2026-05-05 at MP09, Liebenauer Tangente 4, 8041 Graz

IT-Fails & IT-Sicherheit (Praxisbeispiele und Learnings aus der Realität)

Cyberangriffe, Datenverlust und IT-Ausfälle sind längst keine Einzelfälle mehr – sie betreffen Unternehmen jeder Größe. Umso wichtiger ist es, Risiken frühzeitig zu erkennen und gezielt vorzusorgen.

In dieser Veranstaltung geben wir Ihnen praxisnahe Einblicke in aktuelle Bedrohungen, zeigen konkrete Schutzmaßnahmen auf und beleuchten reale IT-Fails aus dem Unternehmensalltag.

• Slidedeck: „IT-Fails & IT-Sicherheit (Praxisbeispiele und Learnings aus der Realität)” @ Ubit Graz

Easterhegg 2026

2026-04-03/06 at Universität Koblenz, Universitätsstraße 1, 56070 Koblenz-Metternich

Workshop: Haltet mehr Talks

Immer wieder sprechen mich Menschen an, die meinen sie könnten keine Talks halten, finden keine Themen bzw. hätten nur langweilige Themen oder trauen sich einfach nicht, Talks zu halten. Dieser Workshop richtet sich an alle Lebewesen, die darüber nachdenken, ev. mal einen Talk halten zu wollen, aber „Fragen” dazu haben. Natürlich hab ich ein paar Slides in Petto und kann ein paar allgemeine Tipps geben. Aber eigentlich soll es ein „safe space” sein, in dem ihr erfahrenen SprecherInnen (ev. bekomme ich ja noch welche motiviert, vorbei zu schauen), ALLE Eure Fragen stellen könnt. Inklusive dem Klassiker „Aber ich habe doch gar keine Themen, die ‘die Leute’ interessieren.” Kommt vorbei!

• Slidedeck: „Workshop Haltet mehr Talks” @ Easterhegg 2026

John Oliver Just Took the AI Industry Behind a Shed and Beat It With a Pipe Wrench

Interview: Wie gefährlich sind KI-Modelle wie Claude Mythos?

Liebes AK-Team,

Ich finde es super, dass Ihr mit der AK Bibliothek digital eine Möglichkeit bietet, über 3000 internationale, nationale und regionale Zeitungen in mehr als 60 Sprachen aus mehr als 100 Ländern zu konsumieren. Als ich versuchte, mich für dieses Angebot zu registrieren, bin ich allerdings über eine technische Hürde gestolpert, die Ihr zeitnah reparieren wollt.

Um die „AK Bibliothek digital” nutzen zu können, müssen sich Benutzer:innen ein Konto bei der „AK Bibliothek (in meinem Fall) Wien” anlegen. Über die DSGVO-Konformität der erhobenen Daten wollen wir jetzt nicht diskutieren, gerade das Geburtsdatum irritiert mich sehr.

Worüber wir sprechen sollten, sind die Passwort-Felder. Unter dem ersten Passwortfeld führt Ihr an:

Format: mind. 8 Zeichen, jeweils 1 Kleinbuchstabe, 1 Großbuchstabe, 1 Zahl und 1 der Sonderzeichen #+*~:.-_,;=()[]{}$!?|^

Gemäß den Vorgaben (OWASP Authentication Cheat Sheet, OWASP Application Security Verification Standard (ASVS)) der Open Worldwide Application Security Project (OWASP), welche sich wiederrum auf die Vorgaben der NIST (NIST Special Publication 800-63B: Digital Identity Guidelines) beziehen, gelten Passwörter mit weniger als 15 Zeichen als schwach, wenn MFA nicht aktiviert ist.

Wesentlich schwerwiegender ist allerdings die Tatsache, dass ihr in der oben angeführten Beschreibung KEINE Maximallänge für das Passwort angebt, im HTML-Code allerdings eine Maximallänge definiert:

<input type="password" name="password" id="password" … maxlength="32" …

Was passiert, wenn eins, wie ein normaler Mensch halt, das Passwort aus einem Passwortmanager heraus generiert/kopiert ist, dass das Passwort/die Passphrase nach 32 Zeichen kommentarlos und ohne Warnung abgeschnitten wird. Was dazu führt, dass sich Eure Kund:innen nicht anmelden können.

