Anmelden
(Bild: Black_Kira / Shutterstock.com)
Die Self-Hosting-Plattform Coolify ist schwer verwundbar. In Deutschland gibt es Sicherheitsforschern zufolge fast 15.000 angreifbare Instanzen.
Admins von Platform-as-a-Service-Umgebungen auf der Basis von Coolify sollten ihre Instanzen zügig auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer unter anderem an sieben „kritischen“ Sicherheitslücken mit Höchstwertung (CVSS Score 10 von 10) ansetzen, um Server vollständig zu kompromittieren.
Scans von Sicherheitsforschern von Censys zeigen [1], dass sich der Großteil verwundbarer Systeme in Deutschland befindet. Weltweit sind es mehr als 52.000 Instanzen. Hierzulande fanden sie knapp über 14.800 Systeme. Ob es bereits Attacken gibt, ist zurzeit unklar. Admins sollten mit dem Patchen aber nicht zu lange zögern.
Auch wenn Angreifer in den meisten Fällen authentifiziert sein müssen, ist der Großteil der Schwachstellen mit dem Bedrohungsgrad „kritisch“ eingestuft. Setzen Angreifer erfolgreich an den Lücken an, können sie etwa als Rootnutzer Schadcode ausführen und so die volle Kontrolle über Systeme erlangen (etwa CVE-2025-64424). Außerdem sind Zugriffe auf eigentlich geschützte private SSH-Schlüssel möglich (CVE-2025-64420), sodass sich Angreifer unbefugt Zugriff verschaffen können.
Insgesamt sind 16 Lücken bekannt. Laut Einträgen auf GitHub (siehe Ende dieser Meldung) sind derzeit aber nur Sicherheitsupdates für acht Schwachstellen verfügbar. Wann die Entwickler die verbleibenden Lücken schließen, ist derzeit unklar.
Diese Patches sind zurzeit verfügbar:
Weiterführende Informationen zu den Lücken bedrohten Ausgaben und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:
URL dieses Artikels:
https://www.heise.de/-11134510
Links in diesem Artikel:
[1] https://censys.com/advisory/cve-2025-64424-cve-2025-64420-cve-2025-64419
[2] https://github.com/coollabsio/coolify/security/advisories/GHSA-24mp-fc9q-c884
[3] https://github.com/coollabsio/coolify/security/advisories/GHSA-5cg9-38qj-8mc3
[4] https://github.com/coollabsio/coolify/security/advisories/GHSA-cj2c-9jx8-j427
[5] https://github.com/coollabsio/coolify/security/advisories/GHSA-q33h-22xm-4cgh
[6] https://github.com/coollabsio/coolify/security/advisories/GHSA-qwxj-qch7-whpc
[7] https://github.com/coollabsio/coolify/security/advisories/GHSA-q7rg-2j7p-83gp
[8] https://github.com/coollabsio/coolify/security/advisories/GHSA-vm5p-43qh-7pmq
[9] https://github.com/coollabsio/coolify/security/advisories/GHSA-234r-xrrg-m8f3
[10] https://github.com/coollabsio/coolify/security/advisories/GHSA-qx24-jhwj-8w6x
[11] https://github.com/coollabsio/coolify/security/advisories/GHSA-h5xw-7xvp-xrxr
[12] https://github.com/coollabsio/coolify/security/advisories/GHSA-h52r-jxv9-9vhf
[13] https://github.com/coollabsio/coolify/security/advisories/GHSA-4p6r-m39m-9cm9
[14] https://github.com/coollabsio/coolify/security/advisories/GHSA-f737-2p93-g2cw
[15] https://github.com/coollabsio/coolify/security/advisories/GHSA-4fqm-797g-7m6j
[16] https://github.com/coollabsio/coolify/security/advisories/GHSA-927g-56xp-6427
[17] https://github.com/coollabsio/coolify/security/advisories/GHSA-688j-rm43-5r8x
[18] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[19] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: heise online / Kanboard)
In Kanboard stecken drei Sicherheitslecks. Das gravierendste erlaubt die Anmeldung als beliebiger Nutzer. Ein Update steht bereit.
Das Open-Source-Kanban Kanboard ist von drei Schwachstellen betroffen. Eine davon gilt den Entwicklern als kritisches Risiko und ermöglicht die Anmeldung als beliebiger User – sofern eine bestimmte Konfigurationsoption gesetzt ist.
Die Release-Ankündigung zu Kanboard 1.2.49 [1] nennt einige sicherheitsrelevante Korrekturen. Zu den Schwachstellen gibt es auch CVE-Einträge. Sofern die Option REVERSE_PROXY_AUTH aktiviert wurde, vertraut Kanboard HTTP-Headern blindlings, dass sie von authentifizierten Usern stammen, ohne zu prüfen, ob die Anfrage von einem vertrauenswürdigen Reverse-Proxy stammt (CVE-2026-21881 [2], CVSS 9.1, Risiko „kritisch“). Das ermöglicht faktisch die Umgehung der Authentifizierung.
Zudem können Angreifer eigene Eingaben in LDAP-Suchfilter einschleusen, die nicht korrekt ausgefiltert werden. Damit lassen sich alle LDAP-User durchiterieren und sensible Nutzerattribute herausfinden, und mit diesem Wissen gezielte Angriffe gegen bestimmte Accounts ausführen (CVE-2026-21880 [3], CVSS 5.4, Risiko „mittel“). Eine Open-Redirect-Schwachstelle ermöglicht Angreifern, authentifizierte User auf von ihnen kontrollierte Webseiten umzuleiten, indem sie URLs der Gestalt „//evil.com“ erstellen, womit sich der URL-Filter umgehen lässt. Das erlaubt zudem Phishing-Angriffe, das Stehlen von Zugangsdaten oder das Verteilen von Malware (CVE-2026-21879 [4], CVSS 4.7, Risiko „mittel“).
All die Probleme lösen die Entwickler in Kanboard 1.2.49. Die aktualisierten Quellen stehen auf der Github-Seite von Kanboard [5] bereit. Die Linux-Distributionen dürften in Kürze mit neuen, fehlerbereinigten Paketen nachlegen. IT-Admins sollten die Paketverwaltung ihrer Distribution zur Update-Suche bemühen.
Zuletzt fiel im vergangenen Juni eine hochriskante Sicherheitslücke in Kanboard [6] auf. Sie ermöglichte Angreifern, Kanboard-Konten zu übernehmen.
URL dieses Artikels:
https://www.heise.de/-11134247
Links in diesem Artikel:
[1] https://github.com/kanboard/kanboard/releases/tag/v1.2.49
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-21881
[3] https://nvd.nist.gov/vuln/detail/CVE-2026-21880
[4] https://nvd.nist.gov/vuln/detail/CVE-2026-21879
[5] https://github.com/kanboard/kanboard
[6] https://www.heise.de/news/Kanboard-Sicherheitsluecke-ermoeglicht-Kontouebernahme-10457116.html
[7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Dr. Ansay)
Bei dem Telemedizin-Anbieter Dr. Ansay hat es erneut eine Sicherheitslücke gegeben. Dadurch waren hunderttausende Kunden gefährdet.
Bei dem Telemedizinanbieter Dr. Ansay hat es eine Sicherheitslücke gegeben, durch die rund 1,7 Millionen Rezepte von rund einer halben Million Kunden potenziell einsehbar waren. Betroffen sind vor allem Cannabis-Rezepte mit Gesundheits- und personenbezogenen Daten, darunter Namen, Adressen, E-Mail-Adressen, Telefonnummern und Angaben zu den rund 15 verschreibenden Ärzten, die meist nicht aus Deutschland kommen. Außerdem waren dort Daten zu Medikamenten, Dosierungen sowie ausgewählten Apotheken einsehbar sowie beispielsweise auch Bestellungen zu Schmerzmitteln. Fragen dazu, ob Daten abgeflossen sind, beantwortet das Unternehmen nicht.
Bei heise online gingen Hinweise darauf ein, dass die Lücke auf einer Fehlkonfiguration der Zugriffsregeln einer Firebase-Firestore-Datenbank basiert. heise online konnte das bestätigen. Durch die Fehlkonfiguration konnten eingeloggte Nutzer mit einem gültigen Token nicht nur auf ihre eigenen Rezepte, sondern auf sämtliche Datensätze zugreifen. Trotz mehrerer Meldeversuche an das Unternehmen blieb eine Reaktion zunächst aus, die Daten waren bis Anfang Januar weiterhin ungeschützt. Am Abend, nachdem heise online eine Anfrage an das Unternehmen gestellt hatte, wurde die Lücke geschlossen.
Zentrale Fragen von heise online lässt Dr. Ansay unbeantwortet und begründet den Fund mit einem neu aufgelegten Bug-Bounty-Programm: [1] "Wir gehen davon aus, dass die Lücke aufgrund eines von uns initiierten Bug-Bounty-Programm gefunden wurde“.
Die Frage, ob eine Meldung an die Betroffenen gemäß Art. 34 der DSGVO erfolgt ist, lässt Dr. Ansay unbeantwortet. Gegenüber dem Sicherheitsforscher, der die Lücke gefunden hat, hatte Dr. Ansay angegeben, eine DSGVO-Meldung an die zuständige Behörde initiiert zu haben. Eine Anfrage von heise online an die Datenschutzbehörden in Malta wurden noch nicht beantwortet.
Bei der Datenschutzbehörde in Hamburg ist keine Meldung eingegangen, wie eine Sprecherin auf Anfrage von heise online mitteilt. „In Hamburg hat Dr. Ansay nach unserem Kenntnisstand nur noch für das Segment der Entwicklung und Vermarktung von telemedizinischer Software eine Niederlassung, die Dr. Ansay AU-Schein GmbH“. Daher habe die Meldung in Malta erfolgen müssen.
Die Kontaktaufnahme des Sicherheitsforschers hatte sich über die Feiertage leider verzögert", sagte eine Sprecherin. Inzwischen funktioniere die Kommunikation und das Problem habe sofort gelöst werden können. "Wir danken dem Sicherheitsforscher für die Arbeit und behandeln den Vorfall intern weiter". Weitere Details wolle Dr. Ansay "aktuell nicht teilen, da in Zukunft Black-Hat-Hacker diese nutzen könnten und wir unsere Systeme schützen".
Von Dr. Ansay unbeantwortet bleibt, seit wann die Sicherheitslücke bestand, ab wann das Unternehmen davon wusste, ob und in welchem Umfang Daten tatsächlich abgeflossen sind un ob die Betroffenen bereits informiert wurden. Offen bleibt auch, welche Schutzmaßnahmen geplant sind und warum die Lücke nicht durch eigene Sicherheitsprüfungen entdeckt wurde.
