigt. Zivilgesellschaftliche Organisationen sind erleichtert, dass die verpflichtende Chatkontrolle vom Tisch ist, warnen aber vor anderen problematischen Teilen im Gesetzentwurf.

by Markus Reuter at November 26, 2025 10:53 AM

Metalab

Pin-up Kalender Shooting (2025-12-13 09:00:00)

Pin-up Kalender Shooting (2025-12-13 09:00:00)

November 26, 2025 10:00 AM

Netzpolitik.org

Frontex und Europol: Zwei EU-Agenturen sollen bei der Drohnenabwehr helfen

Ein Schaubild, auf dem eine Drohne, Drohnensteuerungssysteme und kritische Infrastruktur zu sehen sind.Frontex bereitet sich auf verschiedene Szenarien gegen störende Drohnen vor. Dazu gehört auch deren Abwehr. – Alle Rechte vorbehalten Frontex
Die EU plant neue Strukturen zur Abwehr unbemannter Fluggeräte. Frontex könnte dazu ein erweitertes Mandat erhalten. Europol warnt vor zunehmender Nutzung durch organisierte und staatliche Akteure.

by Matthias Monroy at November 26, 2025 09:42 AM

November 25, 2025

CCC Media

Closing (god2025)

Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56496-eng-Closing_hd.mp4

November 25, 2025 11:00 PM

News from the Juice Shop ecosystem (god2025)

OWASP Juice Shop went through some significant renovation and enhancements over the last year in order to keep current with the underlying Node.js and Angular frameworks. MultiJuicer was entirely rewritten in GoLang and is now faster and more reliable than ever before. All Juice Shop side-projects have been migrated to TypeScript and brought to a common stack for testing and code linting. But the team did not only clean up and refactor behind the scenes. There are also lots of exciting new features and enhancements available, such as: Several new hacking challenges, e.g. a YAML memory bomb attack and an API key leakage Enhancing MultiJuicer's team score board to deliver a more holistic CTF experience Reimagining the hint system for all challenges, integrating now even better with CTF servers and making the use of hints more explicit for users Of course the popular Juice Shop Success Pyramid™ will be back with beyond-crazy Docker image download stats and other usage figures! Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56495-eng-News_from_the_Juice_Shop_ecosystem_hd.mp4

November 25, 2025 11:00 PM

OWASP Top 10:2025: Aktuelle Informationen und Insights zum Projekt (god2025)

Der Kurzvortrag stellt den aktuellen Stand der OWASP Top 10:2025 vor, mit etwas Glück haben wir bis dahin schon mehr... Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56494-deu-OWASP_Top_102025_Aktuelle_Informationen_und_Insights_zum_Projekt_hd.mp4

November 25, 2025 11:00 PM

YuraScanner: Leveraging LLMs for Task-driven Web App Scanning (god2025)

Web application scanners are popular and effective black-box testing tools, automating the detection of vulnerabilities by exploring and interacting with user interfaces. Despite their effectiveness, these scanners struggle with discovering deeper states in modern web applications due to their limited understanding of workflows. This study addresses this limitation by introducing YuraScanner, a task-driven web application scanner that leverages large-language models (LLMs) to autonomously execute tasks and workflows. YuraScanner operates as a goal-based agent, suggesting actions to achieve predefined objectives by processing webpages to extract semantic information. Unlike traditional methods that rely on user-provided traces, YuraScanner uses LLMs to bridge the semantic gap, making it web application-agnostic. Using the XSS engine of Black Widow, YuraScanner tests discovered input points for vulnerabilities, enhancing the scanning process's comprehensiveness and accuracy. We evaluated YuraScanner on 20 diverse web applications, focusing on task extraction, execution accuracy, and vulnerability detection. The results demonstrate YuraScanner's superiority in discovering new attack surfaces and deeper states, significantly improving vulnerability detection. Notably, YuraScanner identified 12 unique zero-day XSS vulnerabilities, compared to three by Black Widow. This study highlights YuraScanner's potential to revolutionize web application scanning with its automated, task-driven approach. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56493-eng-YuraScanner_Leveraging_LLMs_for_Task-driven_Web_App_Scanning_hd.mp4

