Anmelden
(Bild: Balefire / Shutterstock.com)
Nordkoreanische Cyberkriminelle nehmen Entwickler mit Zugriff auf Blockchains ins Visier. Eine PowerShell-Backdoor scheint von KI programmiert.
Nordkoreanische Cyberkriminelle haben es auf Entwickler mit Blockchain-Zugriff abgesehen. Mit Phishing-Attacken wollen sie diese zur Ausführung von Malware verleiten. Dabei soll Künstliche Intelligenz [1] an der Programmierung der PowerShell-Backdoor mitgewirkt haben.
Das meldet das IT-Sicherheitsunternehmen Checkpoint in einer Analyse [2]. Die kriminelle Vereinigung „Konni“ soll aus Nordkorea stammen oder mit dem Land verbandelt sein. Die Angriffsziele haben die Täter jedoch über ihren sonst üblichen Tätigkeitsbereich hinaus ausgeweitet – ursprünglich konzentrierten sie sich auf Südkorea, nun aber auf die ganze Asien-Pazifik-Region, einschließlich Australien, Indien und Japan.
Sie nehmen dabei Entwickler und Programmier-Teams in den Blick, insbesondere solche, die Zugriff auf mit Blockchain zusammenhängende Ressourcen und Infrastruktur haben. Die Köder-Dokumente sehen aus wie legitime Projektmaterialien und umfassen technische Details wie Architektur, Technik-Stacks und Entwicklungszeitpläne. Daraus leitet Checkpoint ab, dass die Angreifer die Entwicklungsumgebungen unterwandern und dadurch Zugang zu sensiblen Krypto-Assets sowie Infrastruktur, API-Zugangsdaten, Zugänge zu Wallets und schließlich Krypto-Besitztümer ergattern wollen.
Es gibt der Analyse zufolge starke Hinweise darauf, dass die Kriminellen [3] sich von Künstlicher Intelligenz haben helfen lassen. Das PowerShell-Script mit der Backdoor weist demnach eine unüblich polierte Struktur auf. Sie fängt mit menschenlesbarer Dokumentation an, die die Script-Funktion erklärt: „This script ensures that only one instance of this UUID-based project runs at a time. It sends system info via HTTP GET every 13 minutes.“ Diese Ausführlichkeit der Dokumentation ist äußerst unüblich für PowerShell-Schadcode von APTs. Der Code ist zudem in klar definierte logische Sektionen eingeteilt, die jeweils eine spezifische Aufgabe erledigen, die eher modernen Konventionen der Softwareentwicklung entsprechen als spontaner Malware-Entwicklung.
Diese Indizien reichen noch nicht zur gesicherten KI-Zuordnung, jedoch soll ein Kommentar im Programmcode schließlich verräterisch sein: # <– your permanent project UUID. Diese Formulierung ist den IT-Forschern zufolge höchst charakteristisch für LLM-generierten Code, in dem das Modell den Menschen explizit anleitet, wie ein Platzhalterwert angepasst werden muss.
Im Artikel erklären die Checkpoint-Analysten noch detaillierter die Funktionen der Skripte und die Infektionsketten. Außerdem liefern sie eine Liste von Hinweisen auf eine Kompromittierung (Indicators of Compromise, IOCs).
URL dieses Artikels:
https://www.heise.de/-11154421
Links in diesem Artikel:
[1] https://www.heise.de/thema/Kuenstliche-Intelligenz
[2] https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/
[3] https://www.heise.de/thema/Cybercrime
[4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[5] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
Der KI-Inferenzbeschleuniger Maia 200 der Microsoft-Cloudsparte Azure soll mit 10 Pflops FP4-Rechenleistung Google TPU v7 und AWS Inferentia überholen.
Der Hyperscale-Clouddienstleister Microsoft Azure kündigt die zweite Generation seines hauseigenen KI-Rechenbeschleunigers an, den Maia 200. Er verarbeitet 10 Billiarden FP4-Werte pro Sekunde (10 PFlops), steuert 216 Gigabyte schnellen HBM3E-Speicher an und lässt sich mit 1,4 TByte/s mit anderen Maia-200-Knoten koppeln.
Mit diesen Eckdaten sowie unter 900 Watt Leistungsaufnahme soll Maia 200 die aktuellen KI-Beschleuniger von Google Cloud (TPU v7) [1] und Amazon AWS (Trainium 3) [2] übertreffen.
Bei einem KI-Beschleuniger, den Kunden nur in Form von Cloudinstanzen mieten können, ist aber vor allem der Preis dafür spannend; den verrät Azure zunächst nicht. Doch Maia 200 soll 30 Prozent mehr Performance pro Dollar liefern.
Maia-200-Instanzen stellt Microsoft zuerst in der Azure-Region US Central bereit, dann folgt US West 3 bei Phoenix/Arizona.