Gegenüber heise online und auf Reddit hatte Dr. Ansay noch im Dezember zugesichert, dass "interne Sicherheits- und Monitoringprozesse [...] kontinuerlich" laufen würden und es "keine Hinweise auf unautorisierten Zugriff oder einen Abfluss von Daten" gebe. Zu dem Zeitpunkt wurden in einem Untergrundforum vermeintlich von Dr. Ansay stammende Datensätze zum Verkauf angeboten. Woher die Daten kommen, ist unklar. Denkbar ist auch ein Mix aus bereits veröffentlichten Leaks anderer oder ähnlicher Plattformen. Bisher konnte die Echtheit der Daten nicht bestätigt werden.
(Bild: Reddit)
Datenschutz habe "oberste Priorität“, gibt Dr. Ansay an. „Die Systeme werden fortlaufend überprüft. Vor dem Hintergrund der aktuell vermehrt auftretenden Phishing- und Smishing-Versuche wurden die internen Kontrollen zusätzlich noch einmal intensiviert, ohne Befund".
Bereits im Mai 2024 hatte es bei Dr. Ansay eine öffentlich bekannte Datenpanne gegeben, bei der Cannabis-Rezepte über Suchmaschinen abrufbar waren. Damals meldete das Unternehmen den Vorfall an die Datenschutzbehörde, sprach von einer behobenen Lücke und informierte Betroffene per E-Mail.
Antwort der Landesdatenschutzbehörde von Hamburg ergänzt.
URL dieses Artikels:
https://www.heise.de/-11134191
Links in diesem Artikel:
[1] https://dransay.com/security
[2] https://heise.de/investigativ
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:mack@heise.de
Copyright © 2026 Heise Medien
(Bild: Asus)
Die neueste NUC-Generation bricht mit einer alten Tradition: Die Boards sind nicht mehr quadratisch.
Asus zeigt zur Technikmesse CES den Mini-PC NUC 16 Pro. Er setzt auf Intels taufrische Mobilprozessor-Baureihe Panther Lake alias Core Ultra 300 [1]. Vier Prozessorvarianten gibt es im NUC 16 Pro [2], die sich erheblich bei der Speicherausstattung unterscheiden. Bei allen sind die CPUs fest angelötet.
Die beiden Topversionen kommen mit den 16-Kernern Core Ultra X9 388H beziehungsweise Core Ultra X7 358H. Ersterer taktet lediglich 300 MHz höher (5,1 statt 4,8 GHz). Beide Prozessoren integrieren Intels größte Grafikeinheit mit 12 Xe-Kernen. Bei diesen zwei Mini-PCs verlötet Asus bis zu 96 GByte RAM mit hoher LPDDR5X-9600-Geschwindigkeit, um die Übertragungsrate zu maximieren. Die CPUs laufen mit einer maximalen Turbo-Leistung von 65 Watt.
(Bild: Asus)
In der dritten Variante sitzt der Core Ultra 7 356H. Er hat zwar ebenfalls 16 CPU-Kerne, allerdings eine deutlich schwächere GPU mit vier Xe-Kernen. Er läuft ebenfalls mit bis zu 65 Watt. Im vierten NUC setzt Asus den Achtkerner Core Ultra 5 325 mit bis zu 45 Watt ein.
Die zwei letztgenannten Varianten verwenden Speicherriegel vom Typ CSO-DIMM. Wie bei CU-DIMMs für Desktop-PCs [3] sitzt auf den Riegeln ein Takttreiber (Clock Driver, CKD), der das Signal an die Speicherchips verstärkt. Asus nennt hier keine Taktfrequenzen; anhand von Intels Spezifikationen erscheinen jedoch DDR5-7200 und DDR5-6400 realistisch.
Dank der Riegelbauweise haben die zwei günstigeren NUC-Varianten einen Vorteil: Sie laufen auf Wunsch mit bis zu 128 statt 96 GByte RAM.
Zwischen den Konfigurationen mit 65 und 45 Watt unterscheidet sich die Kühlung. In den stärkeren Mini-PCs bringt Asus einen zweiten Radiallüfter an der Unterseite unter, der primär für das RAM gedacht ist.
(Bild: Asus)
Erstmals in einem klassischen NUC ist das Mainboard nicht mehr 110 x 110 mm beziehungsweise 4 x 4 Zoll groß. Asus verbreitert die Platine auf 127 x 110 mm. Bisheriges Zubehör wie Fremdanbieter-Gehäuse sind somit nicht mehr immer kompatibel. Das Standardgehäuse lässt sich weiterhin werkzeuglos öffnen. Per VESA-Halterung kann man den Mini-PC hinten an einem Monitor befestigen.
Für Massenspeicher gibt es zwei M.2-Steckplätze, je einer ist mit PCI Express 5.0 beziehungsweise 4.0 angebunden (je vier Lanes). Zudem ist ein Funkkärtchen mit Wi-Fi 7 und Bluetooth 6.0 vorinstalliert.
An der Rückseite befinden sich je zwei Thunderbolt-4-Anschlüsse (USB-C), USB 3.2 Gen 2 (10 Gbit/s) Typ A, HDMI 2.1 und 2,5-Gbit/s-Ethernet. Mindestens für Unternehmen soll es eine Option auf Displayport 2.1 statt HDMI 2.1 geben. Vorn gibt es dreimal 10-Gbit/s-USB, zweimal als Typ A und einmal als Typ C ausgeführt. Die Stromzufuhr erfolgt über ein externes DC-Netzteil.
(Bild: Asus)
Zu den Preisen und Verfügbarkeitsterminen des NUC 16 Pro hat sich Asus bislang nicht geäußert.
heise medien ist offizieller Medienpartner der CES 2026.
URL dieses Artikels:
https://www.heise.de/-11135099
Links in diesem Artikel:
[1] https://www.heise.de/news/Panther-Lake-Intel-stellt-14-Core-Ultra-300-vor-11130804.html
[2] https://www.asus.com/displays-desktops/nucs/nuc-mini-pcs/asus-nuc-16-pro/
[3] https://www.heise.de/news/Ein-kleiner-Chip-mit-grosser-Wirkung-Takttreiber-beschleunigt-RAM-9982109.html
[4] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[5] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[6] mailto:mma@heise.de
Copyright © 2026 Heise Medien
3D-gedruckte Touch-ID-Hülle: Nach viel Arbeit funktioniert sie gut.
(Bild: @Calvin_5743 / Printables)
Wer ein mechanisches Keyboard nutzen möchte, muss auf Apples Touch ID am Mac verzichten. Doch der Sensor lässt sich auch entnehmen.
Apples hauseigene Tastaturen sind zwar beliebt, doch haben sie allerlei Einschränkungen bei Bauweise und Tastenhub. Das Problem: Wer weg möchte vom Magic Keyboard, um etwa künftig mechanisch zu tippen [1], verliert Zugriff auf ein zentrales Komfortelement: den Fingerabdrucksensor Touch ID. Diesen bietet Apple nämlich nur eingebaut in MacBook Pro und MacBook Air sowie eben in besagtem Magic Keyboard an. Einzeln lässt sich dieser nicht erwerben, und so müssen Tastaturwechsler künftig bei Anmeldung oder Freigabe bestimmter macOS-Aktionen wieder zur Eingabe des Passworts greifen. Doch es gibt eine Lösung für das Problem: Wer bereit ist, ein Magic Keyboard als Spendeeinheit auszuschlachten, kann den Touch-ID-Knopf per Hardware-Hack auch ausbauen und in ein Gehäuse packen. Das ist zwar technisch aufwendig, wurde aber zuletzt gleich von mehreren YouTubern durchexerziert.
So zeigte der bekannte Maker, NAS- und Raspberry-Pi-Bastler Jeff Geerling den Vorgang im Detail [2]. Klar wird dabei allerdings schnell: Für Einsteiger ist die Umsetzung eher nichts. Auch Grobmotoriker dürften schnell daran verzweifeln: Zunächst an der verklebten Unterseite des Magic Keyboard, dann an den zahllosen (unterschiedlichen) Schrauben und schließlich am Einbau in eines der mehreren 3D-gedruckten Touch-ID-Gehäusen, die etwa bei Printables [3] bereitstehen. Denn: Die Toleranzen sind sehr niedrig, zudem schlägt man sich mit empfindlichen Flachbandkabeln herum.
Wer sich den Aus- und Einbau zutraut (was die Entnahme der korrekten Platinenbestandteile involviert), kann sich danach aber durchaus freuen: Der mit Lightning-nach-USB-C angeschlossene Button (alternativ: USB-C nach USB-C mit neueren Tastaturen) funktioniert wie gewohnt. Doch weder finanziell noch vom Arbeitsaufwand her lohnt sich die Aktion: „Warum stellt Apple also keine kleine Touch-ID-Box her? Sie könnten 50-US-Dollar dafür verlangen, und ich würde es bezahlen, wenn auch widerwillig“, sagt Geerling. So habe er eine 150-Dollar-Tastatur und ein paar Stunden Zeit geopfert, um eine „intelligente“ Taste zu erhalten.
Immerhin offeriert Apple selbst eine Alternative zu der Touch-ID-Problematik: Es ist seit einigen Jahren auch möglich, den Mac mittels Apple Watch zu entsperren [4]. Dazu muss man die Computeruhr aber zuerst einmal besitzen.
Sie wird dann mit dem Mac gekoppelt und dient als Entsperrinstrument – auch für Passwortabfragen, für die sonst nur Touch ID verwendet werden kann. Die Uhr muss zuvor entsperrt werden, damit nur der Besitzer sie auch nutzen kann.
URL dieses Artikels:
https://www.heise.de/-11133551
Links in diesem Artikel:
[1] https://www.heise.de/tests/Tipp-Top-Tastaturen-17-Keyboards-fuer-den-Mac-im-Test-9989999.html
[2] https://www.youtube.com/watch?v=tzB6m2VTxAg
[3] https://www.printables.com/model/355924-clickable-touch-id-box-tkl-board-wired#instructions
[4] https://support.apple.com/de-de/102442
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.heise.de/mac-and-i
[7] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
(Bild: Pixfiction/Shutterstock.com)
OpenAI führt ChatGPT Health ein, das unter anderem Apple-Health-Daten auswertet. Die EU, Schweiz und Großbritannien bleiben vorerst außen vor.
OpenAI hat ChatGPT Health vorgestellt [1], einen separaten Gesundheitsbereich innerhalb von ChatGPT [2]. Der KI-Assistent verknüpft persönliche Gesundheitsdaten mit dem Chatbot und soll Nutzern helfen, medizinische Befunde zu verstehen, Arztbesuche vorzubereiten und Fitnessdaten auszuwerten. OpenAI betont, das System sei „in enger Zusammenarbeit mit Ärztinnen und Ärzten“ entwickelt worden. ChatGPT Health soll dabei medizinische Versorgung unterstützen, nicht ersetzen.