November 25, 2025 11:00 PM

Der Cyber Resilience Act: Wie OWASP für die Software-Hersteller eine entscheidende Rolle spielen kann (god2025)

Der Cyber Resilience Act, kurz CRA, ist eine neue Verordnung der EU und tritt im Dezember 2027 vollständig in Kraft. Das Kernelement der Verordnung ist die Softwaresicherheit für alle so genannten „Produkte mit digitalen Elementen“, die auf dem EU-Markt kommerziell angeboten werden. Diese umfassen sowohl vernetzte Hardware-Produkte, in denen Firmwares laufen, als auch reine Softwareprodukte. Die Anforderungen an die Software-Hersteller erstrecken sich von grundsätzlichem „Security by Design“ und „Secure by Default“, über Bedrohungsanalysen der Software bis hin zu verpflichtendem Patching und Schwachstellenmanagement. Die Themen klingen irgendwie familiär? Kein Wunder, denn eine ganze Reihe von Projekten aus dem OWASP-Ökosystem sind geradezu prädestiniert zum Einsatz im Kontext des CRAs. Nicht nur, dass mit CycloneDX einer der zwei de-facto SBOM-Standards aus OWASP heraus entstanden ist - auch Frameworks wie OWASP SAMM oder Tools wie Dependency-Track können ganz entscheidende Rollen für die Umsetzung von Supply-Chain-Security und SDLC-Prozessen spielen. In diesem Talk schauen wir uns die Anforderungen der Verordnung genauer an und blicken dann auf Schnittstellen zu OWASP-Projekten. Dies soll am Ende helfen, sowohl für die Seite der Hersteller ein besseres Bild für OWASP zu erzeugen, als auch von OWASP-Seite aus zielgenauer auf CRA-Verpflichtete zugehen zu können. Je mehr Menschen sich in den Themen wiederfinden und Zusammenarbeit entstehen kann, desto besser. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56492-deu-Der_Cyber_Resilience_Act_Wie_OWASP_fuer_die_Software-Hersteller_eine_entscheidende_Rolle_spielen_kann_hd.mp4

November 25, 2025 11:00 PM

The Trust Trap - Security von Coding Assistants (god2025)

Coding Assistants wie Github Copilot, Cursor oder Claude versprechen einen Effizienzboost für die Softwareentwicklung. Doch welchen Einfluss hat die Nutzung dieser Tools auf die Software Security? Dieser Vortrag analysiert die Vor- und Nachteile von Coding Assistants in Hinblick auf die Sicherheit des entstehenden Codes. Er gibt einen Überblick über die aktuelle Studienlage und die Benchmarks zu den verschiedenen Modellen und diskutiert die Ergebnisse. Neben der Bedeutung von eingebrachten Schwachstellen im Code selbst werden Risiken wie Slopsquatting, Model Poisoning und Rules File Backdoors erläutert. Zuletzt gibt der Vortrag Empfehlungen zu Best Practices für die Nutzung von Coding Assistants: von der richtigen Konfiguration und Nutzung über Richtlinien zum Review und Testen von solchem Code. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56491-eng-The_Trust_Trap_-_Security_von_Coding_Assistants_hd.mp4

November 25, 2025 11:00 PM

A CISO's Adventures in AI Wonderland (god2025)

As a CISO (or any other security expert) in the area of AI, you can find yourself in increasingly challenging and sometimes bizarre AI-related situations not unlike Alice's adventures in Wonderland. Depending on whom you speak to, people either have high (inflated?) expectations about the (magic?) benefits of AI for security efforts, or try to explain why "AI security Armageddon" is looming... and that is just the security part of the story. All other areas in your organization are heavily using or experimenting with AI (e.g., vibe coding, automation, decision making, etc.), challenging (or ignoring) established security practices. This talk tells the story of the daily experience of dealing with AI as a CISO in a cloud-application startup. Which experiments failed or were successful, which advice is helpful, what is difficult to apply in practice, which questions are still open... The motivation for this talk is to start a conversation among security experts on how we can shape a secure AI future and not get pushed into the role of being seen as "hindering" AI progress. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56490-eng-A_CISOs_Adventures_in_AI_Wonderland_hd.mp4