Um die Vorteile von Maia 200 zu illustrieren, veröffentlicht Microsoft die folgende Tabelle:
| KI-Beschleuniger Microsoft Azure Maia 200 im Vergleich | ||||
| Anbieter | Microsoft Azure | Microsoft Azure | Amazon AWS | Google Cloud |
| KI-Beschleuniger | Maia 200 | Maia 100 | Trainium 3 | TPU v7 |
| Rechenleistung BF16 | 1268 TFlops | 800 TFlops | 671 TFlops | 2307 TFlops |
| Rechenleistung FP8 | 5072 TFlops | k.A. | 2517 TFlops | 4614 TFlops |
| Rechenleistung FP4 | 10145 TFlops | k.A. | 2517 TFlops | – |
| TDP (geschätzt) | 880 W | 500 W | 700 W | 1000 W |
| RAM | 216 GByte HBM3E | 64 GByte HBM2E | 144 GByte HBM3E | 192 GByte HBM3E |
| RAM-Transferrate | 7 TByte/s | 1,8 TByte/s | 4,9 TByte/s | 7,4 TByte/s |
| Interconnect | 1,4 TByte/s | 0,6 TByte/s | 1,2 TByte/s | 0,6 TByte/s |
| Fertigungstechnik | TSMC N3P | TSMC N5 | TSMC N3P | TSMC N3P |
| Chipfläche | k.A. | 820 mm² | k.A. | k.A. |
| Angaben von Microsoft Azure, zu Maia 100: Microsoft Azure von der Hot Chips 2024 | ||||
Die zeigt, dass der Maia 200 vor allem beim Inferencing von großen KI-Modellen mit FP4-Gewichten sehr hohe Rechenleistung liefert. Dabei bleibt die Leistungsaufnahme moderat, wobei nicht ganz klar ist, ob sich diese nur auf den KI-Beschleuniger bezieht oder ob auch das High Bandwidth Memory (HBM3E) und die 28 Ethernetports mit je 400 Gbit/s eingerechnet sind.
Auch der Vergleich des ausdrücklich für Inferencing ausgelegten Maia 200 mit dem AWS Trainium 3 – der vor allem aufs Training zielt – wirkt ungenau. Die Daten des seit 2024 in Microsoft Azure buchbaren Maia 100 [3] haben wir ergänzt.
Nvidias aktueller GB200 (Grace Blackwell Superchip) schafft mit Sparsity bei FP4 bis zu 20.000 TFlops [4], besteht aber auch aus zwei KI-Chips und ist mit rund 1,2 kW Leistung spezifiziert.
Microsoft Azure betont, dass sich bis zu 6144 Maia 200 zusammenschalten lassen, um auch sehr große KI-Modelle zu verarbeiten. Das Microsoft Superintelligence Team nutze Maia 200 bereits, um synthetische Daten zu generieren sowie für Reinforcement Learning.
Ebenso wie Amazon und Google entwickelt Microsoft seine KI-Beschleuniger nicht komplett selbst. Branchenkenner gehen davon aus, dass Microsoft die Firma Marvell als Entwicklungspartner für Maia bezahlt. Marvell soll auch am AWS Trainium beteiligt gewesen sein, während Google für die TPU wohl Broadcom einspannt [5]. Der taiwanische Entwicklungsdienstleister Alchip soll ebenfalls bestimmte Chips für AWS entwickelt haben.
URL dieses Artikels:
https://www.heise.de/-11152444
Links in diesem Artikel:
[1] https://docs.cloud.google.com/tpu/docs/tpu7x?hl=de
[2] https://www.heise.de/news/Amazon-mit-neuem-KI-Beschleuniger-und-kuenftig-mit-Nvidia-Technologie-11100599.html
[3] https://www.heise.de/news/Microsoft-Cobalt-und-Maia-ARM-CPU-und-KI-Beschleuniger-fuer-die-Azure-Cloud-9529727.html
[4] https://www.heise.de/news/Nvidias-neue-KI-Chips-Blackwell-GB200-und-schnelles-NVLink-9658475.html
[5] https://www.heise.de/news/Bit-Rauschen-Nvidia-MediaTek-und-ARM-attackieren-x86-CPU-Markt-10249717.html
[6] https://www.heise.de/ct
[7] mailto:ciw@ct.de
Copyright © 2026 Heise Medien
(Bild: Titima Ongkantong/Shutterstock.com)
Die CISA warnt vor beobachteten Angriffen auf VMware vCenter, Zimbra, Vite Vitejs, Versa Concerto und Prettier.
Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf fünf Produkte. Die Schwachstellen sind offenbar bereits einige Zeit bekannt. Admins sollten unverzüglich Aktualisierungen vornehmen.
Etwa auf Vite Vitejs, Versa Concerto, Prettier und Zimbra konnten in freier Wildbahn Angriffe beobachtet werden, vor denen die CISA in einer Alarmmeldung [1] warnt. Vitejs erlaubt offenbar den Zugriff auf eigentlich blockierte Ressourcen und kann dadurch geschützte Informationen preisgeben (CVE-2025-31125 [2], CVSS 5.3, Risiko „mittel“). In Versa Concerto können Angreifer die Authentifizierung umgehen (CVE-2025-34026 [3], CVSS 9.2, Risiko „kritisch“). „eslint-config-prettier“ hat in einigen Versionen bösartigen Code für einen Lieferkettenangriff enthalten (CVE-2025-54313 [4], CVSS 7.5, Risiko „hoch“).