Der neue Bereich ist zunächst nur für eine kleine Gruppe früher Nutzer über eine Warteliste zugänglich. Nutzer in der Europäischen Union, der Schweiz und Großbritannien bleiben dabei vorerst außen vor. Verfügbar ist ChatGPT Health für Accounts aller Stufen – Free, Go, Plus und Pro. Laut OpenAI stellen weltweit über 230 Millionen Menschen pro Woche Gesundheitsfragen an ChatGPT – diesem Anwendungsfall will der Anbieter nun mehr Gewicht geben.
ChatGPT Health kann verschiedene Datenquellen einbinden. Herzstück ist die Integration mit Apple Health [3], Apples vorinstallierter Gesundheits-App auf dem iPhone, die Daten von Apple Watch, iPhone-Sensoren und Drittanbieter-Apps bündelt. Nutzer können ihre Apple-Health-Daten über den Apple Account verbinden, wodurch ChatGPT auf Informationen wie Schritte, Herzfrequenz, Schlafmuster und Trainingseinheiten zugreifen kann.
Zusätzlich lassen sich Fitness- und Wellness-Apps wie MyFitnessPal, Peloton, AllTrails, Instacart und Weight Watchers verknüpfen. In den USA können Nutzer auch elektronische Patientenakten anbinden. ChatGPT Health kann dann Labor- und Testergebnisse interpretieren, medizinische Dokumente in verständliche Sprache übersetzen, Ernährungsempfehlungen geben und Trainingsroutinen auf Basis von Gesundheitsmustern erstellen. Auch beim Vergleich von Versicherungsoptionen soll der Assistent helfen.
OpenAI hebt hervor, ChatGPT Health baue auf den vorhandenen Datenschutz- und Sicherheitskontrollen von ChatGPT auf und ergänze diese um spezielle Schutzmaßnahmen. Der Gesundheitsbereich verfüge über einen eigenen Speicherort für Chats, Dateien und App-Verknüpfungen, getrennt von normalen Unterhaltungen. OpenAI spricht von „Verschlüsselung und Isolierung“, um Gesundheitsgespräche privat und abgeschottet zu halten. Konkrete technische Details nennt OpenAI in der Ankündigung nicht. Auch aufgrund der unterschiedlichen Gesetze zwischen den USA und Europa sind die Versprechen mit entsprechender Vorsicht zu sehen.
Der Gesundheitsbereich hat separate Kontexte, sodass die dort eingegebenen Daten nicht in andere Chats einfließen sollen. Umgekehrt kann ChatGPT Health bei Bedarf Kontext aus nicht-gesundheitsbezogenen Chats beziehen, etwa bei Lebensstiländerungen. Gespräche in ChatGPT Health werden laut Anbieter nicht zum Training der Modelle verwendet. Wenn Nutzer im allgemeinen Chat-Bereich gesundheitliche Themen ansprechen, schlägt ChatGPT vor, in den Health-Bereich zu wechseln.
Der Ausschluss von EU, Schweiz und UK deutet auf regulatorische Hürden hin. Gesundheitsdaten gelten nach der Datenschutzgrundverordnung (DSGVO) als besondere Kategorien personenbezogener Daten und unterliegen strengen Verarbeitungsvoraussetzungen. Datenübermittlungen in die USA sind nur mit angemessenen Garantien zulässig – bei Gesundheitsdaten prüfen Aufsichtsbehörden besonders streng. Zudem könnte die EU-Medizinprodukteverordnung (MDR) greifen, falls ChatGPT Health als Software mit medizinischem Zweck eingestuft würde.
OpenAI versucht offenbar, diese Einstufung zu vermeiden. Dennoch bleibt offen, wie Regulatoren das Angebot bewerten. Auch der AI Act der EU könnte für den OpenAI-Dienst zum Problem werden. In der Schweiz und Großbritannien gelten ähnliche Standards bei Datenschutz und Medizinprodukten, wenn auch mit eigenen Aufsichtsbehörden.
Trotz Warnhinweisen, dass ChatGPT Health keine ärztliche Beratung ersetzt, stellt sich die Frage, ob die kommunikativen Schutzmechanismen ausreichen. OpenAI wirbt mit ChatGPT als Navigator für die Gesundheit [4] – das könnte bei Nutzern den Eindruck erwecken, dass es sich doch um einen KI-Arzt handelt. Wie OpenAI durch System-Prompts, Sicherheitsfilter und Content Classifier verhindert, dass Nutzer bei akuten Symptomen auf Notruf oder ärztliche Hilfe verzichten, bleibt offen.
URL dieses Artikels:
https://www.heise.de/-11134773
Links in diesem Artikel:
[1] https://openai.com/index/introducing-chatgpt-health
[2] https://www.heise.de/thema/ChatGPT
[3] https://www.heise.de/thema/Apple-Health
[4] https://www.heise.de/news/OpenAI-wirbt-mit-ChatGPT-als-Gesundheitshelfer-11130306.html
[5] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[6] mailto:mki@heise.de
Copyright © 2026 Heise Medien
Touchscreen für MacBook Pro von Intricuit: Mac lässt sich mit ihm nicht schließen, das verhindert Schäden.
(Bild: Intricuit)
Apple bietet bislang keine Macs mit berührungsempfindlichem Display. Ein Crowdfunding-Projekt will das ändern – entnehmbar als Nachrüstsatz.
Für manche Apple-User wäre es ein Traum: Ein Mac, der neben Tastatur und Maus (oder Trackpad) auch über einen Touchscreen verfügt. Doch bislang lehnt Apple ein solches Bedienkonzept [1] ab, verweist auf das iPad, das mittlerweile immer Mac-ähnlicher [2] wird. Ein Crowdfunding-Projekt, das demnächst auf Kickstarter anlaufen soll, will dem allen nun vorgreifen: Der „Magic Screen [3]“ soll ein Touchscreen-Nachrüstsatz für verschiedene MacBook-Pro- und MacBook-Air-Modelle werden, der sich je nach Lust und Laune anbringen lässt.
Das System arbeitet, ähnlich wie man das von Privacy-Screens für MacBooks [4] kennt, magnetisch: Es wird am oberen Bildschirmrand angebracht und dann unten "eingehakt". Die Hardware ist so gestaltet, dass es nicht möglich ist, das MacBook nach der Installation zu schließen – das soll Schäden verhindern, denn die Toleranzen sind sehr eng [5]. Unterstützt werden sollen alle MacBook-Größen mit 13, 14, 15 und 16 Zoll ab M1 (Pro) beziehungsweise M2 (Air) bis hoch zum MacBook Pro M5 [6].
Im Rahmen der Kickstarter-Kampagne des Herstellers namens Intricuit ist ein Preis von 139 US-Dollar (plus Umsatzsteuer und Versand) vorgesehen. Die „Snap on“-Lösung ist allerdings nicht drahtlos. Stattdessen wird sie per USB-C-Kabel mit dem Mac verbunden. Der Touchscreen soll durchsichtig genug sein, um die Bildqualität nicht zu reduzieren. Das System ist zudem Stylus-fähig (inklusive Hover-Funktion) und soll „eine Alternative zu Zeichentablets und iPads“ darstellen.
Die auf der Intricuit-Website gezeigte Hardware soll ein „später Prototyp“ sein und könne sich optisch noch vom fertigen Gerät unterscheiden. Momentan wurden noch keine Angaben gemacht, wann mit einer Auslieferung zu rechnen ist. Interessierte können sich für einen Early-Access-Zugriff registrieren, wann es losgeht, wurde noch nicht kommuniziert.
Die große Frage beim Magic Screen betrifft die Software: macOS ist standardmäßig nicht Touchscreen-fähig und es bräuchte eine Art Overlay-Lösung, um eine normale Bedienung per Finger oder Stylus zu ermöglichen. Intricuit spricht unter anderem davon, dass Tap-, Swipe- und Zoom-Gesten funktionieren, ebenso wie Scrollen. Wie bei anderen Crowdfunding-Projekten muss man einiges an Vertrauen in den Hersteller investieren. Kickstarter-Projekte können bekanntermaßen auch scheitern.
URL dieses Artikels:
https://www.heise.de/-11133513
Links in diesem Artikel:
[1] https://www.heise.de/news/Touchscreen-im-Mac-Apple-will-sich-bereit-fuer-naechste-Generation-machen-7459492.html
[2] https://www.heise.de/ratgeber/iPadOS-26-So-nutzen-Sie-das-neue-Fenstersystem-auf-Apple-Tablet-10646557.html
[3] https://intricuit.com/
[4] https://www.heise.de/news/Blickschutz-fuer-Bildschirme-Apple-meldet-Patente-an-9540185.html
[5] https://www.heise.de/news/Webcam-Warnung-Abdeckungen-koennen-MacBook-Display-zerstoeren-10792976.html
[6] https://www.heise.de/tests/Staubsaugen-im-Apple-Home-Diese-Haushaltsroboter-lohnen-sich-10751677.html
[7] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[8] https://www.heise.de/mac-and-i
[9] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
Nutzerin an iMac: Problem schon lange bekannt.
(Bild: Kaspars Grinvalds / Shutterstock.com)
Beim ersten Apple-Silicon-Modell des All-in-one-Rechners kann es zu merkwürdigen Darstellungsproblemen kommen. Apple reagiert nur fallweise.
Seit 2024 gibt es Berichte von Nutzern, dass sich der Bildschirm von iMacs der ersten M-Chip-Generation [1] nach einigen Jahren der Verwendung teilweise intern zu zerlegen [2] scheint. Der sogenannte Black Line Defect sorgt für bleibende horizontale Linien auf dem Display. Ein entsprechender Thread im offiziellen Apple-Support-Forum [3] hat mittlerweile 35 Seiten – ein Indiz dafür, dass das Problem offenbar häufiger auftreten kann. Betroffene Kunden können wenig tun: Der iMac M1 wurde bereits seit 2021 verkauft, und der Fehler tritt üblicherweise nach Ablauf der zweijährigen Gewährleistung auf. Apple selbst trifft Einzelfallentscheidungen: Manchmal gibt es aus Kulanz einen kostenlosen Austausch des Displays, doch üblicherweise muss der Kunde – nach Kostenvoranschlag – selbst zahlen.
Eine Gruppe Betroffener versucht nun, Apple dazu zu bewegen, ein Austauschprogramm aufzulegen [4]. Unter iMacUsersVoice.com haben sie die Kampagne „Stop the Black Lines Defect“ aufgesetzt. „Besitzer von 24-Zoll-iMacs mit Apple Silicon sehen nach etwa zwei Jahren normaler Nutzung permanente horizontale Linien. Erst wenn Apple ein globales Serviceprogramm startet, um alle betroffenen Geräte zu reparieren, wird diese Website offline genommen, schreiben sie.