Die OWASP meint dazu in Ihren Dokumenten (siehe oben):

• Die maximale Passwortlänge sollte mindestens 64 Zeichen betragen, um Passphrasen zu ermöglichen.
• Kürzen Sie Passwörter nicht stillschweigend.
• ASVS 5.0, 6.2.5: Stellen Sie sicher, dass Passwörter beliebiger Zusammensetzung verwendet werden können, ohne dass Regeln die zulässigen Zeichenarten einschränken. Es darf keine Mindestanzahl an Groß- oder Kleinbuchstaben, Ziffern oder Sonderzeichen vorgeschrieben sein.
• ASVS 5.0, 6.2.9: Stellen Sie sicher, dass Passwörter mit mindestens 64 Zeichen zulässig sind.

Siehe dazu auch den großartigen xkcd 936 „Password Strength” von Randall Monroe.

Ich würde mich sehr freuen, wenn Ihr Euer Anmeldeformular zeitnah an den Stand der Technik anpassen könntet.

P.S.: Ich hoffe sehr, dass Ihr die Passwortregeln nicht nur im Browser

<input type="password" name="password" id="password" … pattern="^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[#+*~:.\-_,;=()\[\]{}%$!\?\|\^])(?!.*\s)[a-zA-Z\d#+*~:.\-_,;=()\[\]{}%$!\?\|\^]*$">

sondern auch am Server im Backend verifiziert. Ich hab mir jetzt nicht auch noch die Zeit genommen, das zu überprüfen. ;)

Which reminded me, that a lot of HR departments, HR service providers and accounting firms use the (Austrian) social security numbers as a „password” for PDFs containing payslips, …

So I went ahead and created a small python script to generate all valid Austrian Social Security numbers for a given number of years in the past to be used as an dictionary file for tools like pdfrip.

You can find the script and the current number list in this codeberg repository.

It is very helpful, that NASA uses a Wordpress Gallery to host these images. That provides a linkt to a .json file for every gallery in the page source. E.g. for the „Artemis II Journey to the Moon” gallery, you will find:

<link rel="alternate" title="JSON" type="application/json" href="https://www.nasa.gov/wp-json/wp/v2/gallery/980625" />

Equiped with this information, it’s just a quick wget call, some jq magic and another call to wget (the proper one, not the botched version Fedora ships; and yes, I prefer wget over curl) and we have all the images on our local disk:

wget -O- https://www.nasa.gov/wp-json/wp/v2/gallery/980625 | jq '.meta["nasa_hds_core_meta_gallery_images"][]' | xargs -I{} wget -A jpeg,jpg,bmp,gif,png --no-clobber "{}"

If you have a shorter, more elegant, different, … version, feel free to blog about it and link here :)

Copilot is for entertainment purposes only. It can make mistakes, and it may not work as intended. Don’t rely on Copilot for important advice. Use Copilot at your own risk.

Das österreichische Bundesrechenzentrum, der führende IT Service Provider im Public Sector in Österreich, reagiert prompt:

Der persönliche Assistent von Microsoft [MS Copilort, Anm.] wurde im Zuge einer umfassenden Evaluierungs- und Pilotphase getestet und wird nun allen BRZ-Mitarbeiter:innen für die Nutzung zur Verfügung gestellt.
…
„Mit der Einführung von MS Copilot Chat und insbesondere den bereitgestellten kompetenzbildenden Formaten setzt das BRZ einen Meilenstein in der Nutzung von KI-Tools“, erklärte Geschäftsführerin Maga Christine Sumper-Billinger beim BRZ-internen Roll-out-Event.

Quelle: BRZ-Magazin: read_it 01-2026 (lokal)

«Vibe Coding» mit KI führte bei meiner medizinischen Leistungserbringerin in der Schweiz dazu, dass die Daten aller Patienten offen im Internet standen.

vibe coding

Jobs wie Programmierer werden nach Ansicht von Digitalminister Karsten Wildberger durch Künstliche Intelligenz ersetzt und wegfallen. „Eine KI kann heute unglaublich gut programmieren“, sagte der CDU-Politiker der „Bild am Sonntag“. „Vor ein paar Jahren haben wir gesagt: Jeder muss programmieren lernen. Aber heute werden viele Programmierjobs durch eine KI ergänzt und gegebenenfalls auch ersetzt.“

Erstens würde ich mit von einem „Digitalminister” erwarten, dass er/sie den Unterschied zwischen „Programmcode erzeugen” und „Programmieren” versteht. Nur weil eine Autokorrektur auf Steroiden syntaktisch korrekten Code generieren kann, ersetzt das mittel- und langfristig keine Programmierer:innen.