November 25, 2025 11:00 PM

How we hacked Y Combinator companies' AI agents (god2025)

We hacked 7 of the16 publicly-accessible YC X25 AI agents. This allowed us to leak user data, execute code remotely, and take over databases. All within 30 minutes each. In this session, we'll walk through the common mistakes these companies made and how you can mitigate these security concerns before your agents put your business at risk. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56489-eng-How_we_hacked_Y_Combinator_companies_AI_agents_hd.mp4

November 25, 2025 11:00 PM

"I have no idea how to make it safer": Security and Privacy Mindsets of Browser Extension Developers (god2025)

Browser extensions are a powerful part of the Web ecosystem as they extend browser functionality and let users personalize their online experience. But with higher privileges than regular web apps, extensions bring unique security and privacy risks. Much like web applications, vulnerabilities often creep in, not just through poor implementation, but also through gaps in developer awareness and ecosystem support. In this talk, we share insights from a recent study in which we interviewed and observed 21 extension developers across the world [1] as they worked on security and privacy-related tasks that we designed based on our prior works and observations [2, 3]. Their live decision-making revealed common misconceptions, unexpected pain points, and ecosystemic obstacles in the extension development lifecycle. Extending beyond our published results, we plan to highlight some of the untold anecdotes, insecure development practices, their threat perception, the design-level challenges, as well as the misconceptions around them. The audience will take away the following items from the presentation/discussion: Common insecure practices in extension development. Why security ≠ privacy ≠ store compliance, as often perceived by extension developers! Hidden design gaps and loopholes in extension architecture that developers can't spot or comprehend. Anecdotes on the course of extension development in the era of LLMs. Developers, regulations (GDPR/CCPA/CRA), and a few “interesting” opinions. And, most importantly, why you should NOT give up on them just yet! :) References: [1] Agarwal, Shubham, et al. “I have no idea how to make it safer”: Studying Security and Privacy Mindsets of Browser Extension Developers. Proceedings of the 34th USENIX Security Symposium 2025. [2] Agarwal, Shubham, Aurore Fass, and Ben Stock. Peeking through the window: Fingerprinting Browser Extensions through Page-Visible Execution Traces and Interactions. Proceedings of the 31st ACM SIGSAC Conference on Computer and Communications Security. 2024. [3] Agarwal, Shubham. Helping or hindering? How browser extensions undermine security. Proceedings of the 2022 ACM SIGSAC Conference on Computer and Communications Security. 2022. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56488-eng-I_have_no_idea_how_to_make_it_safer_Security_and_Privacy_Mindsets_of_Browser_Extension_Developers_hd.mp4

November 25, 2025 11:00 PM

MCP security hot potato: how to stay secure integrating external tools to your LLM (god2025)

Model Context Protocol (MCP) is the latest hot topic in cybersecurity. Business wants it (AI is the new mantra), developers are excited (new toys, new code), and security teams are left to make it safe—often with already packed schedules. Let's treat it like just another Tuesday. Like many shiny new technologies (remember the early days of cloud?), MCP is being built with a “features first, security later” mindset. As a fresh piece of tech, it blends novel vulnerabilities with familiar, well-known ones. If you're an early adopter, it's important to accept that MCP and its current implementations are imperfect—and to be ready for that. In this talk, we'll dive into the real-world challenges companies are facing with MCP and equip you with practical remediations. We'll cover topics such as: An introduction to the MCP protocol and its security considerations, including authentication Emerging vulnerabilities like prompt injections, tool poisoning, rug pull attacks, and cross-server tool shadowing Classic vulnerabilities that may resurface around MCP, based on recent CVEs Remediation strategies and available tooling Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56487-eng-MCP_security_hot_potato_how_to_stay_secure_integrating_external_tools_to_your_LLM_hd.mp4