Die selbstorganisierten Betroffenen gehen davon aus, dass „Tausende“ von iMac-M1-Modellen betroffen sind. Über das Apple-Support-Forum sollen allein fast 1300 Personen zusammengekommen sein, die durchgaben, das Problem zu haben. 470 entsprechende Antworten landeten in einem ersten Thread, der später für neue Postings gesperrt wurde, weitere über 820 in einem neuen.
Es gibt Vermutungen, dass das Problem, das nach 18 bis 24 Monaten der Benutzung auftritt, mit einem überhitzenden Hochspannungs-Flexkabel zu tun haben könnte, das im LCD-Bereich verbaut ist. Das Bauteil soll sehr günstig sein, doch Apple verlangt laut Nutzerangaben bis zu 700 Dollar für die Reparatur.
Der Hersteller hat sich bislang nicht zu dem Problem geäußert, das mit Softwaremitteln offenbar nicht zu beheben ist. Fehlerberichte gibt es aus der ganzen Welt. Unklar ist, ob auch spätere Modelle – also iMac M3 und M4 – betroffen sind. Die Nutzer fordern, diese gegebenenfalls in ein Austauschprogramm aufzunehmen. Sie fordern außerdem eine transparente Kommunikation von Apple.
URL dieses Artikels:
https://www.heise.de/-11132993
Links in diesem Artikel:
[1] https://www.heise.de/news/Neue-iMacs-24-Zoeller-mit-Apple-Prozessor-und-in-vielen-Farben-6021800.html
[2] https://www.heise.de/news/iMac-M1-Berichte-ueber-Display-Defekte-9961731.html
[3] https://discussions.apple.com/thread/255220596?sortBy=rank
[4] https://www.imacusersvoice.com/
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.heise.de/mac-and-i
[7] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
Bernardo Cantz
(Bild: Philip Yabut / Shutterstock.com)
US-Soldaten seilen sich auf Öltanker ab. Russland schreit auf, Washington spricht von Routine. Die Grenze zwischen Recht und Piraterie ist kaum zu erkennen.
Irgendwo zwischen Island und Schottland, auf offener See, kreist ein US-Hubschrauber über der "Marinera". Dann seilen sich bewaffnete Soldaten auf das Deck des Öltankers ab. Die Besatzung leistet keinen Widerstand. Der Kontakt des Schiffs nach Moskau bricht ab.
Was für Washington eine Routineoperation gegen eine "Schattenflotte" ist, nennt Russland einen "Akt der Gewalt gegen ein ordnungsgemäß registriertes Schiff". Venezuela spricht von "internationaler Piraterie". Die Frage, die über dem Nordatlantik schwebt: Wer hat Recht?
Die Operation gegen die "Marinera" war kein Einzelfall. Fast zeitgleich enterten US-Streitkräfte in der Karibik die "M/T Sophia", einen weiteren Tanker mit Verbindung zu venezolanischen Ölexporten.
Beide Schiffe, so die US-Darstellung, gehörten zu einer "Schattenflotte", die sanktioniertes Öl transportierte – teils aus Venezuela, teils aus dem Iran.
Die Fakten im Überblick:
Verteidigungsminister Pete Hegseth schrieb auf X [1]: "Die Blockade von sanktioniertem und illegalem venezolanischem Öl bleibt weltweit in VOLLER WIRKUNG." Für Kritiker klingt das weniger nach Rechtsdurchsetzung als nach globaler Machtprojektion.
Das UN-Seerechtsübereinkommen (UNCLOS) ist eindeutig: Auf hoher See gilt die Freiheit der Schifffahrt. Jedes Schiff muss eine Nationalität haben. Doch was passiert, wenn ein Tanker unter falscher Flagge fährt – oder gar keine zeigt?
Dann greift nach Artikel 110 der Seerechtskonvention [2] das "Recht auf Betreten": Staatliche Behörden dürfen das Schiff anhalten, an Bord gehen und Dokumente prüfen. Bei fortbestehenden Zweifeln ist eine weitergehende Durchsuchung zulässig. Soweit die Theorie.
Völkerrechtler unterscheiden scharf zwischen Inspektion und Beschlagnahme. Salvador Santino Regilme von der Universität Leiden erklärt gegenüber [3] Al Jazeera:
"Staatenlosigkeit öffnet eindeutig die Tür für das Anbordgehen und die Identifizierung, aber sie schafft nicht automatisch eine allgemeine Lizenz zur Durchsetzung eines einseitigen Regulierungssystems. Dieser Schritt vom 'Recht auf Betreten' zur vollständigen Beschlagnahme von Schiff und Ladung befindet sich in einer Grauzone, die in der jüngsten Wissenschaft ausdrücklich als 'jurisdiktionale Lücke' beschrieben wird."
Mit anderen Worten: Selbst wenn die "Marinera" tatsächlich staatenlos war, bleibt die vollständige Beschlagnahme zur Durchsetzung rein amerikanischer Sanktionen völkerrechtlich höchst umstritten.
Russlands Verkehrsministerium bestreitet, dass die "Marinera" staatenlos war. In einer offiziellen Erklärung [4] heißt es:
"Am 24. Dezember 2025 erhielt das Schiff 'Marinera' eine vorübergehende Genehmigung zum Fahren unter der Staatsflagge der Russischen Föderation, die auf der Grundlage der russischen Gesetzgebung und der Normen des Völkerrechts erteilt wurde. Gemäß den Bestimmungen des Seerechtsübereinkommens der Vereinten Nationen von 1982 gilt in den Gewässern auf hoher See das Prinzip der Freiheit der Schifffahrt, und kein Staat hat das Recht, Gewalt gegen Schiffe anzuwenden, die ordnungsgemäß in den Hoheitsgebieten anderer Staaten registriert sind."
Die USA hingegen argumentieren, das Schiff habe im Vormonat "fälschlicherweise" unter guyanischer Flagge operiert – Guyana selbst bestätigte laut Al Jazeera, die "Marinera" sei nie bei ihnen registriert gewesen. Wer lügt, wer irrt? Die widersprüchlichen Angaben machen eine klare rechtliche Bewertung nahezu unmöglich.
Das britische Verteidigungsministerium verteidigte die Unterstützung der Operation. Verteidigungsminister John Healey erklärte laut [5] BBC, die Aktion sei "in voller Übereinstimmung mit dem Völkerrecht" und "Teil der weltweiten Bemühungen zur Bekämpfung von Sanktionsverstößen" gewesen.
Kritiker sehen darin primär eine politische Botschaft: London stellt sich demonstrativ an die Seite Washingtons – auch in rechtlichen Grauzonen. Innenminister Mike Tapp nannte [6] die Beteiligung laut The Guardian eine "wichtige Aktivität mit unseren US-Verbündeten".
Die Beschlagnahmungen haben unmittelbare Folgen:
China verurteilte die US-Aktionen scharf und warf Washington vor, die globale Energiesicherheit zu gefährden. Peking war zuletzt größter Abnehmer venezolanischen Öls – und sieht seine Lieferketten bedroht.
In den USA selbst tobt eine Debatte über die rechtliche Einordnung. Im US-Senat wird nächste Woche über eine Resolution zu den Kriegsmachtbefugnissen (War Powers) abgestimmt – ein Versuch, weitere Militäraktionen ohne Zustimmung des Kongresses zu verhindern.
Senator Josh Hawley formulierte gegenüber der BBC das Dilemma: Wenn es bei Aktionen des US-Präsidenten um eine Strafverfolgung handele, dann benötige dieser keine Zustimmung. Wenn es sich aber "um eine Militäroperation handelt, an der ein ausländischer Regierungschef beteiligt ist, auch wenn wir diesen nicht offiziell anerkennen, ist das eine ganz andere Situation".
Präsident Trump kündigte an, Venezuela werde "30 bis 50 Millionen Barrel" Öl an die USA übergeben. Außenminister Marco Rubio erklärte, Washington werde die Erlöse "auf eine Weise kontrollieren, die dem venezolanischen Volk zugutekommt". Für Caracas klingt das weniger nach Hilfe als nach Enteignung.
Bleibt die Frage: Wenn ein Staat seine Sanktionen weltweit mit Waffengewalt durchsetzt – ist das dann noch Recht? Oder bereits der Anfang von etwas anderem?
URL dieses Artikels:https://www.heise.de/-11134849
Links in diesem Artikel:[1] https://www.bbc.com/news/articles/c5y2v8ngl14o[2] https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1998:179:0003:0134:DE:PDF[3] https://www.aljazeera.com/news/2025/12/11/act-of-piracy-or-law-can-the-us-legally-seize-a-venezuelan-tanker[4] https://t.me/Mintrans_Russia/8235[5] https://www.bbc.com/news/articles/c5y2v8ngl14o[6] https://www.theguardian.com/world/live/2026/jan/07/europe-greenland-denmark-us-france-trade-weather-latest-news-updates
Copyright © 2026 Heise Medien
Marcus Schwarzbach
(Bild: Pniti_Studio / Shutterstock.com)
Transparenz und Eigenverantwortung klingen verlockend – doch in der Projektarbeit verkehrt sich das oft ins Gegenteil.
Alle Jahre wieder – zu Beginn des neuen Jahres finden in vielen Betrieben Auftaktveranstaltungen statt. Mal wird zu "Geschäftsführer im Dialog" oder einem "Townhall-Meeting" eingeladen. Aus Sicht der Unternehmensleitung soll das neue Geschäftsjahr eingeläutet und die Belegschaft stimmungsmäßig vorbereitet werden.
Oft werden auch neue Projekte angekündigt. Ohne diese scheinen Betriebe heutzutage nicht mehr arbeiten zu können. Consulting-Firmen bieten Beratung an, die Projektbetreuung hat sich zu einem lukrativen Wirtschaftszweig entwickelt. Projekte sollen häufige Veränderungen vorantreiben. Begründet wird dies mit Unsicherheiten in Zeiten von verändertem Kundenverhalten, Zollstreit und gestiegenen Energiepreisen [1].
Unternehmensberater betonen die Wichtigkeit der Projektorganisation. Um den neuen Anforderungen gerecht zu werden, hat sich in vielen Unternehmen die Arbeitsweise grundlegend gewandelt: "vom rein operativen Betrieb hin zu einem projektorientierten Ansatz, einem Phänomen, das als Projektifizierung bezeichnet wird. Projekte sind nicht mehr nur isolierte Werkzeuge zur Umsetzung einzelner Maßnahmen, sondern haben sich zur zentralen Organisationsform für Transformation, Innovation und Digitalisierung entwickelt", schreibt Leonard Latief [2], Junior Business Consultant bei der Markant Gruppe in Offenburg.