Angreifer attackieren demnach auch eine Sicherheitslücke in Zimbra. Es handelt sich um eine File-Inclusion-Lücke, bei der Angreifer aus dem Netz ohne Anmeldung sorgsam präparierte Anfragen an den API-Endpunkt „/h/rest“ richten und dadurch das Einbinden beliebiger Dateien aus dem Webroot-Verzeichnis erreichen können (CVE-2025-68645 [5], CVSS 8.8, Risiko „hoch“). Anfang Januar warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, dass in Deutschland viele hunderte Zimbra-Server frei zugänglich im Netz stehen [6] und teils noch für Sicherheitslücken anfällig sind.
Zudem wurden Attacken auf eine Root-Lücke in VMware vCenter Server [7] beobachtet (CVE-2024-37079 [8], CVSS 9.8, Risiko „kritisch“). Es handelt sich um einen Heap-basierten Pufferüberlauf, den Angreifer durch Senden sorgsam präparierter Netzwerkpakete auslösen und in der Folge Schadcode einschleusen und ausführen können.
Die Hersteller stopfen die Sicherheitslücken mit Sicherheitsupdates. IT-Verantwortliche sollten aufgrund der beobachteten Angriffe spätestens jetzt dafür sorgen, dass die Aktualisierungen auch angewendet werden.
URL dieses Artikels:
https://www.heise.de/-11154275
Links in diesem Artikel:
[1] https://www.cisa.gov/news-events/alerts/2026/01/22/cisa-adds-four-known-exploited-vulnerabilities-catalog
[2] https://www.cve.org/CVERecord?id=CVE-2025-31125
[3] https://www.cve.org/CVERecord?id=CVE-2025-34026
[4] https://www.cve.org/CVERecord?id=CVE-2025-54313
[5] https://nvd.nist.gov/vuln/detail/CVE-2025-68645
[6] https://www.heise.de/news/BSI-CERT-Bund-bemaengelt-viele-verwundbare-Zimbra-Server-11135422.html
[7] https://www.heise.de/news/Sicherheitsupdates-Root-Luecke-bedroht-VMware-vCenter-Server-9767493.html
[8] https://nvd.nist.gov/vuln/detail/cve-2024-37079
[9] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[10] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Trend Micro Zero Day Initiative)
Die Veranstalter schütten beim Pwn2Own Automotive 2026 1 Million US-Dollar Preisgeld aus. Die Teilnehmer entdeckten 76 Zero-Day-Sicherheitslücken.
Für Autohersteller wie Tesla war der diesjährige Pwn2Own-Automotive-Wettbewerb ein Debakel. Schließlich haben die teilnehmenden Teams zahlreiche Schwachstellen erfolgreich ausgenutzt und unter anderem „Doom“ auf einer Ladestation gezockt.
Bei Pwn2Own-Wettbewerben treffen Sicherheitsforscher auf Computer, Technik und Autos, um diese zu knacken. Klappt das, gibt es ein Preisgeld und im besten Fall liefern die betroffenen Hersteller zügig Sicherheitspatches aus. Nach dem Pwn2Own Automotive 2026 haben sie auf jeden Fall viel zu tun. Insgesamt haben die Teilnehmer 76 Zero-Day-Sicherheitslücken aufgedeckt. So bezeichnet man Software-Schwachstellen, für die es noch kein Sicherheitsupdate gibt. Ob mittlerweile Patches erschienen sind, ist bislang nicht bekannt.
Den Wettbewerb veranstaltet Trend Micros Zero Day Initiative. In ihrem Blog haben sie die Ergebnisse zusammengetragen [2].
Die Veranstalter geben an, insgesamt knapp über 1 Million US-Dollar Preisgeld ausgeschüttet zu haben. Auf Platz 1 in der Gesamtwertung hat es das Team Fuzzware.io geschafft. Das hat ihm 215.000 US-Dollar eingebracht. Dafür haben sie unter anderem die Ladestation ChargePoint Home Flex (CPH50-K) erfolgreich attackiert.
Bereits am ersten Tag des Wettbewerbs musste Teslas Infotainmentsystem dran glauben. Das Team Synacktiv hat zwei Sicherheitslücken miteinander kombiniert, um über eine USB-basierte Attacke einen Speicherfehler auszulösen. Ein derartiger Zustand ist oft die Basis für das Ausführen von Schadcode.
Mehrere Sicherheitsforscher haben sich die Ladestation Alpitronic HYC50 vorgenommen und am Ende lief darauf der Ego-Shooter „Doom“. Dafür gab es 20.000 US-Dollar. Aus Sicherheitsgründen gibt es zum jetzigen Zeitpunkt keine weiterführenden Details über die im Wettbewerb ausgenutzten Sicherheitslücken. Bleibt zu hoffen, dass die Auto- und Ladesäulenhersteller schnell reagieren und zeitnah Sicherheitspatches veröffentlichen.
