CISPA TL;DR - Der Podcast über KI- und IT-Sicherheitsforschung
All Episodes
Smartphone, Laptop, Cloud – sie alle sollen sicherer sein, weil bestimmte Angriffstricks inzwischen blockiert sind. Klingt beruhigend, oder? Dumm nur, wenn Prozessoren trotzdem Angreifer:innen mehr verraten, als sie eigentlich dürften. In dieser Folge von CISPA TL;DR erklärt CISPA-Forscher Fabian Thomas, wie sich moderne ARM-Prozessoren so manipulieren lassen, dass sie auch sensible Informationen preisgeben. Gemeinsam mit seinem Team hat er gezeigt, dass sich interne Cache-Zustände sichtbar machen lassen – auch ohne die Messwerkzeuge, die Angreifer:innen sonst dafür brauchen. Im Gespräch geht es darum, wie das von Fabian und Kollegen entwickelte Tool ExfilState solche versteckten Lecks automatisch aufspürt, warum Seitenkanalattacken so schwer zu verhindern sind und worauf Nutzer:innen achten können. Das Gespräch wurde auf Deutsch geführt.
Dec 19, 2025
33 min
Noticed that all your newsletters and notification mails look like tiny, fancy webpages nowadays? Well, that’s because they basically are. But your inbox glow-up came with a plot twist. Turns out that CSS, the thing that makes your mails look pretty, might be a bit too powerful. In this latest episode of TL;DR CISPA researcher Leon Trampert tells us how our inboxes might be spying on us and if you should be afraid of your IKEA newsletter.
Nov 20, 2025
44 min
Aufgrund der Allgegenwart von KI-Anwendungen im Alltag steigt auch die Bedeutung von Algorithmen für die Menschen. Aber wie lässt sich garantieren, dass Algorithmen faire Entscheidungen treffen? Dies ist ein Thema, das den CISPA-Forscher Julian Siber umtreibt. Im Podcast sprechen wir darüber, woher die Bias von Algorithmen kommen, welche Ansätze es für algorithmische Fairness gibt, ob wir Fairness-by-Design brauchen und welche Lösung er favorisiert. Für seinen eigenen Ansatz hat der die Spezifikationssprache RTLola weiterentwickelt, die bisher vor allem in der Luftfahrt Anwendung fand.
Oct 7, 2025
51 min
Usenix Security 2025 is coming up fast – and in this special conference episode of CISPA TL;DR, we’re diving into the world of browser extensions with CISPA researcher Shubham Agarwal. Browser extensions can be incredibly useful – think ad blockers, password managers, or translation tools. But while they extend what our browsers can do, they also often gain access to everything we do online: what we read, type, and click. That makes them a powerful, and potentially risky, piece of software. Shubham took a closer look at the security practices of browser extension developers. What assumptions do they make? What do they get wrong? And what could be done better to protect users? Tune in to hear what he found—and what it means for the security of your daily browsing. Check out all of Shubham's papers: https://ap0ca1ypse.in/publications.html
Aug 13, 2025
55 min
USENIX Security 2025 in Seattle is just around the corner! As one of the leading conferences in security and privacy, it's the perfect time to take a closer look at the research being presented. In this special conference episode of CISPA TL;DR, we talk to CISPA researcher Divyanshu Bhardwaj about his work on one of modern life’s worst nightmares: phone theft. As Divyanshu points out, our phones hold almost everything—photos, boarding passes, banking apps, and more. So what actually happens when your phone gets stolen? And how can we better protect users in that worst-case scenario? Tune in to hear what Divyanshu learned from real-world phone theft victims and what steps he thinks we can take to keep our data safe, even when our phones fall into the wrong hands. Check out all of Divyanshu's research papers here: https://publications.cispa.de/authors/Divyanshu_Bhardwaj/17288206
Aug 11, 2025
29 min
Moderne KI-Modelle sind leistungsstark, aber auch angreifbar. Sie können nicht nur bei der Nutzung manipuliert werden, sondern schon während des Trainings mit veränderten Daten gefüttert werden – und das kann zu gefährlichen Fehlentscheidungen führen. In dieser Folge von CISPA TL;DR erfahrt ihr, wie das neue Tool FullCert mathematisch beweisen kann, dass ein Modell gegen solche Angriffe abgesichert ist – vom Training bis zur Nutzung. Wie das genau funktioniert und warum das für unsere digitale Sicherheit wichtig ist, erklärt uns CISPA-Forscher Tobias Lorenz. Hört rein und findet heraus, wie seine Forschung hilft, KI vertrauenswürdiger zu machen. Die Folge wurde auf Deutsch aufgezeichnet.