Planen Unternehmen die Einführung einer neuen Software oder sollen Maschinen auf den aktuellen Stand gebracht werden, wird oft auf Projektarbeit gesetzt.
Ein Projekt ist ein einmaliges Vorhaben mit einem bestimmten Ziel. Um das Ziel zu erreichen, müssen Handlungen geplant und umgesetzt werden. Die Projektorganisation umfasst einen Beginn und ein Ende, ein erfolgreicher Abschluss kann die Einführung neuer Technik sein. Da viele Beschäftigte beteiligt sind, besteht ein hoher Abstimmungsbedarf.
Meist wird die Projektorganisation einer Steuerungsgruppe übertragen, deren Aufgaben die
umfassen sollte.
Experten betonten, wie wichtig Transparenz im Projektmanagement ist. Projektmanagement-Experte Dieter Zibert warnt [3]:
"Ohne einen klaren Überblick über den Status von Projekten und die Verfügbarkeit von Ressourcen werden Entscheidungen zu Spekulationen. Die Folgen sind fatal: Ineffizienzen, Ressourcenverschwendung, verpasste Fristen und letztendlich ein massiver Verlust von Vertrauen und Ertrag. Anstatt proaktiv zu steuern und potenzielle Probleme frühzeitig zu erkennen, verbringen Manager:innen und Teams ihre Zeit damit, auf Krisen zu reagieren, die sich längst hätten abzeichnen müssen."
Die Priorisierung von Projekten durch Projektportfoliomanagement (PPM) wird immer mehr zum zentralen Erfolgsfaktor, betont Sebastian Colditz [4], Consultant bei Campana & Schott:
"Generative KI wird das Projektportfoliomanagement nachhaltig verändern. Sie wird jedoch nicht zur vollständigen Automatisierung führen, sondern den Menschen gezielt bei vorbereitenden und analytischen Aufgaben entlasten. Für die Praxis ergibt sich die Empfehlung, ein hybrides Modell aus KI-Assistenz und menschlicher Entscheidung einzusetzen, da dieses sich als besonders wirkungsvoll erweist."
Die Beschäftigten betrachten die Projektlandschaft aus einem anderen Blickwinkel. In Projekten herrscht meist großer Druck. Das Arbeitsverhältnis wird oft zum Verhältnis "Dienstleister gegenüber Kunde", um so scheinbar aus dem Angestellten einen "Unternehmer im Unternehmen" zu machen.
Der Beschäftigte nimmt dies zunächst als Befreiung vom bisherigen Prinzip, Anweisungen zu befolgen, wahr, da er eigenverantwortlich Entscheidungen treffen kann. Können die Ziele jedoch nicht erreicht werden, gibt es Druck.
Zwar setzten Unternehmen inzwischen Elemente des Changemanagements ein, indem Workshops veranstaltet werden. Bei diesen Auftaktveranstaltungen sollen Beschäftigte Vorschläge machen und Bedenken äußern. Durch diese transparente Einbindung soll die Akzeptanz erhöht werden.
Aus Sicht der Beschäftigten wird jedoch nichts Grundlegendes an den Projektvorgaben geändert. Das Problem der Personalplanung bleibt dann ungelöst. Oft muss die Projektarbeit zusätzlich zum Tagesgeschäft [5] stemmen. So kommt es immer wieder zu Zusagen, die nicht eingehalten werden können.
Anders als in einem normalen Arbeitsalltag mit Arbeitsanweisungen und Organisationsvorgaben ist jedoch meist nicht geregelt, wie gearbeitet werden soll. Es herrscht keine Routine, was immer wieder für Überraschungen sorgt. Der Kunde ändert plötzlich seine Wünsche, der Auftraggeber hat ein wichtiges Detail vergessen, das erst im Laufe des Projekts erkennbar wird.
Statt direkter Anweisungen, wie eine Arbeit auszuführen ist, organisieren die Beschäftigten einen Teil der Arbeitsabläufe selbst. Enormer Druck entsteht wegen hoher Transparenzanforderungen, denn in Projektsitzungen müssen die Projektmitglieder ihre Arbeitsplanung offenlegen. Vor allem die Einschätzung, wie viel Zeit für einzelne Schritte benötigt wird, setzt unter Zeitdruck.
Oft werden über spezielle Software [6] detaillierte Arbeitspakete erfasst, die der Planung dienen sollen. Auch entsteht sozialer Druck innerhalb der Projektgruppe, denn es wird gemeinsam über das Vorgehen gesprochen, entsprechend erwarten Projektmitglieder die Umsetzung.
Der Druck der Kunden wird oftmals direkt auf die Beschäftigten übertragen. Dabei bestimmt häufig Angst den Alltag – die Angst, als nicht leistungsfähig dazustehen. Es drohen der Entzug von Finanzmitteln, die Versetzung auf eine schlechter bezahlte Stelle, die Verlagerung von Aufgaben an andere Standorte.
Die Methoden der Unternehmen sind keineswegs besonders neu. So werden etwa die Zielvorgaben für Projekte allmählich erhöht oder finanzielle Ressourcen immer knapper kalkuliert.
Im Jahresrückblick melden Krankenkassen Auswertungen über Krankheitsursachen in der Arbeitswelt. Es überrascht bei der hohen Zahl an Projekten nicht, dass die Zahl psychisch Erkrankter [7] seit Jahren hoch ist.
URL dieses Artikels:https://www.heise.de/-11134548
Links in diesem Artikel:[1] https://www.heise.de/tp/article/Wie-entsteht-der-Strompreis-in-Deutschland-7322809.html[2] https://www.gpm-ipma.de/ueber-die-gpm/blog/projektmanagement-in-zeiten-der-komplexitaet-wie-organisationale-reife-neu-gedacht-werden-muss[3] https://www.projektmagazin.de/artikel/projektmanagement-transparenz-fruehwarnsystem-engpaesse-vermeiden[4] https://www.gpm-ipma.de/ueber-die-gpm/blog/der-ki-co-pilot-warum-das-ppm-ein-hybrides-entscheidungsmodell-braucht[5] https://www.heise.de/tp/article/Mindestens-48-Stunden-Wenn-Mehrarbeit-zur-Gesundheitsfalle-wird-10347324.html[6] https://www.heise.de/tp/article/ERP-Systeme-Wenn-Software-den-Arbeitsalltag-diktiert-11090708.html[7] https://www.heise.de/tp/article/Agiles-Arbeiten-und-Home-Office-Warum-der-Burnout-droht-9807171.html
Copyright © 2026 Heise Medien
Luca Schäfer
Lenin-Statue vor dem Parlaemtsgebäude in Tiraspol
(Bild: Autor)
Reise in einen Staat, der keiner ist: Zwischen Sowjet-Nostalgie und Unzufriedenheit mit Moskau. Unterwegs in Russlands letztem Vorposten. (Teil 1/2)
Gemächlich geht es voran. Die rund 70 Kilometer, die die moldawische Hauptstadt Chișinău von der Pridnestrowischen Moldauischen Republik [1] (PMR) trennen, überwindet der überladene Kleinbus in knapp zwei Stunden. Für 59 Moldawische Lei (umgerechnet drei Euro) gibt es die Holzklasse. Eingezwängt zwischen jungen Studierenden, dösenden Alten und ukrainischen Geflüchteten bahnt sich der Weg zu einer Grenzen, die es offiziell nicht gibt.
Zwischen Soldaten und einem überdimensionalen sozialistisch-anmutenden Wappen wirkt das Prozedere eingespielt; für die Mitreisenden ist es nerviger Alltag. Auf den ersten Blick sind keine Unterschiede zu anderen Staatengrenzen erkennbar. Nur gestempelt wird nicht; das Visum ähnelt einem Kassenbon auf Kyrillisch.
Hinter der Grenze wartet eine Ein-Mann-Armee mit russischem Ärmelzeichen. Das in Moldawien dominante Rumänisch verschwindet – Kyrillisch dominiert die Werbeplakate. Auf die Lenin-Allee folgt die Karl-Liebknecht-Straße, allen gemein ist, dass die sie säumenden Plattenbauten aus der Zeit gefallen wirken. Der sozialistische Brutalismus bietet die Kulisse für die Oligarchie von Victor Gusan [2].
Da Transnistrien nur 40 Prozent größer als Luxemburg ist und in der Länge kaum mehr als 200 Kilometer misst, erreicht man das Ziel hinter der Grenze zügig. Bei der Einfahrt in die selbsternannte Hauptstadt, Tiraspol, ist die gigantische Fußballanlage des Fußballvereins Sheriff kaum zu übersehen.
Brücke über den Grenzfluss Dnister
(Bild: Autor)Das geldintensive Hobby von Sheriff-Konzernbesitzer Gusan kann zwei mittelgroße Stadien, 13 Trainingsplätze einer Nachwuchsakademie und ein gigantisches Vereinsgelände sein Eigen nennen – Zustände, von denen manch ein Bundesligist träumen dürfte. Doch auch für die meisten Tiraspoler bleibt der Club ein Wunschtraum: Zu den Heimspielen herrscht selten Andrang [3], der Transnistrische Rubel – eine der seltensten Währungen [4] der Welt – sitzt nur bei einer winzigen Schicht locker.
Angekommen am in die Jahre gekommenen Bahnhofsgebäude wird Geopolitik greifbar: Die Anzeigetafel vermeldet, dass die früher prosperierenden Verbindungen nach Odessa (100 Kilometer) sowie die Busverbindung gen Moskau bis auf Weiteres ersatzlos gestrichen sind. Was früher in wenigen Stunden erreichbar war und Familien verband, ist heute kriegsbedingtes Niemandsland.
Transnistrien leidet unter den geschlossenen Grenzen – ökonomisch, emotional, politisch. Von der Front trennen [5] nur 120 Kilometer, die russische Offensive war zuletzt bei Krupjansk zum Stehen gekommen. In oft auf holprigem Englisch geführten Gesprächen wird die blutige Tragik deutlich: Die allermeisten Familien haben Angehörige auf beiden Seiten. Da der transnistrische Pass international nicht anerkannt [6] ist, sind viele offiziell Doppelstaatler und der für das einst stolze Industriezentrum lebenswichtige Export in die Ukraine ist umfassend eingebrochen [7].
Dennoch scheint sich die Mehrheit der transnistrischen Bevölkerung ihrer prorussischen Stimmung treu zu bleiben. In den Straßen dominieren neben der grün-roten Flagge mit Hammer und Sichel dutzendfach die russische Trikolore. Auf dem zentralen Paradeplatz von Tiraspol, zwischen der ewigen Flamme und einer monumentalen Lenin-Statue, weht die Flagge Moskaus gleichberechtigt neben der transnistrischen im eisigen Wind.