Und es gilt noch immer, dass es gut wäre, wenn „alle” (nicht „jeder”) programmieren lernen würden. Das vermittelt analytisches und logisches Denken, Problemlösungsskills, Verständnis für Algorithmen und noch viele andere Fähigkeiten, die wir täglich brauchen. Mit diesen Skills lassen sich dann auch Prompts formulieren, die dann ev. brauchbaren Code ausspucken.

Schon Vierjährige können programmieren lernen. LLMs („AI”) errichten unnötige Barrieren, indem sie Menschen suggerieren, nicht Programmieren lernen zu können. Diese Aussagen implizieren, dass viele Menschen zu dumm seien, um Programmieren zu lernen und sie sich daher auf den Mist verlassen müssen/sollen, den die Bots ausspucken. Der Digitalminister drängt Menschen also in eine sinnlose Abhängigkeit von größtenteils USA-basierten Diensten.

Weiters meinte Hr. Wildberger:

Unmittelbar betroffen seien auch Arbeitsplätze in Callcentern, da Chatbots zunehmend Anfragen übernehmen.

Cory Doctorow hat dieses Thema bereits sehr schön zusammengefasst:

Der stetige Aufstieg des Outsourcings von Callcentern ins Ausland ebnete den Weg für den Ersatz durch KI, genauso wie Walmart den Weg für Amazon ebnete. … Sobald Unternehmen ihre Kundendienstabteilungen durch ausgebeutete Callcenter-Mitarbeiter im Ausland ersetzt haben, die auswendig gelernte Antworten aus einem Dreiringordner vortragen mussten und weder die Befugnis noch die Fähigkeit hatten, Ihr Problem zu lösen – warum sollte man sie dann nicht durch KI ersetzen?
 
Wenn der Zweck einer Kundendienstabteilung darin besteht, den Leuten zu sagen, sie sollen sich verpissen, dann ist ein Chatbot offensichtlich die effizienteste Art, diesen Dienst zu erbringen. Es ist nicht nur so, dass ein Chatbot weniger als ein Mensch kostet, um den Leuten zu sagen, sie sollen Scheißen gehen – der Chatbot selbst symbolisiert schon das „Schleich Di!“.
…
… die stundenlangen Wartezeiten auf einen Kundendienstmitarbeiter waren schon immer ein Mittel, um Wert von Kunden und Mitarbeitern auf die Aktionäre zu verlagern. Unternehmen könnten ihr Personal in ihren Callcentern aufstocken. Unternehmen könnten bessere Produkte und Dienstleistungen anbieten und die Zahl der Menschen reduzieren, die Kundenservice benötigen. Indem sie sich weigern, beides zu tun, lassen sie dich in der Warteschleife hängen, bis du vor Wut schäumst, und erwarten dann von Ihren Mitarbeitern, dass sie mit deiner Wut fertig werden. Das Ganze der KI zu überlassen, macht absolut Sinn – deine Probleme werden nicht gelöst, und sie müssen den Chatbot überhaupt nicht bezahlen, wenn du dich über ihn ärgerst
 
„Wir haben das mit KI gemacht“ ist zum Synonym für „Es ist uns egal, ob das gut gemacht wird“ geworden

Zitate aus:

• Pluralistic: AI “journalists” prove that media bosses don’t give a shit (11 Mar 2026)
• Pluralistic: Which jobs can be replaced with AI? (06 Aug 2025)
• Pluralistic: Understaffing as a form of enshittification (23 Mar 2026)

Hr. Wildberger hatte aber noch einen Banger:

Wildberger mahnte mehr Flexibilität in der Arbeitswelt an. „Die Zeiten, dass man darauf spekulieren kann: Ich habe einen Job für die nächsten 30 Jahre, so schön das ist, die sind vorbei“

Ja, seit den 1980ern, nicht zuletzt dank Reagan und Thatcher. Das hat nix mit AI zu tun. Oder, um ein gängiges Meme zu zitieren:

Boomers worked one job for 40 years. Millennials work 40 jobs in one year. Gen Z is questioning why jobs even exist.