November 25, 2025 11:00 PM

Extract: A PHP Foot-Gun Case Study (god2025)

Do you always read the documentation before using a function in your languages' standard library? This talk explores the attack surface of a special feature in PHP which is easy to misuse with unforseen consequences. The `extract` function allows to replace the value of local variables named after the keys in an array. Calling it with user-controlled input allows the attacker to change arbitrary variables in the program. The documentation warns against the dangers of using it with untrusted data, but our large-scale analysis on 28.325 PHP projects from GitHub shows, that this warning is ignored. The talk walks through the process of identifing `extract`-based vulnerabilities and how they might have ended up the way they are by looking at the surrounding code. After introducing different levels of attacker-control guided by concrete exploits, listeners gain an intuition on what to look out for while reviewing code. Attending this talk, the audience will learn: Rich ways users have control over input in PHP. How to exploit insecure calls to `extract` given multiple real-world case-studies from the dataset of open source projects from GitHub. Tips on how to avoid this and similar threats in new and legacy code. Possible changes to PHP itself for risk reduction. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56486-eng-Extract_A_PHP_Foot-Gun_Case_Study_hd.mp4

November 25, 2025 11:00 PM

Pwn My Ride: Jailbreaking Cars with CarPlay (god2025)

Apple CarPlay is a widely known protocol that connects smartphones to car multimedia systems. Based on AirPlay, CarPlay is installed in millions of cars, as it is supported by hundreds of car models from dozens of different manufacturers across the globe. In our talk, we will share how we managed to exploit all devices running CarPlay using a single vulnerability we discovered in the AirPlay SDK. We'll take you through our entire exploit development process from identifying the vulnerability, to testing it on a custom device emulator, and finally, executing the exploit on actual devices. The session will include a demonstration of our RCE exploit on a well known third-party CarPlay device to show how an attacker can run arbitrary code while in physical proximity to a target car. We will also share how we managed to blindly exploit CarPlay without a debugger, knowing the vulnerable code is present on the system. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56485-eng-Pwn_My_Ride_Jailbreaking_Cars_with_CarPlay_hd.mp4

November 25, 2025 11:00 PM

The Automation Illusion? What Machines Can't Do in Threat Modeling (god2025)

Threat modeling stands at a critical juncture. While essential for creating secure systems, it remains mostly manual, handcrafted, and often too slow for today's development cycles. At the same time, automation and AI offer new levels of speed and scalability— but how much can we rely on them? This talk explores the tension between automation and human expertise in threat modeling. We'll dissect the traditional threat modeling process—scoping, modeling, threat identification, risk analysis, and mitigation—and perform a step-by-step gap analysis to identify what can realistically be automated today, what cannot, and why. We'll dive into: Current tooling: Review the AI threat modeling tools that handle diagram-based automation, template-driven modeling, risk scoring, and pattern matching. Emerging AI use cases: automatically generating threat models from architecture diagrams, user stories, or use case descriptions; providing AI-assisted mitigation suggestions; and conducting NLP-driven threat analysis. Limitations and risks: False confidence, hallucinations, model bias, ethical accountability, and the challenge of modeling new or context-specific threats. We will ground this analysis with examples from organizations and academic research that aim to scale threat modeling without compromising depth or quality, drawing parallels to how other activities, such as SAST and DAST scanning, evolved. Attendees will walk away with a practical roadmap for integrating automation without undermining the human insight threat modeling still requires. This talk isn't a tool pitch. It's a candid, experience-based view of where automation can meaningfully accelerate threat modeling—and where the human must remain firmly in the loop. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56484-eng-The_Automation_Illusion_What_Machines_Cant_Do_in_Threat_Modeling_hd.mp4

November 25, 2025 11:00 PM

OWASP Cumulus: Threat Modeling the Ops of DevOps (god2025)