Dies verwundert kaum, in den hiesigen Medien wird Transnistrien zumeist als Mafia-Paradies von Moskaus Gnaden präsentiert [8]. Dafür gibt es Anhaltspunkte [9]: In einer Garnison sind rund 1 500 russische Soldaten stationiert. Das Gros der Rentner einer dem Straßenbild nach überaltert wirkenden Gesellschaft erhält [10] seine Bezüge aus Moskau, die FAZ framte es als “Putin Prämie“. Gas wurde zu massiv subventionierten Preisen bereitgestellt.
Doch die Fassade bröckelt: So erläutert unser Gastgeber, ein weitgereister Mann mittleren Alters, dass Russlands Unterstützung nachgelassen habe. Im Jahr der Invasion in die Ukraine ereigneten sich massive Anschläge [11] auf russisch-konnotierte Einrichtungen in der Region. Sie blieben bislang ungeklärt und die Deutungen schwanken zwischen einer Kommandoaktion des ukrainischen Geheimdienstes und dem gesellschaftlichen Ausdruck der Unzufriedenheit mit der selbsternannten Schutzmacht. Getroffen hatte es vor allem das Ministerium für Staatssicherheit. Zu dessen Einfluss schweigen sich die Einheimischen auch auf konkrete Nachfrage aus.
Russland musste seine Gaslieferungen über die Ukraine einstellen. Ab 2014 sperrte die Ukraine ihren Land- und Luftraum für die russischen Nachschublinien. Die pro-europäisch gewendete [12] Regierung Sandu versagte die Einfuhr russischer Güter über den Flughafen Chișinău. Da Transnistrien weder einen Seehafen noch einen Flughafen besitzt, ist die transnistrisch-russische Truppe ein Schatten ihrer selbst: Sie ist mit veralteten sowjetischen Beständen bewaffnet und in der Regel durch lokale Soldaten statt durch in Russland ausgebildete Militärs besetzt.
Der Sheriff-Konzern ist allgegenwärtig
(Bild: Autor)Auch scheint es in Transnistrien sozialpolitisch zu gären: Bei niedrigen Durchschnittseinkommen [13] von umgerechnet 300 bis 400 Euro wirken die grauen Häuserblocks von Armut durchzogen, während sich Chișinău mit massiven EU-Milliarden-Subventionen [14] zum westlichen Schaufenster zu mausern versucht.
Mit Erfolg: Ein Großteil der Jugendlichen zieht [15] es in die Hauptstadt des ärmsten europäischen Landes, der Streifen verlor mittlerweile ein Drittel seiner Einwohnerschaft. Kultur und die transnistrischen Filialen staatlich-russischer Universitäten verlieren an Sogkraft. Die Alten bleiben zurück. In den Restaurants der Stadt herrscht Leere. Kneipen, Bars oder die in Chișinău aus dem Boden sprießenden Franchise-Filialen, sucht man vergeblich.
Niemand bekennt sich offen zur Ukraine. Eine Reintegration nach Moldawien lehnen die allermeisten Menschen deutlich ab. Allenthalben werden Hoffnungen an Russland adressiert. Dies korreliert mit dem geopolitischen Status der Region: Während Russland Transnistrien zur Frontregion [16] machen könnte, wird eine moldauische Reintegration diskutiert [17]. Diese ist konfliktgeladen, politisch riskant und ohne EU-/US-Support nicht durchführbar. Aufgrund der hohen Modernisierungskosten wäre sie für das volkswirtschaftlich schwache Land eine massive Belastung.
Am wahrscheinlichsten ist derzeit, dass der Status quo erhalten bleibt – Moskau dürfte Transnistrien zumindest soweit sozialpolitisch am Leben halten, dass ein Kipppunkt nicht erreicht wird. In den russischen Planungen dient Tiraspol als Backup-Front und Druckmittel. Ob und wie lange die lokale Bevölkerung dem spannungsgeladenen Zustand der Instabilität zusehen wird, ist offen. Erste Anzeichen für ein neuen pro-westlichen Angriffspunkt sind vorhanden...
Dies war der erste Teil des Berichts. In Kürze erscheint Teil 2 auf Telepolis.
URL dieses Artikels:https://www.heise.de/-11134157
Links in diesem Artikel:[1] https://de.wikipedia.org/wiki/Transnistrien[2] https://profiles.rise.md/profile.php?id=200228194442&lang=eng[3] https://www.transfermarkt.de/fc-sheriff-tiraspol/besucherzahlenentwicklung/verein/2481[4] https://jungle.world/artikel/2007/44/transnistrien-die-reale-fiktion[5] https://interaktiv.tagesspiegel.de/lab/wie-weit-sind-die-soldaten-aktuelle-karte-der-russischen-invasion-in-der-ukraine/[6] https://euractiv.de/news/worum-geht-es-in-der-transnistrien-krise/[7] https://www.bpb.de/themen/europa/russland-analysen/nr-460/559330/analyse-folgen-der-beendigung-des-gastransports-durch-die-ukraine-fuer-eu-laender-und-moldau/[8] https://www.welt.de/wirtschaft/plus250485798/Ukraine-Krieg-Transnistrien-die-Mafia-Republik-von-Russlands-Gnaden.html[9] https://www.tagesschau.de/ausland/europa/transnistrien-russland-moldau-100.html[10] https://www.faz.net/aktuell/politik/ausland/europa/moldau-und-transnistrien-moskau-lockt-rentner-mit-der-putin-praemie-12894280.html[11] https://www.n-tv.de/politik/Offenbar-Schuesse-auf-Ministerium-fuer-Staatssicherheit-in-moldauischer-Konfliktregion-Transnistrien-article23289232.html[12] https://www.tagesspiegel.de/internationales/sie-will-ihr-land-in-die-eu-fuhren-wer-ist-moldaus-prasidentin-maia-sandu-14410898.html[13] https://www.faz.net/aktuell/reise/unterwegs-in-transnistrien-16093329.html[14] https://germany.representation.ec.europa.eu/news/eu-kommission-will-moldau-mit-18-milliarden-euro-unterstutzen-2024-10-10_de[15] https://www.zois-berlin.de/publikationen/schrumpfendes-transnistrien-aelter-einseitiger-und-abhaengiger[16] https://hir.harvard.edu/transnistria-russias-next-battlefront/[17] https://carnegieendowment.org/russia-eurasia/politika/2024/01/is-moldova-ready-to-pay-the-price-of-reintegrating-transnistria
Copyright © 2026 Heise Medien
(Bild: Fer Gregory/Shutterstock.com)
Die Entwickler hinter dem Multimedia-Framework FFmpeg haben auf GitHub einen Teil des Codes von Rockchip Linux wegen Copyright-Verletzung sperren lassen.
Entwickler des quelloffenen Multimedia-Frameworks FFmpeg [1] haben GitHub mit einer DMCA-Takedown-Notice aufgefordert, den Quelltext des Moduls Media Process Platform (MPP) von Rockchip Linux zu entfernen. Auf GitHub ist github.com/rockchip-linux/mpp [2] unter Verweis auf die DMCA-Beschwerde gesperrt.
Die Entwickler werfen Rockchip vor [3], in seiner Multimedia‑Middleware MPP LGPL-lizenzierten Code aus FFmpeg/libavcodec kopiert, Copyright-Hinweise widerrechtlich entfernt und den Code unter der nicht LGPL-kompatiblen Apache-2.0-Lizenz neu veröffentlicht zu haben. FFmpeg-Entwickler hätten Rockchip bereits seit längerer Zeit auf das Problem hingewiesen und die DMCA-Beschwerde aufgrund ausbleibender Reaktion eingereicht, heißt es in dem Schreiben.
Das Open-Source-Projekt FFmpeg [4] entwickelt Programme, Bibliotheken und Codecs zur effizienten und teilweise hardwarebeschleunigten Verarbeitung von Multimediadaten. Die Software ist Teil nahezu jeder Linux-Distribution, auch von Rockchip Linux. Hier pflegt Rockchip, Hersteller von kostengünstigen ARM-SoCs für unter anderem für TV‑ und Streaming-Boxen, billigen Android-Tablets und Chromebooks, Single Board Computern und industriellen IoT-Systemen, eine auf seine Chips angepasste Linux-Version. Board‑Hersteller und OEMs nutzen Rockchip Linux als Basis für die Software ihrer Geräte. Auch Community‑Distributionen für Geräte mit Rockchip-SoCs wie Armbian und postmarketOS verwenden Code von Rockchip Linux. Der Quellcode von Rockchip Linux steht auf GitHub.
Wenn sich die Angelegenheit nicht lösen lässt, bekommen viele Hersteller von Linux- und Android-basierten Geräten mit Rockchip-SoCs ein Problem, da hier die FFmpeg-basierte Media Process Platform (MPP) für hardwarebeschleunigte Videowiedergabe sorgt. Sie müssten dann auf andere, leistungsschwächere Software zurückgreifen. Zudem riskieren sie, selbst wegen Copyright-Verletzung belangt zu werden, solange sie MPP auf ihren Geräten verwenden.
URL dieses Artikels:
https://www.heise.de/-11134450
Links in diesem Artikel:
[1] https://ffmpeg.org/
[2] https://github.com/rockchip-linux/mpp
[3] https://github.com/github/dmca/blob/master/2025/12/2025-12-18-ffmpeg.md
[4] https://www.heise.de/news/FFmpeg-8-0-integriert-Whisper-Lokale-Audio-Transkription-ohne-Cloud-10521966.html
[5] https://www.heise.de/ix
[6] mailto:odi@ix.de
Copyright © 2026 Heise Medien
(Bild: chainarong06/Shutterstock.com)
C# ist Programmiersprache des Jahres 2025 im umstrittenen Tiobe-Index. Ausschlaggebend ist der größte Popularitätszuwachs im Jahresvergleich.
Die IT-Beratungsfirma Tiobe hat C# im umstrittenen Tiobe-Index zur Programmiersprache des Jahres 2025 gekürt. Tiobe wertet monatlich die zwanzig im Web beliebtesten Programmiersprachen aus und vergibt die Auszeichnung jeweils im Januar für das Vorjahr. Entscheidend ist die Sprache mit den größten Zugewinnen im Jahresvergleich. Nach 2023 erhält C# den Titel damit bereits zum zweiten Mal innerhalb von drei Jahren.
Laut Tiobe verzeichnete C# 2025 den stärksten Anstieg in den Bewertungen. Die Betreiber führen das auf tiefgreifende Veränderungen der Sprache in den vergangenen Jahren zurück. C# habe früh neue Konzepte aufgegriffen und sich sowohl von der reinen Windows-Bindung gelöst als auch vom proprietären Microsoft-Produkt zu einer plattformübergreifenden Open-Source-Sprache entwickelt.
Im Markt für Unternehmenssoftware liefern sich Java und C# seit Jahren ein enges Rennen. Tiobe sieht bislang keinen klaren Sieger. Java sei weiterhin stark verbreitet, stehe aber wegen seines vergleichsweise umfangreichen Boilerplate-Codes und der Zugehörigkeit zu Oracle unter zunehmendem Druck.
(Bild: Tiobe [1])
Auch innerhalb der Top 10 gab es im Jahr 2025 Bewegung. C und C++ tauschten ihre Plätze. Während sich C++ laut Tiobe in den vergangenen Jahren stark verändert hat, finden einige größere Neuerungen wie das Modulsystem bislang nur begrenzt Eingang in die Praxis. C profitiert dagegen weiterhin von seiner Einfachheit und Geschwindigkeit, insbesondere im wachsenden Markt für kleine eingebettete Systeme. Rust erreichte mit Platz 13 zwar einen neuen Höchststand, konnte sich in diesem Umfeld aber noch nicht dauerhaft etablieren.
(Bild: Tiobe [2])
Zu den überraschenden Gewinnern zählt Perl. Die Sprache verbesserte sich deutlich von Platz 32 auf Platz 11 und kehrte damit in die Top 20 zurück. Ebenfalls wieder in den Top 10 vertreten ist R, getragen vom anhaltenden Wachstum in Data Science und statistischer Datenanalyse.
Auf der Verliererseite nennt Tiobe unter anderem Go, das 2025 dauerhaft aus den Top 10 herausfiel – Programmiersprache des Jahres 2016 [3]. Auch Ruby rutschte aus den Top 20 ab und dürfte nach Einschätzung der Index-Betreiber so schnell nicht zurückkehren.
Einen vorsichtigen Blick nach vorn wagt Tiobe ebenfalls. TypeScript könnte 2026 erstmals den Sprung in die Top 20 schaffen. Zudem sieht Tiobe Potenzial bei Zig, das sich 2025 von Platz 61 auf 42 vorarbeitete und damit näher an die Top 30 heranrückte.
Bei der Berechnung des Index möchten die Betreiber die Anzahl der Engineers, Kurse und Dienstanbieter bewerten, die eine Programmiersprache verwenden. Das trägt Tiobe über die Anfragen bei verschiedenen Internet-Suchmaschinen zusammen. Die Betreiber weisen selbst darauf hin, dass der Index eher zur Überprüfung der Aktualität von Programmierkenntnissen und zur strategischen Entscheidung bei der Auswahl von Programmiersprachen für neue Projekte zum Einsatz kommen sollte.
Weitere Informationen finden sich im Beitrag auf der offiziellen Tiobe-Website [4].
URL dieses Artikels:
https://www.heise.de/-11133806
Links in diesem Artikel:
[1] https://www.tiobe.com/tiobe-index/
[2] https://www.tiobe.com/tiobe-index/
[3] https://www.heise.de/news/Programmiersprachen-Ranking-TIOBE-sieht-Go-als-Sprache-des-Jahres-2016-3592401.html
[4] https://www.tiobe.com/tiobe-index/
[5] mailto:mdo@ix.de
Copyright © 2026 Heise Medien
Die Verbraucherzentrale Nordrhein-Westfalen hat eine Klage vor dem Bundesgerichtshof gewonnen, nach der sich bei Verzögerungen beim FTTH-Ausbau die Mindestlaufzeit von zwei Jahren nicht auf den Nutzungsbeginn verschiebt. Das gaben die Verbraucherexperten am 8. Januar 2026 bekannt .
Deutsche Giganet hatte den Beginn der Mindestvertragslaufzeit ab Freischaltung des Anschlusses in ihren AGB festgeschrieben. Dagegen klagte die Verbraucherzentrale vor dem Bundesgerichtshof (Aktenzeichen III ZR 8/25) und bekam Recht .
"Anbieter dürfen das Risiko von Verzögerungen beim Ausbau nicht weiterhin einfach auf die Verbraucher:innen abwälzen" , sagte Wolfgang Schuldzinski, Vorstand der Verbraucherzentrale Nordrhein-Westfalen.
Der Bau von Glasfaserleitungen kann von wenigen Wochen bis zu mehr als einem Jahr dauern. Beginne die Vertragslaufzeit erst mit der Freischaltung des Anschlusses, verlängert sich die tatsächliche Kundenbindung, da der Zeitraum des Ausbaus auf die Mindestvertragslaufzeit aufgeschlagen wird.
Deutsche Giganetz äußerte sich auf Anfragen von Golem zu dem Urteil nicht. Netzbetreiber argumentieren: Da die Kunden in der Zeit bis zur Aktivierung eines Anschlusses nichts bezahlen, werden sie durch diese Praxis des Beginns der Mindestvertragslaufzeit mit Aktivierung ihres Anschlusses nicht benachteiligt. Wenn Endkundenverträge nicht mehr Einnahmen garantierten, müsse über Baukostenzuschüsse oder Entgelterhöhungen gesprochen werden, hieß es aus der Branche.
"Verbraucher:innen, denen von Deutsche Giganetz oder anderen Anbietern die Kündigung ihres Glasfaservertrages zwei Jahre nach Vertragsschluss bislang widerrechtlich verwehrt worden ist, können sich jetzt erneut an diese wenden" , betonte Schuldzinski. "Einen entsprechenden Musterbrief stellen wir ab sofort auf unserer Homepage zur Verfügung."
Noch nicht einmal ein Jahr nach der Markteinführung bessert VW beim Antrieb seines elektrischen Transporters nach. Die Elektroversionen der Kleinbusse Transporter und Caravelle erhielten künftig eine größere Batterie mit einer nutzbaren Kapazität von 70 Kilowattstunden (kWh), teilte das Unternehmen am 8. Januar 2026 mit. Zudem steige die Ladegeschwindigkeit.
Der Mitteilung zufolge brauchen die Fahrzeuge jedoch weiterhin 30 Minuten, um einen Hub von 10 auf 80 Prozent zu laden. Zuvor waren sogar 40 Minuten erforderlich. Die maximale Ladeleistung beträgt 125 kW.
VW hatte die beiden Modelle im Februar 2025 erstmals an Kunden ausgeliefert . Damals lag die nutzbare Kapazität bei 64 kWh. Mit der neuen Batterie sollen Transporter und Caravelle jeweils 380 km weit nach dem Prüfzyklus WLTP kommen. Das entspricht einem Plus von 13 Prozent.
Die Fahrzeuge werden in drei Leistungsstufen angeboten: 100 kW (136 PS), 160 kW (218 PS) und 210 kW (286 PS). Von Anfang 2026 an ist der elektrische Transporter auf Wunsch auch mit einem Allradsystem erhältlich. Es kombiniert den Heckmotor mit einer zusätzlichen elektrischen Maschine an der Vorderachse.
Den elektrischen Transporter gibt es als Kombi sowie als Kasten- und Pritschenwagen. Der Einstiegspreis liegt je nach Version zwischen 59.369 und 62.760,60 Euro. Die elektrische Caravelle startet bei 66.080 Euro.
Die Mobilfunkbetreiber Vodafone Italia (Swisscom) und TIM wollen sich neue 5G-Netzkapazität in Italien teilen. Wie die Swisscom am 7. Januar 2026 erklärte , will man den Ausbau der 5G-Abdeckung für Gemeinden mit weniger als 35.000 Einwohnern vorantreiben und die Netze dann gegenseitig öffnen. Laut TIM handelt es sich um RAN Sharing.
Jeder Betreiber wird für den Netzausbau in zehn Regionen verantwortlich sein, so dass bis Ende 2028 ein Netz mit etwa 15.500 Standorten pro Betreiber entsteht. Das RAN (Funkzugangsnetz) wird dann gegenseitig geöffnet. Laut Swisscom lässt sich damit die 5G-Abdeckung in dünn besiedelten und unterversorgten Gebieten schneller ausweiten.
Swisscom-Sprecher Sepp Huber sagte Golem auf Anfrage: "Es ist kein National Roaming. Das gewählte Modell ist ein Multi-Operator Core Network. Die Kernnetze bleiben vollständig getrennt. Die Frequenzen werden nicht gepoolt, so dass jeder Betreiber seinen eigenen Teil des Spektrums nutzen wird."
Multi-Operator Core Network bedeutet, dass sich zwei oder mehr Anbieter eine Mobilfunk-Sendeanlage teilen. Über eine Antennenanlage werden mittels mehrerer Netzkennungen die Kunden der kooperierenden Anbieter bedient. Dabei geht es um aktives Sharing.
Eine ähnliche Vereinbarung hatten Deutsche Telekom und Vodafone im März 2022 für rund 2.000 graue Flecken geschlossen. Ein grauer Fleck ist eine Gegend, in dem die Bewohner von lediglich einem Mobilfunkanbieter versorgt werden. Verabredet wurde die Zusammenarbeit im Februar 2020 für 4.000 Antennenstandorte. Danach folgten Gespräche mit dem Bundeskartellamt und der Bundesnetzagentur. Bei dem deutschen Modell teilen Vodafone und Telekom aber auch ihre Mobilfunkspektren. Die Kooperation beschränkt sich allerdings auf LTE bei 800 MHz.
Die Vereinbarung in Italien ist noch vorläufig und muss vom Wirtschaftsministerium, der Wettbewerbsbehörde (AGCM) und der Kommunikationsbehörde (AGCom) des Landes erst genehmigt werden. Man erwartet eine gültige Vereinbarung aber bereits im zweiten Quartal 2026.
Swisscom hatte im März 2024 vereinbart, Vodafone Italia zu einem Preis von acht Milliarden Euro zu kaufen . Swisscom wird Vodafone Italia mit seinem italienischen Festnetzbereich Fastweb zu einem "konvergenten Anbieter" zusammenlegen.
(Bild: janews/Shutterstock.com)
Angreifer nutzen eine Schadcode-Lücke in HPE OneView aus. PowerPoint wird ausschließlich unter macOS attackiert.
Derzeit attackieren unbekannte Angreifer macOS-Systeme über eine siebzehn Jahre Sicherheitslücke in PowerPoint mit Schadcode. HPEs IT-Verwaltungssystem OneView ist derzeit ebenfalls mit Schadcode-Attacken konfrontiert. Admins sollten ihre Systeme dementsprechend umgehend über Sicherheitspatches absichern. In beiden Fällen ist unklar, in welchem Umfang und wie genau die Attacken ablaufen.
Vor den Angriffen warnt die US-Behörde Cyber & Infrastrutcture Security Agency (CISA) in einem aktuellen Beitrag [1]. In beiden Fällen gelangt nach einer erfolgreichen Attacke Schadcode auf Computer. Das führt in der Regel dazu, dass Angreifer die volle Kontrolle über Systeme erlangen.