URL dieses Artikels:
https://www.heise.de/-11153799
Links in diesem Artikel:
[1] https://www.zerodayinitiative.com/blog/2026/1/23/pwn2own-automotive-2026-day-three-results-and-the-master-of-pwn
[2] https://www.zerodayinitiative.com/blog/
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Sparkassen)
Die Sparkassen haben seit 2020 den Passwort-Manager S-Trust angeboten. Das Angebot rentiert sich nicht und endet daher in Kürze.
Der Passwort- und Dokumenten-Manager S-Trust der Sparkassen wird in Kürze Geschichte sein. Zum 31. März 2026 endet das Angebot. Es hat nicht die erhoffte Marktdurchdringung erreicht.
Das kündigen die Sparkassen jetzt auf der S-Trust [1]-Webseite an. Zu den Hintergründen findet man etwa bei der Sparkasse Hannover etwas mehr [2] Informationen: „Trotz aller gemeinsamen Anstrengungen konnte sich S-Trust in einem stark umkämpften Markt mit internationalen Wettbewerbern nicht dauerhaft durchsetzen. Ein wirtschaftlich tragfähiger Weiterbetrieb ist leider nicht möglich.“
Wer das Angebot nutzt, könne zum Anbieter der originalen Software wechseln – SecureSafe des schweizerischen Unternehmens DSwiss AG. „Nutzende können ihre Daten über eine von DSwiss bereitgestellte technische Transfermöglichkeit zu SecureSafe übertragen, sofern sie sich eigenständig für diesen Dienst entscheiden“, erklärt die Sparkasse. Dafür seien Nutzerinnen und Nutzer verantwortlich, das Angebot stehe ausschließlich bei DSwiss selbst zur Verfügung. Die Hannoveraner Sparkasse liefert in ihrer oben verlinkten Ankündigung die Anleitung zum Wechsel gleich mit.
Wer auf gänzlich andere Anbieter wechseln möchte, findet ebenfalls Hilfestellung dafür [3]. Das ist möglicherweise eine gute Idee: Bei der Prüfung von Passwort-Managern durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) [4] im Dezember vergangenen Jahres kam die IT-Sicherheitsbehörde zu dem Ergebnis, dass der Hersteller theoretisch auf die Daten zugreifen könne, da bei SecureSafe lediglich serverseitig ver- und entschlüsselt wird. Laut BSI muss man dem Hersteller daher vertrauen, dass die „kompensatorischen Maßnahmen“ effektiv derartige Zugriffe unterbinden. Hinter dem S-Trust Password Manager verbirgt sich die SecureSafe-App, lediglich mit Sparkassen-Logo versehen, sodass das auch beim Sparkassen-Abkömmling gilt.
Verknüpfungen mit dem elektronischen Postfach der Sparkassen müssen Nutzer auflösen und zuvor etwaige bei S-Trust gelagerte Dokumente ins Postfach zurückverschieben. Auch andere mit der Dokumentenverwaltung aufbewahrte Dokumente sollten Nutzerinnen und Nutzer woanders speichern, um den Zugriff nicht zu verlieren.
An S-Trust nehmen etwa 80 Prozent der Sparkassen teil. Darunter auch die großen wie Haspa oder die Berliner Sparkasse.
URL dieses Artikels:
https://www.heise.de/-11153815
Links in diesem Artikel:
[1] https://www.s-trust.de/
[2] https://www.sparkasse-hannover.de/de/home/privatkunden/banking-und-bezahlen/banking-service/s-trust.html
[3] https://www.s-trust.de/funktionen/passwort-manager.html#3-passwoerter-aus-s-trust-exportieren
[4] https://www.heise.de/news/BSI-prueft-Passwort-Manager-Einige-ermoeglichen-theoretisch-Herstellerzugriff-11108570.html
[5] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
Der Smart-Meter-Rollout lahmt, aber es gibt weitere Probleme: Häufig registrieren Netzbetreiber die Geräte nicht korrekt. Ausbaden müssen es die Kunden.
Der Smart-Meter-Rollout ist ein leidiges Thema. Obwohl der Startschuss für den Einbau der vernetzten Stromzähler [1] [1] im Jahr 2019 fiel, haben hunderte Stromnetzbetreiber noch kein einziges Exemplar bei ihren Kunden installiert. Vor allem kleine Betreiber, typischerweise Stadtwerke, haben damit auch die gesetzlichen Einbauziele zum Jahresende 2025 verfehlt. Die zuständige Aufsichtsbehörde, die Bundesnetzagentur, droht bereits mit Zwangsgeldern [2] [2].
Weniger bekannt ist: Für Kunden geht der Ärger häufig erst dann los, wenn das „intelligente Messsystem“ installiert ist. In vielen Fällen dauert es nach dem Einbau noch Monate, bis die von dem Gerät gesammelten Daten beim Stromanbieter ankommen und etwa für die Abrechnung dynamischer Tarife genutzt werden können. „Einige unserer Kunden warten bis zu drei Monate, bis die Daten zur Verfügung stehen“, sagt Konrad Schade, Chief Commercial Officer des Stromanbieters Rabot Energy, im Gespräch mit c’t. Verantwortlich dafür seien in erster Linie die Verteilnetzbetreiber und die umständlichen, staatlich vorgegebenen Kommunikationsprozesse in der Energiebranche.