Aug 6, 2025
37 min
When you scroll through Reels or watch a video on your device, there’s a lot happening under the hood. CISPA researcher Matteo Leonelli looks for security flaws in hardware that isn’t easy to inspect – a process called black box testing. In this episode of CISPA TL;DR, he explains how he used differential fuzzing to compare hardware- and software-based video decoding and what this reveals about potential vulnerabilities.
Jul 4, 2025
43 min
Das Führen von Interviews in der benutzerzentrierten IT-Sicherheits- und Datenschutzforschung ist eine Welt für sich. Mit dem CISPA-Doktoranden Jan Klemmer sprechen wir nicht nur über die methodischen Herausforderungen, die Interviews mit sich bringen, sondern auch über zwei seiner Studien, die auf Interviews basieren. So erzählt er von einer Studie zum Thema Transparenz und Reproduzierbarkeit in der benutzerzentrierten IT-Sicherheits- und Datenschutzforschung, die er im Mai 2025 auf dem IEEE Symposium on Security and Privacy (S&P) in San Francisco präsentiert. Und schon vergangenen Herbst hat er auf der CCS in Salt Lake City ein Paper zum Einsatz von KI-Assistenten in der Softwareentwicklung vorgestellt, über das wir ebenfalls sprechen.
May 12, 2025
59 min
What’s a sports car without fuel? Pretty useless – just like machine learning models without data, says CISPA researcher Antoni Kowalczuk. That’s why AI models scrape the internet for that sweet, sweet training data – pictures in the case of image generation models. And sometimes, they (allegedly) ignore copyright laws in the process. So how can we tell if copyrighted or even sensitive data has made it into these models? Antoni’s research tackles exactly that – and why that’s not just a copyright issue, but a serious privacy concern.
Apr 30, 2025
1 hr 5 min
In der aktuellen Folge von CISPA TL;DR geht es um einen oft übersehenen, aber risikoreichen Aspekt der Softwareentwicklung: Compiler-Optimierungen und ihre Auswirkungen auf die Sicherheit von kryptografischem Code. Unser Gast Lukas Gerlach hat mit seinem Team untersucht, ob moderne Compiler unbeabsichtigt dafür sorgen, dass eigentlich sicherer „Constant-Time“-Code plötzlich anfällig für Seitenkanalangriffe wird – also Angriffe, bei denen Hacker sensible Daten wie Passwörter oder Schlüssel durch die Analyse der Programmlaufzeit ausspionieren. Im Podcast erklärt Lukas, warum das ein Problem ist, was er beim Testen von fünf bekannten Krypto-Bibliotheken herausgefunden hat – und wie sein neues Tool DOCC dabei hilft, solche Sicherheitslücken zu entdecken, bevor sie gefährlich werden.
Mar 25, 2025
36 min
Web applications are powering the Internet of today. But how do you look for bugs and vulnerabilities in these apps to make sure they are secure? Easy – you automate the process, of course. But traditional scanners are struggling to automatically access all parts of these increasingly complicated apps. Introducing: the YuraScanner! Developed by Aleksei Stafeev and his colleagues, this new type of scanner leverages ChatGPT to scan apps in a more "human-like" fashion. In this episode, Aleksei joins us to talk about how he got into web security research in the first place, why reliable automatic testing is so important and why his new scanner might even work a little bit too well in some cases.
Feb 20, 2025
49 min
Auf der renommierten IT-Konferenz USENIX Security Symposium 2024 hat die CISPA-Forscherin Lea Gröber gleich zwei Paper als Erstautorin vorgestellt: eines zur Online- und Offlinesicherheit von Content Creators in Pakistan und eines zum Thema Self-Hosting. Wir haben dies zum Anlaß genommen, mit Lea über ihre Forschung im Bereich der Usable Security zu sprechen. Zur Sprache kommt auch ihre Faszination für Pakistan und ihre Einblicke in die dortige Cybersicherheitsforschung. Darüber hinaus geht es im Podcast auch um in ihren persönlichen Werdegang in der Cybersicherheitsforschung, die Arbeit als Doktorandin am CISPA und ihre Vision eines offenen, privatsphäreschützenden und sicheren Internets.
Jan 13, 2025
52 min