Die Office-Lücke aus dem Jahr 2009 betrifft der Beschreibung der Schwachstelle (CVE-2009-0556 „hoch“) [2] PowerPoint 2000 SP3, 2002 SP3 sowie 2003 SP3 und PowerPoint in Microsoft Office 2004 für macOS. Um Angriffe einzuleiten, müssen Angreifer Opfern ein präpariertes PowerPoint-Dokument unterschieben. Öffnen Opfer die Datei, kommt es zu Speicherfehlern und im Anschluss zur Ausführung von Schadcode. Der alleinige Empfang so einer Datei, etwa via E-Mail, soll keine Attacken einleiten können. Opfer müssen also mitspielen.
In einem alten Beitrag von Microsoft findet man Informationen zur Lücke [3], aber der Beitrag mit Informationen zum Sicherheitsupdate ist mittlerweile nicht mehr online. Wer noch eine der veralteten und verwundbaren Versionen nutzt, sollte aus Sicherheitsgründen ein Upgrade durchführen oder auf eine Alternative umsteigen.
Die „kritische“ Lücke mit Höchstwertung (CVE-2025-37164, CVSS Score 10 von 10) in HPE OneView ist seit Dezember vergangenen Jahres bekannt [4]. Seitdem ist auch ein Hotfix verfügbar, der die Schwachstelle schließt. Weitere Informationen dazu hat der Softwareanbieter in einer Warnmeldung zusammengetragen [5].
URL dieses Artikels:
https://www.heise.de/-11132320
Links in diesem Artikel:
[1] https://www.cisa.gov/news-events/alerts/2026/01/07/cisa-adds-two-known-exploited-vulnerabilities-catalog
[2] https://nvd.nist.gov/vuln/detail/CVE-2009-0556
[3] https://learn.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-017
[4] https://www.heise.de/news/HPE-OneView-Kritische-Luecke-erlaubt-Codeschmuggel-aus-dem-Netz-11117707.html
[5] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04985en_us&docLocale=en_US
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Skorzewiak / Shutterstock.com)
Eine kritische Lücke im untgz-Tool der in vielen Betriebssystemen und Programmen enthaltenen zlib-Bibliothek ermöglicht Codeschmuggel.
In einem Werkzeug der Kompressionsbibliothek zlib, die in zahlreichen Programmen und Betriebssystemen enthalten ist, haben IT-Forscher eine kritische Sicherheitslücke entdeckt. Sie ermöglicht unter Umständen das Einschleusen und Ausführen von Schadcode. Ein Update zum Stopfen des Sicherheitslecks gibt es bislang noch nicht.
Auf der nur noch wenig aktiven Mailingliste Full Disclosure hat der IT-Forscher Ronald Edgerson [1] Informationen zur Sicherheitslücke gepostet. In der Funktion TGZfname() des untgz-Tools von zlib, das sich um die Dekompression von .tar.gz-Archiven (oder oftmals kurz .tgz) kümmert, kann ein Pufferüberlauf auftreten. Ursache ist das Kopieren von Nutzer-übergebenen Daten ohne Längenprüfung mit einem strcpy()-Aufruf auf einen globalen statischen Puffer von 1024 Byte Größe. Durch das Übergeben eines größeren Archivnamens erfolgt ein Schreibzugriff außerhalb der vorgesehenen Speichergrenzen, was zu Speicherverletzungen führt. Die Lücke hat nun den Schwachstelleneintrag CVE-2026-22184 [2] erhalten (CVSS4 9.3, Risiko „kritisch“).
Das untgz-Tool gehört zu Nutzer-beigesteuerten Werkzeugen (im contrib-Ordner des Projekts), die offiziell keinen Support erhalten. Sie sind jedoch auch nicht zwingend Bestandteil von ausgelieferten zlib-Paketen.
Edgerson führt aus, dass die Folgen unter anderem ein Absturz (Denial-of-Service, DoS), Speicherverletzungen von darauffolgenden globalen Objekten, nicht definiertes Verhalten oder sogar die Ausführung von eingeschleustem Code sein könnten. Jedoch gibt es dabei noch Abhängigkeiten vom verwendeten Compiler, der Prozessorarchitektur des Systems, verwendeten Build-Flags und dem Speicherlayout. Der verwundbare Code wird vor jedwedem Parsen oder Prüfungen des Archivs ausgeführt, wodurch sich die Lücke trivial allein durch Aufruf mit präpariertem Kommandozeilenparameter ausnutzen lasse. Da globaler Speicher betroffen sei, könnten die Speicherfehler über die Funktion hinaus wirksam werden und später das Programmverhalten beeinflussen.
Betroffen ist zlib bis einschließlich zur aktuellen Fassung 1.3.1.2, wie Vulncheck angibt [3], die den CVE-Schwachstelleneintrag erstellt und veröffentlicht haben. Aktualisierte Software steht derzeit noch nicht bereit. Im Github-Projekt von zlib [4] deutet zum Meldungszeitpunkt noch nichts auf Korrekturen im Quellcode hin. Ein Problembericht wurde jedoch [5] kürzlich eingereicht.
Im Herbst 2022 fiel die zlib-Bibliothek zuletzt durch eine kritische Sicherheitslücke auf. Auch dort konnten Angreifer den sicherheitsrelevanten Fehler missbrauchen, um Schadcode [6] einzuschleusen und auszuführen. Damals waren jedoch Aktualisierungen bereits zeitnah verfügbar.
Ergänzt, dass das untgz-Tool zu von Benutzern beigesteuerten Werkzeugen im contrib-Ordner gehören. Sie erhalten damit keinen Support, werden aber nicht unbedingt mit den zlib-Bilbliothek-Paketen ausgeliefert.
URL dieses Artikels:
https://www.heise.de/-11133774
Links in diesem Artikel:
[1] https://seclists.org/fulldisclosure/2026/Jan/3
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-22184
[3] https://www.vulncheck.com/advisories/zlib-untgz-global-buffer-overflow-in-tgzfname
[4] https://github.com/madler/zlib
[5] https://github.com/madler/zlib/issues/1142
[6] https://www.heise.de/news/Kritische-Luecke-in-zlib-Bibliothek-ermoeglicht-Codeschmuggel-7250044.html
[7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
Falls es überhaupt mal nötig ist, gelingt das Nachinstallieren fehlender Treiber in unserem Notfallsystem mit wenigen Mausklicks.
Jeder Windows-Computer ist ein individuelles Mosaik aus eingebauten und externen Hardwarekomponenten – uniform sind allenfalls Firmenflotten hunderter gleicher Geräte. Die Verbindung zwischen Hardware und Betriebssystem stellen Treiber her, das ist auch beim c’t-Notfall-Windows so. Ohne diese Treiber bleibt das Display schwarz, Mausklicks werden ignoriert und das Netzwerk funktioniert nicht. Jede Komponente braucht einen speziell angepassten Treiber, der sich von Modell zu Modell unterscheiden kann und dessen Details meist nur der jeweilige Hersteller kennt.
Im Idealfall braucht Sie das alles nicht zu kümmern. Denn damit unser Notfall-System auf möglichst vielen Computern funktioniert, egal ob Desktop-PC, Notebook oder Tablet, haben wir dafür gesorgt, dass es von Haus aus Treiber für besonders viele Geräte enthält. Das bedeutet aber nicht, dass Sie beim Bauen des Notfall-Sticks mit einer Terabyte-großen Softwaresammlung hantieren müssen. Viele der integrierten Treiber unterstützen mehrere Geräte. Das bedeutet zwar, dass sie nur selten den vollen Funktionsumfang eines Geräts ausreizen, doch ausgefeilte Stromspartechniken, Kino-Sound oder ultrahohe Display-Auflösungen sind belanglos, wenn es darum geht, Daten zu retten, Viren zu beseitigen oder Passwörter zurückzusetzen. Deshalb haben wir bei der Auswahl der Treiber wenig Wert auf für diesen Zweck entbehrliche Hardware wie Scanner, Webcams & Co. gelegt.
Als Ergebnis wird das Notfall-System auf vielen Computern auch ohne weitere Treiber seinen Zweck zu erfüllen. Doch was, wenn nicht? Für solche Ausnahmen liefert dieser Beitrag vier aufsteigend aufwendige Lösungswege.
URL dieses Artikels:
https://www.heise.de/-11090807
Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/c-t-Notfall-Windows-2026-11072902.html
[2] https://www.heise.de/ratgeber/c-t-Notfall-Windows-2026-Das-eigene-Notfallsystem-bauen-10813323.html
[3] https://www.heise.de/ratgeber/Probleme-loesen-mit-dem-c-t-Notfall-Windows-2026-11090788.html
[4] https://www.heise.de/ratgeber/Virensuche-mit-dem-c-t-Notfall-Windows-2026-11090802.html
[5] https://www.heise.de/ratgeber/Treiber-im-c-t-Notfall-Windows-2026-nachinstallieren-11090807.html
[6] https://www.heise.de/ratgeber/FAQ-Notfall-Windows-und-Secure-Boot-11096057.html
Copyright © 2026 Heise Medien
Netzteil in Steckdose: Große Auswahl.
(Bild: heise medien)
Neue iPhones ziehen bis zu 40 Watt aus dem Netzteil, sofern dieses das schafft. Da Apple kein Ladegerät mehr beilegt, braucht es Alternativen. Unser Test.
Beim Test der neuen iPhones hat sich gezeigt, dass diese viel Strom aufnehmen können. Bis auf 40 Watt steigt die Leistungsaufnahme, wenn man das Display ganz hell macht und alle CPU-Kerne belastet.
Anlass für uns, nach geeigneten Ladegeräten ab 33 Watt Ausschau zu halten. Sie sollten möglichst klein und leicht sein, damit man sie gut als Netzteil unterwegs nutzen kann – wofür eine USB-C-Buchse reicht. Zusammen kamen sechs Geräte ab 14 Euro. Natürlich lassen sich alle auch für ältere iPhones, iPads und sogar MacBooks sowie als Stromquelle für MagSafe oder Qi einsetzen.
Zunächst haben wir ausprobiert, wie viel Strom ein iPhone 17 Pro über die Zeit beim Laden aufnimmt. Dabei war es im Ruhezustand mit Display im abgedunkelten Always-On-Modus. Gemessen haben wir mit einem USB-C-Zwischenstecker. Kurze Zeit nach dem Booten des völlig entleerten Gerätes stieg die Leistungsaufnahme auf den Höchstwert von 26,8 Watt und fing nach 10 Minuten schon wieder an zu sinken, auf dann 23,8 Watt (siehe Diagramm unten).
URL dieses Artikels:
https://www.heise.de/-11126004
Copyright © 2026 Heise Medien
FreshRSS