Um die Kritik einordnen zu können, muss man das Zusammenspiel der Akteure im Strommarkt in Grundzügen verstehen: Die Netzbetreiber, etwa Stadtwerke, bauen in der Regel als sogenannte grundzuständige Messstellenbetreiber (gMsb) Smart Meter ein und betreiben sie. Sie nehmen dann zwei gesetzlich definierte Rollen gleichzeitig wahr. Es gibt aber auch „wettbewerbliche“ Messstellenbetreiber (wMsb), die bundesweit Smart Meter einbauen und betreiben. Viele Anbieter dynamischer Stromtarife wie Rabot Energy beauftragen wMsb mit der Installation von Smart Metern bei ihren Kunden. Andere Energieanbieter wie Octopus oder Enpal agieren selbst als wMsb.
URL dieses Artikels:
https://www.heise.de/-11139456
Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/Was-Smart-Meter-leisten-was-sie-kosten-und-wie-man-sie-bekommt-10304507.html
[2] https://www.heise.de/news/Smart-Meter-Rollout-Hunderte-Betreiber-verpassen-offenbar-gesetzliches-Ziel-11127877.html
[3] https://www.heise.de/hintergrund/Smart-Meter-Schnittstelle-fuer-lokalen-Datenabruf-10334463.html
[4] https://www.heise.de/ratgeber/Was-Smart-Meter-leisten-was-sie-kosten-und-wie-man-sie-bekommt-10304507.html
[5] https://www.heise.de/ratgeber/Smart-Meter-Alternativen-Zaehler-Lesekoepfe-Co-im-Ueberblick-10306611.html
[6] https://www.heise.de/hintergrund/Erfahrungsbericht-Ein-Jahr-dynamischer-Stromtarif-mit-Tibber-10241880.html
Copyright © 2026 Heise Medien
This is a release focussing on bug fixing, in particular regressions from the release 1.28.0.
Selected new features ✨:
Improved performance 🏎️:
Many bug fixes 🐛
This release has been made by @Alkarex, @Frenzie, @Inverle and newcomers @ciro-mota, @eveiscoull, @hackerman70000, @Hufschmidt, @johan456789, @martgnz, @mmeier86, @netsho, @neuhaus, @RobLoach, @rupakbajgain.
Full changelog:
FreshRSS transliterator_transliterate fallback (when the php-intl extension is unavailable) #8427lastUserModified database column also during mark-as-read action #8346session.cookie-lifetime #8446CURLOPT_ACCEPT_ENCODING #8376, simplepie#960, simplepie#962<template> element #8443.gitignore to ignore installed extensions #8372
(Bild: wk1003mike/Shutterstock.com)
Microsoft hinterlegt den Schlüssel der Festplattenverschlüsselung standardmäßig im Online-Account von Kunden. Dort ist er mit richterlichem Beschluss abrufbar.
Wer seine Festplatte oder SSD verschlüsselt, darf eigentlich davon ausgehen, dass nur er diese auch wieder entschlüsseln kann. Bei der Verschlüsselungstechnologie BitLocker von Microsoft scheint dies aber nicht unbedingt der Fall zu sein, weil das Unternehmen den Schlüssel in der Home-Edition von Windows automatisch im Online-Account des Nutzers abspeichert. Das schützt davor, den Schlüssel zu vergessen, gewährt aber auch Microsoft Zugriff darauf. Je nach Konfiguration betrifft dies auch Kunden der Enterprise- und Education-Varianten von Windows.
Laut dem Unternehmen erreichen Microsoft pro Jahr 20 Anfragen von Ermittlungsbehörden, die BitLocker-Schlüssel haben wollen. Einer Recherche [1] des US-Nachrichtenmagazins Forbes zufolge hat der Konzern aus Redmond im letzten Jahr Wiederherstellungsschlüssel an das FBI übergeben. Hierbei handelt es sich um die erste bekannte Herausgabe. Hintergrund sind strafrechtliche Ermittlungen zum Diebstahl von Geldern im Rahmen eines Covid-Arbeitslosenhilfeprogramms auf der Insel Guam.
Gegenüber Forbes sagte Microsoft-Sprecher Charles Chamberlayne: „Die Schlüsselwiederherstellung bietet zwar Komfort, birgt jedoch auch das Risiko eines unerwünschten Zugriffs. Microsoft ist daher der Ansicht, dass die Kunden am besten entscheiden können, wie sie ihre Schlüssel verwalten möchten.“ Ob Kunden wissen, dass sie sich diesem Risiko aussetzen, ist allerdings fraglich. Bedenkt man jedoch, dass Microsoft es in den letzten Jahren immer schwieriger machte [2], einen Windows-PC überhaupt noch ohne Online-Account nutzen zu können, so dürfte die Anzahl an im Online-Konto hinterlegter Wiederherstellungsschlüssel relativ hoch sein.
Jennifer Granick, Beraterin für Überwachung und Cybersicherheit bei der American Civil Liberties Union, wies Forbes gegenüber darauf hin, dass diese Daten für viele Regierungen von hohem Interesse sein dürften. Dem Law Enforcement Request Report [3] nach, den Microsoft zweimal im Jahr veröffentlicht, erreichten den Konzern zwischen Juli und Dezember 2024 auch 5296 Anfragen aus Deutschland im Rahmen von Ermittlungen zu Straftaten. Insgesamt ging es dabei um 9835 Konten beziehungsweise Benutzer. Nicht jede Anfrage resultiert automatisch in einer Herausgabe von Daten.
Nutzer können den Schlüssel aus ihrem Online-Account löschen [4]. An dieser Stelle sei aber eindringlich darauf hingewiesen, dass die Verwaltung des Schlüssels ab diesem Moment vollständig in der Verantwortung des Anwenders liegt. Der Schlüssel sollte keinesfalls nur auf dem damit gesicherten Gerät hinterlegt werden. Denn wenn es einer Wiederherstellung bedarf, ist ein Zugriff auf die auf dem Gerät gespeicherten Daten nicht möglich. Als Speicherort bietet sich stattdessen beispielsweise ein Passwort-Manager auf einem anderen Gerät an. Nach dem aktiven Entfernen des Schlüssels aus dem Online-Account ist dieser theoretisch noch bis zu 30 Tage in Systemen von Microsoft [5] zu finden.
Wer lieber auf Open-Source-Tools wie Veracrypt [6] setzt oder die Verschlüsselung aus einem anderen Grund entfernen möchte, für den gibt es – je nach Windows-Version – zwei Wege, BitLocker zu deaktivieren. Der erste führt über die klassische Systemsteuerung [7]. Diese erreicht man beispielsweise über das Suchfeld des Startmenüs. Danach müssen die Punkte „System und Sicherheit“ sowie „Geräteverschlüsselung“ aufgerufen werden. Im Abschnitt „Betriebssystemlaufwerk“ sollte sich nun neben „Windows (C:)“ der Knopf „BitLocker deaktivieren“ finden.
Ist dies nicht der Fall, so lässt sich BitLocker auch über das moderne Einstellungsmenü deaktivieren. Dieses lässt sich ebenfalls wieder über das Suchfeld unter „Einstellungen“ im Startmenü aufrufen. Dort wählt man „Datenschutz und Sicherheit“ und dann „Geräteverschlüsselung“ aus. Im folgenden Fenster findet sich dann der gleichnamige Eintrag mit einem Kontrollkästchen daneben. Ein Abschalten ohne alternative Absicherung ist aber nicht zu empfehlen. Die Daten sind dann, zum Beispiel im Falle eines Verlustes oder Diebstahls des Geräts, sehr leicht zugänglich.
URL dieses Artikels:
https://www.heise.de/-11152988
Links in diesem Artikel:
[1] https://www.forbes.com/sites/thomasbrewster/2026/01/22/microsoft-gave-fbi-keys-to-unlock-bitlocker-encrypted-data/
[2] https://www.heise.de/news/Microsoft-schliesst-bekannte-Luecke-bei-Windows-Installation-ohne-Microsoft-Konto-10333699.html
[3] https://www.microsoft.com/en-us/corporate-responsibility/reports/government-requests/customer-data
[4] https://account.microsoft.com/devices/recoverykey
[5] https://learn.microsoft.com/en-us/compliance/assurance/assurance-data-retention-deletion-and-destruction-overview
[6] https://veracrypt.io/en/Home.html
[7] https://www.heise.de/tipps-tricks/BitLocker-in-Windows-11-deaktivieren-so-geht-s-10399179.html
[8] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[9] mailto:nie@heise.de
Copyright © 2026 Heise Medien
Der HaLowLink 2 von GL.iNet besitzt eine externe Antenne für Wi-Fi HaLow. Die zwei Antennen des Wi-Fi-4-Access-Points sind intern.
(Bild: GL.iNet)
Der HaLowLink 2 von GL.iNet nutzt ein Chipset von Morse Micro, das zwischen 750 und 950 MHz arbeiten kann. In Europa gibt es jedoch erhebliche Einschränkungen.
Der chinesische Routerhersteller GL.iNet bietet neue Router für den weit reichenden WLAN-Standard IEEE 802.11ah alias „Wi-Fi HaLow“ an. Wi-Fi HaLow nutzt Funkfrequenzen unterhalb von 1 GHz, in Europa im Bereich zwischen 863 und 870 MHz, und hat dadurch wesentlich geringere Wegstreckendämpfung als WLANs bei 2,4, 5 oder 6 GHz.
Der HaLowLink 2 geannte Router nutzt das HaLow-Chipset MM8108 von Morse Micro, das bis zu 43,3 Mbit/s Nettodatenrate erreichen soll und zwischen 750 und 950 MHz arbeiten kann. Übertragungen verschlüsselt es mit WPA3. Das Modem unterstützt die Kanalbreiten 1, 2, 4 und 8 MHz und funkt mit bis zu 26 dBm (400 mW) Sendeleistung. MIMO kann es nicht, die per SMA herausgeführte Antenne ist die einzige.
Der HaLowLink 2 hat sowohl einen Access-Point- als auch einen Station-Modus, sodass zwei Geräte größere Distanzen via HaLow überbrücken können oder eine einzelne Basis HaLow-fähige Endgeräte ans Netzwerk anbindet. GL.iNet gibt eine Reichweite von bis zu einem Kilometer an.
Als System-on-Chip nutzt GL.iNet den altbekannten Mediatek MT7621 (2 x 880 MHz MIPS1004K) mit 256 MByte DDR3-RAM und 32 MByte NAND-Flash. Dieser kommandiert nicht nur das HaLow-Modem, er bringt auch zwei Gigabit-Ethernet-Ports sowie Wi-Fi 4 (IEEE 802.11n, 2,4 GHz, 2 MIMO-Streams) mit. Der Router kann also ohne weitere Hardware eine Netzwerkverbindung per HaLow empfangen und am Installationsort per Netzwerkkabel oder WLAN auf 2,4 GHz an nicht-HaLow-fähige Geräte weitergeben. Die Spannungsversorgung des Routers läuft über USB-C mit 5 Volt.
Der HaLowLink 2 ist ab sofort im GL.iNet-Shop für 126 Euro einzeln oder für 217 Euro als Paar erhältlich. Oben drauf kommen aber laut Website zusätzlich Zoll und Einfuhrumsatzsteuer, sodass das Set am Ende mit etwa 260 Euro zu Buche schlägt.
Dass das Set bei diesem Preis europäische Kunden locken kann, ist indes fraglich, denn der Bereich zwischen 863 und 870 MHz ist nur sehr eingeschränkt für schnelle, kontinuerliche Datenübertragungen tauglich. Datennetze dürfen nur in fünf Blöcken á 1 MHz Kanalbreite arbeiten und das Signal darf nicht über mehrere Kanäle ausgebreitet werden. Die Sendeleistung ist auf 14 dBm (25 mW) beschränkt.
Hinzu kommt eine stündlich bemessene Tastgradbeschränkung von 10% (360 Sekunden) für Access Points und 2,8 % für Clients (100,8 Sekunden). Nach dieser Sendezeit darf das Gerät für den Rest der Stunde nicht mehr senden. Bei 1 MHz Kanalbreite ergibt sich selbst bei bestem Empfang (4,4 Mbit/s) und ohne Störungen ein stündliches Datenvolumen von lediglich 55 MByte für Clients und etwa 200 MByte für den Access Point. Da Protokoll-Overheads, Wegstreckendämpfung und Mitnutzer des Frequenzbands Datenrate kosten, darf man in der Praxis mit der Hälfte rechnen.
Somit eignet sich das HaLowLink 2 auf dem europäischen Kontinent eher für speziellere, sehr schmalbandige Anwendungen wie Sensorik, Smart-Home-Aktoren oder gering auflösende IP-Kameras, die nur bei Bedarf einen Videostream senden.
Wer indes in einem Land lebt, in dem das 900-Mhz-Band allgemein zugeteilt ist (USA, Kanada, Australien et cetera), kann das Modem auf 8 MHz voll ausschöpfen und schätzungsweise 10 bis 35 Mbit/s erreichen. Das reicht für eine breite Palette an Anwendungen.
URL dieses Artikels:
https://www.heise.de/-11152889
Links in diesem Artikel:
[1] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[2] mailto:amo@ct.de
Copyright © 2026 Heise Medien
In dieser Folge des c’t uplink gehts um den Funkstandard Wi-Fi 7, auch bekannt als 802.11be.
Der Funkstandard Wi-Fi 7 ist inzwischen breit verfügbar – zumindest Notebooks und Smartphones ab dem mittleren Preissegment sprechen den schnelleren Standard, der auch unter dem Namen 802.11be bekannt ist. Und auch bei Routern und Access Points steigt die Verbreitung langsam aber sicher an.
Doch warum genau ist Wi-Fi 7 eigentlich besser als der Vorgängerstandard 6E? Was bringt die Nutzung von 320 MHz breiten Kanälen? Was ist der Vorteil von MLMR? Und warum wird der 2,4-GHz-Band auf absehbare Zeit unersetzlich bleiben? Das und mehr besprechen wir in dieser Folge des c’t uplink.
Zu Gast im Studio: Ernst Ahlers, Andrijan Möcker
Host: Jan Schüßler
Produktion: Tobias Reimer
► Unsere Artikel zu Wi-Fi 7 [8] sind bei heise+ erschienen (€)
► sowie in c’t 25/2025 [9] (€).
In unserem WhatsApp-Kanal [10] sortieren Torsten und Jan aus der Chefredaktion das Geschehen in der IT-Welt, fassen das Wichtigste zusammen und werfen einen Blick auf das, was unsere Kollegen gerade so vorbereiten.