In this presentation, we will highlight how threat modeling, as a proactive measure, can increase security in DevOps projects. We will introduce OWASP Cumulus, a threat modeling card game designed for threat modeling the Ops part of DevOps processes. This game (in combination with similar games like Elevation of Privilege or OWASP Cornucopia) enables DevOps teams to take the security responsibility for their project in a lightweight and engaging way. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56482-eng-OWASP_Cumulus_Threat_Modeling_the_Ops_of_DevOps_hd.mp4

November 25, 2025 11:00 PM

Phishing for Passkeys: An Analysis of WebAuthn and CTAP (god2025)

WebAuthn was supposed to replace swords on the web: uniform, secure, manageable authentication for everyone! One of its unique selling points was supposed to be the impossibility of phishing attacks. When passkeys were introduced, some of WebAuthn's security principles were watered down in order to achieve some usability improvements and thus reach more widespread adoption. This presentation discusses the security of passkeys against phishing attacks. It explains the possibilities for an attacker to gain access to accounts secured with passkeys using spear phishing, and what conditions must be met for this to happen. It also practically demonstrates such an attack and discusses countermeasures. Participants will learn which WebAuthn security principles still apply to passkeys and which do not. They will learn why passkeys are no longer completely phishing-proof and how they can evaluate this consideration for their own use of passkeys. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56481-eng-Phishing_for_Passkeys_An_Analysis_of_WebAuthn_and_CTAP_hd.mp4

November 25, 2025 11:00 PM

Continuous Vulnerability Scanning with OWASP secureCodeBox (god2025)

The OWASP secureCodeBox project aims to provide a unified way to run and automate open-source scanning tools like nmap, nuclei, zap, ssh-audit, and sslyze to continuously scan the code and infrastructure of entire organizations. This allows setting up automated scans that will regularly scan internal networks and internet-facing systems for vulnerabilities. The SCB also allows defining rules to automatically start more in-depth scans based on previous findings, e.g., to start a specialized SSH scan if a port scan discovers an open SSH port. Scan results can be uniformly handled with prebuilt hooks, e.g. to send out alerts via messaging tools, or to ingest the findings into vulnerability management systems like OWASP DefectDojo. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56480-eng-Continuous_Vulnerability_Scanning_with_OWASP_secureCodeBox_hd.mp4

November 25, 2025 11:00 PM

Introducing Passkeys - Strategies and Challenges for Developers (god2025)

The future of authentication is passwordless - Passkeys are the key technology. This talk supports developers in implementing Passkeys in their organizations and helps with the decision between in-house development, SDK, or Passkey-as-a-Service solutions. You will learn how to design recovery flows and fallback mechanisms in a user-friendly way, how Passkeys can be securely shared across devices and platforms, and what level of security they offer compared to traditional methods. Practical user stories and concrete examples highlight common pitfalls and help you optimally communicate the benefits of Passkeys. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56479-eng-Introducing_Passkeys_-_Strategies_and_Challenges_for_Developers_hd.mp4

November 25, 2025 11:00 PM

All the WAF power to the devs - why it reduces friction… and where it backfires (god2025)

Web application firewalls are often seen as a hindrance when going live, as perimeter WAFs can clash with GitOps-driven platforms. Empowering development teams with an application-centric WAF setup allows them to run and tune the WAF throughout the entire development lifecycle. It also enables full integration into any CI/CD pipeline or GitOps approach, reducing late surprises during deployment. In this talk, we demonstrate the application-centric approach with Envoy Proxy, OWASP Coraza, and the OWASP Core Rule Set (components are examples and interchangeable; focus is on principles and selection criteria), and take you along our real-world journey - highlighting the challenges and lessons learned. What you'll take away: We show where this reusable reference design reduces friction and where it backfires, and we outline the governance and guardrails needed to make it work in practice. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de

Video:god2025-56478-eng-All_the_WAF_power_to_the_devs_-_why_it_reduces_friction_and_where_it_backfires_hd.mp4

November 25, 2025 11:00 PM

Subscriptions

Contact:
In case that you want to contact us, please send your email to mail@hamburg.ccc.de

Last updated:
December 06, 2025 07:00 PM
All times are UTC.

Powered by: Planet

Planetarium: