
Passwort - der Podcast von heise security
by Dr. Christopher Kunz, Sylvester Tremmel
Is this your podcast?Insights from recent episode analysis
Audience Interest
Podcast Focus
Publishing Consistency
Platform Reach
Insights are generated by CastFox AI using publicly available data, episode content, and proprietary models.
Most discussed topics
Brands & references
Total monthly reach
Estimated from 2 chart positions in 2 markets.
By chart position
- 🇩🇪DE · Technology#35100K to 300K
- 🇦🇹AT · Technology#673K to 10K
- Per-Episode Audience
Est. listeners per new episode within ~30 days
52K to 155K🎙 ~2x weekly·57 episodes·Last published 1w ago - Monthly Reach
Unique listeners across all episodes (30 days)
103K to 310K🇩🇪97%🇦🇹3% - Active Followers
Loyal subscribers who consistently listen
31K to 93K
Market Insights
Platform Distribution
Reach across major podcast platforms, updated hourly
Total Followers
—
Total Plays
—
Total Reviews
—
* Data sourced directly from platform APIs and aggregated hourly across all major podcast directories.
On the show
From 14 epsHosts
Recent guests
Recent episodes
News mit Bombenbauwürmern, Zertifikatsketten und Geistersendern
Jul 8, 2026
1h 46m 50s
Sinn und Unsinn von CVSS, SSVC, EPSS und Co
Jun 24, 2026
2h 13m 24s
Der DNSSEC-Fail beim DENIC und andere Neuigkeiten
Jun 10, 2026
2h 19m 50s
News mit einer Fail-Zwiebel, rostigen Coreutils und Ransomwarezahlungen
May 27, 2026
2h 32m 18s
KI Fail, Copy Fail, S/MIME Fail
May 13, 2026
2h 23m 42s
Social Links & Contact
Official channels & resources
Official Website
Login
RSS Feed
Login
| Date | Episode | Topics | Guests | Brands | Places | Keywords | Sponsor | Length | |
|---|---|---|---|---|---|---|---|---|---|
| 7/8/26 | News mit Bombenbauwürmern, Zertifikatsketten und Geistersendern | Es gibt viel Neues im Staate Securistan. Sylvester und Christopher stürzen sich auf einige - nicht per "fair dice roll" ausgewählte - News. Ihr Steckenpferd, die PKI, kommt natürlich nicht zu kurz: Regeländerungen bei Letsencrypt und Globalsign bilden den Einstieg und einige sehr detaillierte Betrachtungen zum Vergleich von Zertifikatsnamen sorgen für Haareraufen bei den Hosts. Eher belustigt sind sie hingegen von der kreativen Idee eines neuen Shai-Hulud-Artigen Wurms. Dieser enthält als Kommentar eine AUfforderung zum Bombenbau - wohl, um LLM-basierte Malware-Scanner aus dem Tritt zu bringen. Außerdem gibt's in der Folge Fake-Emails in Microsofts M365 und Fake-Anruferkennung unter Android. | 1h 46m 50s | ||||||
| 6/24/26 | Sinn und Unsinn von CVSS, SSVC, EPSS und Co | Der Podcast macht mal wieder eine Episode zu einem einzelnen Thema in aller Tiefe und zwar zu Schwachstellen-Scores. Damit werden Sicherheitslücken klassifiziert, am bekanntesten ist das Common Vulnerability Scoring System (CVSS). Allerdings gibt es das CVSS in mehreren Versionen, wovon mindestens zwei praktisch relevant sind, und mit EPSS, SSVC, CWE und CPE kommen noch diverse ergänzende Klassifikationssysteme hinzu. Die Hosts beschreiben, wie die Systeme funktionieren, was sie leisten können, was sie nicht leisten können und als was sie mitunter missverstanden werden. | 2h 13m 24s | ||||||
| 6/10/26 | DNSSECDENIC+3 | Carsten Strotmann | YellowKeyBitlocker+3 | — | DENICDNSSEC+6 | — | 2h 19m 50s | ||
| 5/27/26 | SicherheitslückenRansomware+4 | — | LinuxkernelLinux-Coreutils+2 | — | SicherheitslückenLinuxkernel+7 | — | 2h 32m 18s | ||
| 5/13/26 | security vulnerabilitiesLinux security+3 | — | LinuxPKI+1 | — | Copy FailLinux+5 | — | 2h 23m 42s | ||
| 5/6/26 | MalwareInternet Providers+3 | Sylvester Tremmel | KeenaduBluehammer+3 | — | KeenaduBluehammer+5 | — | 1h 10m 04s | ||
| 4/29/26 | Security aspectsCertificates+3 | — | NIST | — | securitycertificates+3 | — | 2h 05m 05s | ||
| 4/15/26 | AI security vulnerabilitiesClaude Code leak+3 | — | Claude CodeTLS-Zertifikate+5 | — | AIsecurity vulnerabilities+5 | — | 2h 35m 29s | ||
| 4/1/26 | Bugs in MailclientsOld Operating Systems+4 | — | GrapheneOSiPhones+1 | — | BugsMailclients+5 | — | 2h 02m 14s | ||
| 3/18/26 | GrapheneOSmobile operating systems+3 | Stefan Porteck | GrapheneOSAndroid | — | GrapheneOSsmartphone security+3 | — | 2h 15m 55s | ||
Want analysis for the episodes below?Free for Pro Submit a request, we'll have your selected episodes analyzed within an hour. Free, at no cost to you, for Pro users. | |||||||||
| 3/4/26 | Bulletproof HostingSecurity Appliances+3 | Jan Mahn | Bloombergc't | — | Bulletproof HosterSecurity Appliances+3 | — | 2h 17m 01s | ||
| 2/18/26 | GeräteverwaltungKünstliche Intelligenz+3 | — | OpenClawBundesamt für Sicherheit in der Informationstechnik+1 | — | GeräteverwaltungOpenClaw+3 | — | 2h 18m 11s | ||
| 2/11/26 | Certificate TransparencyRansomware Tactics+5 | — | BlockchainKI-generierte Sicherheitsmeldungen+5 | weltweiten PKI | Certificate TransparencyRansomware+6 | — | 1h 03m 17s | ||
| 2/4/26 | HörerfeedbackCloudflare+4 | — | Cloudflaren8n+2 | — | PodcastSicherheit+5 | — | 1h 55m 50s | ||
| 1/21/26 | security vulnerabilitiescryptography+4 | — | BSISignal+5 | — | BSISignal+7 | — | 2h 43m 00s | ||
| 1/7/26 | digital independencesecurity issues+3 | Linus NeumannBianca Kastl+1 | elektronische Patientenakte ePARowhammer+4 | — | digital independencesecurity+3 | — | 1h 28m 18s | ||
| 12/17/25 | News PKI-Neuerungen, Tor-Umbau und React2Shell | Jetzt hat's Sylvester erwischt und er ist erkältet - was ihn aber nicht davon abhält, in der neuen Folge von "Passwort" ausgiebig mit Christopher zu allerlei Security-Themen zu sprechen. Zunächst thematisieren die beiden mit etwas Humor ein Kuriosum, nämlich eine nicht hinlänglich verschlüsselnde Toilettenschüsselkamera zur Darmkrebs-Früherkennung. Dann erläutert Sylvester, was es mit der Sicherheitslücke "React2Shell" auf sich hat, die in den vergangenen Tagen für reichlich Furore sorgte und Hunderttausende Domains weltweit betrifft. Christopher hat dieses Mal gleich fünf PKI-Themen im Gepäck, zu denen Sylvester kurzerhand noch ein sechstes beisteuert und auch den Umbau von Tor mittels "Counter-Galois Onion" hat der c't-Redakteur sich angeschaut. Der Podcast verabschiedet sich mit dieser Folge in eine dreiwöchige Weihnachtspause - wer will, kann die Aufzeichnung der nächsten Folge live auf dem 39C3 miterleben. - React2Shell PoC: https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3 - XKCD: https://xkcd.com/1172/ - Cloudflare: https://blog.cloudflare.com/5-december-2025-outage/ - Logarchivierung für CT-Logs: https://groups.google.com/a/chromium.org/g/ct-policy/c/Y25hCTrCjDo - Wo überall Trust-Stores sitzen: https://heise.de/-9568002 - Tor vs Iran und Russland: https://blog.torproject.org/staying-ahead-of-censors-2025/ - Counter Galois Onion: https://blog.torproject.org/introducing-cgo/ - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de | 1h 55m 53s | ||||||
| 12/3/25 | Von Würmer, Viren, Schluckauf und Husten | Im Podcast kränkelt's: Bei Cloudflare gab es einen dreistündigen Schluckauf, der Co-Host hat Hustenanfälle und Würmer befielen mal wieder NPM. Christopher und Sylvester schauen sich ausgiebig an, was die zweite Ausgabe der Javascript-Schadsoftware "Sha1-Hulud" anders macht als die erste und befassen sich auch noch einmal mit "Glassworm", einem Thema der letzten Folgen. Dort ist im Nachhinein unklar, ob es sich tatsächlich um einen Wurm handelt oder vielleicht eher ein Botnet, wie Christopher mutmaßt. Doch auch der dreistündige Ausfall bei Cloudflare steht auf der Tagesordnung - mit ungewohnt viel Lob der Hosts! - und ob Whatsapp wirklich das größte Datenleck der Geschichte hatte, ergründen die beiden heise-Redakteure ebenfalls. - Cloudflare zum Ausfall am 18. November: https://blog.cloudflare.com/18-november-2025-outage/ - Threema zum WhatsApp-Scraping: https://threema.com/de/blog/whatsapp-datenleck-2025 - Trend Micros technische Analyse von Shai Hulud 2.0: https://www.trendmicro.com/en_us/research/25/k/shai-hulud-2-0-targets-cloud-and-developer-systems.html - Expel zu Cache Smuggling: https://expel.com/blog/cache-smuggling-when-a-picture-isnt-a-thousand-words/ - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de | 1h 38m 16s | ||||||
| 11/19/25 | Die Große Chinesische Firewall | Christopher und Sylvester knöpfen sich ein lange gewünschtes und äußerst umfangreiches Thema vor. Es geht um das System, mit dem China sein nationales Internet abschottet, die sogenannte Große Chinesische Firewall. Die Hosts erzählen, woher das System kommt, wie es technisch funktioniert und weiterentwickelt wird – und wie auch die Gegner ihre Anti-Zensur-Systeme um immer neue Tricks erweitern. Außerdem geht es im Podcast um die Kommerzialisierung der Zensur, denn China hat längst damit begonnen, Systeme wie die der chinesischen Firewall auch an andere Staaten zu verkaufen. - Chromes XSLT-Abschaltung: https://developer.chrome.com/docs/web-platform/deprecating-xslt - Report zum Geedge-Leak: https://interseclab.org/wp-content/uploads/2025/09/The-Internet-Coup_September2025.pdf - Analyseprojekte und Testwebseiten für die Firewall - GFWatch: https://gfwatch.org - GFWeb: https://gfweb.ca - Chinese Firewall Test: https://viewdns.info/chinesefirewall/ - Anti-Zensur-Werkzeuge: - Trojan: https://github.com/trojan-gfw/trojan - Shadowsocks: https://shadowsocks.org - Project V: https://www.v2fly.org/en_US/ - Outline: https://getoutline.org - Lantern: https://lantern.io - Psiphon: https://psiphon.ca - Conjure: https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/conjure - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de | 2h 22m 50s | ||||||
| 11/5/25 | News mit Serialisierungsproblemen, AWS-Fail und PKI-Extra | Es näselt leicht im Podcast - die herbstliche Erkältungswelle macht auch vor "Passwort" nicht halt. Trotzdem haben sich Sylvester und Christopher einiges vorgenommen. Sie sprechen über den AWS- und Azure-Ausfall der letzten Wochen, denn auch Verfügbarkeit ist Teil der IT-Sicherheit. Die kritische Sicherheitslücke im Windows-Updateserver WSUS kommt ebenso zur Sprache wie eine trickreiche Malware, die eine wenig bekannte UTF8-Funktion zu ihrem Vorteil nutzt. Und endlich gibt es wieder ein PKI-Thema: Wie eine kroatische CA widerrechtlich Zertifikate für Cloudflare ausstellte, erzählt Christopher dem Publikum und seinem Co-Host. - Online Themenabend: https://aktionen.heise.de/heise-themenabend - AWS’ Ausfallanalyse: https://aws.amazon.com/de/message/101925/ - Meredith Whittaker von Signal zur Notwendigkeit der Hyperscaler: https://mastodon.world/@Mer__edith/115445701583902092 - SAP spielt CVSS-Würfeln: https://services.nvd.nist.gov/rest/json/cvehistory/2.0?cveId=CVE-2025-30012 - Microsoft warnt Entwickler vor SoapFormatter: https://learn.microsoft.com/en-us/dotnet/standard/serialization/binaryformatter-security-guide - Koi über GlassWorm: https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace - QWAC mit Soße (+): https://www.heise.de/select/ct/2023/29/2332409110101310744 - Diskussion um FINA im Bugzilla: https://bugzilla.mozilla.org/show_bug.cgi?id=1986968 - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de | 2h 13m 58s | ||||||
| 10/22/25 | News zu Oracle-Exploit, Post-Quanten-Krypto und Chatkontrolle | Es gibt wieder einige Neuigkeiten in der Welt der IT-Sicherheit und alte Bekannte rühren erneut ihr hässliches Haupt. Allen voran die als "Chatkontrolle" bezeichnete Iniative zum "Client-Side Scanning" von Nachrichten, die der EU-Rat unter dänischer Präsidentschaft kürzlich erneut aus der Versenkung hervorholte. Fast genau ein Jahr nach dem letzten Scheitern dieser Initiative zur Aufweichung von Verschlüsselung sprechen Sylvester und Christopher erneut darüber. Auch Oracle ist bereits altbekannter "Gast" im Podcast - dieses Mal mit einer kritischen Lücke in ihrer e-Business Suite und einer äußerst unbefriedigenden Kommunikationsstrategie. Sylvester erklärt seinem Co-Host und den Hörern, was es mit Signals neuen "Post Quantum Ratchets" auf sich hat und warum diese kryptografischen Ratschen den Messenger im Quantenzeitalter sicherer machen sollen. Und dann geht es gleich quantensicher weiter, nämlich mit einer Diskussion über die Vorteile hybrider Quantenverschlüsselungssysteme zu rein quantensicheren. - Einsteiger-Themenabend zu IT-Sicherheit in Hannover: https://aktionen.heise.de/heise-themenabend - Oracles gelöschter Blogeintrag: https://nitter.net/pic/orig/media%2FG2T6vnYWEAAHcB6.jpg - Watchtowr Labs zu CVE-2025-61882: https://labs.watchtowr.com/well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882/ - "Passwort", Folge 16: Die Technik hinter der Chatkontrolle - https://passwort.podigee.io/16-die-technik-hinter-der-chatkontrolle - Cloudflare-Blog zum Zertifikats-Lapsus: https://blog.cloudflare.com/unauthorized-issuance-of-certificates-for-1-1-1-1/ - SPQR: https://signal.org/blog/spqr/ - "Passwort", Folge 32: Quantencomputer und wie man sich vor ihnen schützt - https://passwort.podigee.io/32-quantencomputer-und-wie-man-sich-vor-ihnen-schutzt - DJB über Hybrid oder nicht: https://blog.cr.yp.to/20240102-hybrid.html - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort | 1h 53m 45s | ||||||
| 10/8/25 | Phrack - ein Hackermagazin wird 40 | Das Hackermagazin Phrack wird in diesem Jahr vierzig Jahre alt und hat seine 72. Ausgabe veröffentlicht, die wieder mit einer Vielfalt von Hacking- und Security-Artikeln glänzt. Sylvester und Christopher haben das Jubiläum zum Anlass genommen, die Geschichte von Phrack zu rekapitulieren und einige wegweisende Artikel aufzugreifen. Und dabei steht ihnen ein prominenter Gast zur Seite: Skyper aus dem Phrack-Team gibt Einblicke in die Redaktionsarbeit, thematisiert den Hackerethos und erzählt Anekdoten aus bewegten Zeiten. Er war auch maßgeblich an der Veröffentlichung der "APT Down"-Analyse beteiligt, der Auswertung einer Workstation eines mutmaßlich chinesischen oder nordkoreanischen IT-Kriminellen. Welche internationalen Auswirkungen der Artikel hatte und was Proton-Chef Andy Yen damit schaffen hat, erfahren die Hörer in der neuesten Ausgabe von "Passwort". Erratum: Christopher behauptet in der Folge, Nordkorea nutze die Zeitzone UTC+8:30, das ist allerdings seit 2018 nicht mehr der Fall. Seitdem verwendet das Land genau wie der Süden die Zeitzone UTC+9 - und unterscheidet sich somit um 60 Minuten von der chinesischen Normalzeit UTC+8. - Link to Phrack: https://www.phrack.org - Electronic Frontier Foundation: https://www.eff.org/ - GitHub-Repo mit kleinstmöglichen syntaktisch validen Dateien: https://github.com/mathiasbynens/small - i-Soon, das Leak aus der chinesischen Cybercrime-Industrie: https://www.heise.de/news/Passwort-Folge-30-i-Soon-das-Leak-aus-der-chinesischen-Cybercrime-Industrie-10354478.html - X-Thread zum Rz_Brand in Daejeon: https://x.com/koryodynasty/status/1971772813444035031 - Folgt uns im Fediverse: * @christopherkunz@chaos.social * @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort | 2h 44m 30s | ||||||
| 10/1/25 | Passwort 41a (Bonusfolge) | Eine Bonusfolge, weil die Themen stärker sprudeln als der Zwei-Wochen- Rhythmus vorsieht. Christopher und Sylvester sehen sich eine fortschrittliche Speicherschutztechnik in Apples neuen iPhones an und erklären, wie es um derartiges im Android-Universum bestellt ist. Außerdem reden die Hosts über einen SalesLoft-Chatbot, der Angreifern Zugriff auf diverse Salesforce-Konten verschafft hat. Und da sage noch einer, diese Bots seien zu nichts nütze. Betroffen waren ausgerechnet Infrastruktur- und Security-Unternehmen – aber die Hosts bezweifeln, dass die nun vom umfassenden Chatbot-Einsatz abrücken. - Apple MIE: https://security.apple.com/blog/memory-integrity-enforcement/ - Salesloft Opferliste: https://www.driftbreach.com/ - Chatbot fail: https://chatbot.fail/ - c’t uplink zu MCP: https://heise.de/-10530901 - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort | 1h 07m 07s | ||||||
| 9/24/25 | Visionen der CISA, Niedergang von XSLT, Makel von NPM | In dieser "Passwort"-Folge geht es zunächst um große Pläne, die die US- amerikanische IT-Sicherheitsbehörde CISA für das CVE-System hat. Sylvester ist verhalten hoffnungsvoll, Christopher sieht die Gefahr, dass Macht missbräuchlich zementiert werden könnte. Machtmissbrauch witterten auch viele Kommentatoren beim nächsten Thema: Browserhersteller überlegen, XSLT auszubauen. Die Hosts sehen sich an, was XSLT überhaupt ist und diskutieren, ob es im Browser sinnvoll oder deplatziert scheint. Zum Schluss werfen Christopher und Sylvester einen Blick auf die sich aktuell häufenden Angriffe auf npm und erklären unter anderem, was die Sandwürmer aus Frank Herberts Dune damit zu tun haben. - Darknet Diaries deutsch: https://www.heise.de/news/Darknet-Diaries-heise-online-bringt-deutsche-Version-des-US-Podcasts-10626196.html - Chrome-Sandbox-Exploit: https://googleprojectzero.blogspot.com/2025/08/from-chrome-renderer-code-exec-to-kernel.html - CISA-Positionspapier: https://www.cisa.gov/sites/default/files/2025-09/CISA_Common_Vulnerabilities_and_Exposures_CVE_Program_Vision-v6_CLEAN.pdf - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort | 2h 00m 58s | ||||||
| 9/10/25 | Probleme mit Widerrufen, Verbindungsabbrüchen und anderem | Die Hosts wühlen sich weiter durch Feedback und mehr News, als eigentlich in eine Folge passen. Der Podcast nähert sich daher unermüdlich den Director’s Cuts epischer Filme an – zumindest in seiner Länge. Ein Hauptgrund dafür ist die Zertifizierungsstelle Microsoft PKI Services, bei der sich tiefe Abgründe auftun. Christopher und Sylvester reden aber auch über diverse andere aktuelle Themen in- und außerhalb der PKI, etwa lehrreiche Sicherheitslücken in Coredump-Handlern und die interessante DoS-Schwachstelle MadeYouReset. - Merklemap-Kritik an Static CT: https://www.merklemap.com/documentation/static-ct - Bugreports zu Microsofts Zertifikatsnichtwiderrufen: https://bugzilla.mozilla.org/show_bug.cgi?id=1962829 und https://bugzilla.mozilla.org/show_bug.cgi?id=1965612 - Technische Details zu coredump-Lücken von Qualys: https://www.qualys.com/2025/05/29/apport-coredump/apport-coredump.txt - Erklärung von Oracle zur systemd-coredump-Lücke: https://blogs.oracle.com/linux/post/analysis-of-cve-2025-4598 - PoC zur systemd-coredump-Lücke von CIQ https://ciq.com/blog/the-real-danger-of-systemd-coredump-cve-2025-4598/ - "Made you Reset"-Blogposts: https://galbarnahum.com/posts/made-you-reset-intro und https://galbarnahum.com/posts/made-you-reset-technical-details - Folgt uns im Fediverse: - @christopherkunz@chaos.social - @syt@social.heise.de Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort | 2h 17m 07s | ||||||
Showing 25 of 64
Pitch Fit is a Pro feature
See how bookable this show is for guests, which brands already advertise, the per-episode ad value, and the best-fit guest and sponsor profile. The numbers are blurred on the free plan.
How readily this show books outside guests like you.
How proven this show is for host-read sponsorships.
For Guests
ProFor Advertisers
ProUpgrade to Pro to unlock guest cadence, sponsor categories, fit scores, and per-episode ad value for this show.
Similar Audience Demographics
Podcasts that attract a similar listener profile
Chart history for Passwort - der Podcast von heise security
Peaked at #35 in Germany, currently #35 in Germany.
| Market | Genre | Peak | Current | Trend |
|---|---|---|---|---|
| Germany | — | #35 | #35 | — |
| AT | — | #67 | #67 | — |
Chart Positions
2 placements across 2 markets.
Chart Positions
2 placements across 2 markets.