P.S.: Gen-X: “Work hard, play hard”

Wero: Developer Insights Into Europe’s PayPal Alternative

• 2023-05-01: ÖGB: 1. Mai im Zeichen von Existenzsorgen, „Gierflation“ endlich beenden
• 2023-05-02: Arbeitsminister Kocher: „Gierflation ist ein Kampfbegriff”
• 2023-05-04: Kocher: „Im Rahmen des Treffens soll auch über eine Preisdatenbank nachgedacht werden, wie sie von Expertinnen und Experten immer wieder gefordert wird.”
• 2023-05-15: Um einen besseren Überblick über die Lebensmittelpreise zu bekommen, will Wirtschaftsminister Martin Kocher bis zum Herbst eine eigene Transparenz-Datenbank schaffen.
• 2023,05-15, 2 Stunden später, der Mario: Und wer nicht bis Herbst warten will, und über das gesamte Sortiment tagesaktuell vergleichen will, kann derweil das hier nutzen: https://heisse-preise.io — 2 Stunden Arbeit.
• 2024-04-15: Wie bekannt ist, gibt es bereits zahlreiche private Preisvergleichstools, welche den Konsumentinnen und Konsumenten zur Verfügung stehen. Daher ist der Aufbau eines staatlichen Konkurrenzproduktes nicht angebracht.

Ende 2025/Anfang 2026 kam dann der „Österreich-Aufschlag” in die Medien: Österreich-Aufschlag: Warum gleiche Produkte in Österreich teurer sind.

Diesmal hat allerdings nicht der Mario, sondern Macusercom zugeschlagen, wie man auf reddit nachlesen kann:

Alpenaufschlag: Ein Preisvergleicher für Google Chrome
 
Eine einfache Chrome-Erweiterung zum Vergleichen von Webshop-Preisen vor allem zwischen Österreich und Deutschland.

Alpenaufschlag: A price checker for Google Chrome

Ich bin gespannt, was heuer laut Bundesregierung noch alles nicht geht und „die Community” dann zeigt, dass es doch geht.

Die meisten Zugangskontrollen für Events laufen mittlerweile über QR-Codes. Wenn die Person nicht für das österreichische Bundesheer arbeitet, reicht ein günstiger QR-Scanner, und es muss nicht in Listen nach Namen gesucht werden usw., wenn die Menschen in der Früh zum Event ankommen.

Das coole an diesen QR-Codes ist, das sie am Laptop-Bildschirm, auf Papier ausgedruckt, auf einer Smartwatch oder auf dem Bildschirm eines Handys/Tablets angezeigt und abgescannt werden können.

Wird das Zugangsticket als e-Ticket (.pkpass Datei) bereit gestellt, kann eins dieses Ticket in das Wallet des Handy hinzufügen und hat es beim Eingang griffbereit, ohne in der Inbox nach dem Mail mit dem PDF zu suchen, auf dem der QR-Code drauf ist.

Alles super userfreundlich, einfach, easy und convinient. Wenn die Eventveranstalter:innen das auch nutzen würden!

Außerhalb des CCC-Dunstkreises sind über 90 Prozent meiner „Tickets” irgendwelche PDFs, die ich auf Handy kopieren und dann beim Eingang finden muss, anstatt dass es ein schickes .pkpass File für mein Wallt gibt, wo ich das Ticket mit zwei taps hätte.

Und triggert mich ja nicht mit „Dieses Ticket ist nur in A4 ausgedruckt gültig” und anderem Blödsinn.

Die (geistgen) Boomer dieser Welt brauchen wohl immer noch Papier für sowas, technisch wäre das Problem schon gelöst.

On 2026-03-06 at 17:20, $Personalberaterdrohne, $Personalberatungsbude communicated the following:

[Snip]
 
Wir sind stolz auf dieses Netzwerk und möchten es auch in Zukunft weiter ausbauen. Dafür benötigen wir Ihre Unterstützung! Für jede Kandidatenempfehlung, die zu einer erfolgreichen Vermittlung führt, bedanken wir uns bei Ihnen mit einem Wertgutschein in Höhe von 350 EUR.
 
[Snip]

Im September 2019 hatte ich noch von Ihrer Kollegin folgende Rückmeldung
erhalten:

Wir nehmen Sie in unsere Liste vorgemerkter Kandidaten auf und werden mit neuen IT Vakanzen telefonisch oder per E-Mail auf Sie zukommen.

Mein Erster Kontakt mit der $Personalberater seit September 20219 war ihre Email zum Thema „Empfehlungsgeber”. Ich wüsste nicht, warum ich jemanden eine Firma empfehlen sollte, die mich über sechs Jahre lang nicht kontaktiert hat.

Aber herzlichen Dank für die Erinnerung, dass meine Daten noch bei Ihnen
gespeichert sind.

Hiermit stelle ich gemäß Art. 17 Datenschutz-Grundverordnung
(Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom
27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung
der Richtlinie 95/46/EG, DSGVO) den Antrag auf Löschung meiner
personenbezogenen Daten.