► c't Magazin [11]
► c't auf Mastodon [12]
► c't auf Instagram [13]
► c't auf Facebook [14]
► c't auf Bluesky [15]
► c’t auf Threads [16]
► c't auf Papier: überall, wo es Zeitschriften gibt!
URL dieses Artikels:
https://www.heise.de/-11150363
Links in diesem Artikel:
[1] https://ct.de/uplink
[2] https://www.youtube.com/@ct.uplink
[3] https://itunes.apple.com/de/podcast/ct-uplink/id835717958
[4] https://itunes.apple.com/de/podcast/ct-uplink-video/id927435923?mt=2
[5] https://ct-uplink.podigee.io/feed/mp3
[6] https://www.heise.de/ct/uplink/ctuplinkvideohd.rss
[7] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[8] https://www.heise.de/ratgeber/Wi-Fi-7-Schlauer-funken-mit-neuem-WLAN-10778893.html
[9] https://www.heise.de/select/ct/2025/25/2529307463040042356
[10] https://whatsapp.com/channel/0029VaCUFFEInlqYnQg2lb0h
[11] https://ct.de/
[12] https://social.heise.de/@ct_Magazin
[13] https://www.instagram.com/ct_magazin
[14] https://www.facebook.com/ctmagazin
[15] https://bsky.app/profile/ct.de
[16] https://www.threads.net/@ct_magazin
[17] https://www.heise.de/ct
[18] mailto:jss@ct.de
Copyright © 2026 Heise Medien
(Bild: tadamichi/Shutterstock.com)
Eine Studie zeigt: KIs können komplexe Zero-Day-Exploits erstellen. Die Folge: Die Suche nach Sicherheitslücken wird erfolgreich industrialisiert und skaliert.
Einer aktuellen Studie zufolge kann Künstliche Intelligenz bereits anspruchsvolle Aufgaben wie das Schreiben von Zero-Day-Exploits erledigen, die bisher von menschlichen Experten erledigt wurden. Das Papier sorgt in der Security-Community entsprechend für Aufsehen – und das auch verdient: Die Studie unterscheidet sich grundlegend von „Trust me, bro“-Berichten über irgendwelche chinesischen Angreifer, die unglaubliche Dinge tun sollen. Der Autor Sean Heelan dokumentiert genau, was er wie gemacht hat und warum. Dazu stellt er die dabei entwickelten Prompts und Tools als Open Source zur Verfügung. Schließlich diskutiert er im Rahmen seiner Analyse die Schlüsse, die er aus den Ergebnissen zieht, und auch deren Grenzen.
Die Kernaussage von Heelans Beitrag „On the Coming Industrialisation of Exploit Generation with LLMs“ [1] ist: Das Finden und konkrete Ausnutzen von Sicherheitslücken mit Exploits wird mit KI komplett industrialisiert. Der begrenzende Faktor für „die Fähigkeit eines Staates oder einer Gruppe, Exploits zu entwickeln, in Netzwerke einzudringen, [...] und in diesen Netzwerken zu bleiben“ wird nicht mehr die Anzahl der von ihnen beschäftigten Hacker sein. Die relevante Grenze ist der „token throughput over time“ – also letztlich, wie viel Geld man in KI-Ressourcen investiert. Und das ist keine ferne Zukunft, sondern offensichtlich bereits Realität. Der Autor der Studie konnte es in seinen Experimenten ganz konkret beobachten: „Als die Herausforderungen schwieriger wurden, konnte ich immer mehr Token ausgeben, um weiterhin Lösungen zu finden. Letztlich war mein Budget der begrenzende Faktor, nicht die Modelle.“
Heelan hatte einen Zero-Day-Bug in QuickJS gefunden (übrigens mit einer KI). QuickJS ist ein einfacher JavaScript-Interpreter mit diversen Einschränkungen, aber schon ein recht komplexes Stück Software. Dann baute er Agents auf Basis von Anthropics Opus 4.5 (Claude) und OpenAIs GPT-5.2 (ChatGPT), die die Aufgabe erhielten, eigenständig funktionierende Exploits für diesen Bug zu erstellen. Durch die Tatsache, dass die Lücke noch nirgends dokumentiert war, konnten die KI auch nicht irgendwo abschreiben und Heelan überprüfte das Ergebnis rigoros (und ertappte auch tatsächlich eine der KIs beim Versuch, zu cheaten).
Um das Ergebnis aussagekräftiger zu gestalten, fügte Heelan schrittweise zusätzliche Exploit-Mitigations wie eine Sandbox und Control Flow Integrity hinzu, die die Aufgabe schrittweise und teils drastisch erschwerten. Das Ziel war immer nachgewiesene Remote Code Execution – also etwa eine Verbindung zu einem externen Netzwerk-Port mit einer Shell mit den Rechten des ausführenden JS-Interpreters. Es handelte sich somit um reale und recht anspruchsvolle Aufgaben, für die man normalerweise mindestens einen versierten Security-Spezialisten benötigen würde – besser sogar ein Team. Die KIs bekamen keine Anleitung oder auch nur Hilfestellung, sondern lediglich eine Umgebung, in der sie nach möglichen Lösungen suchen, die evaluieren und dann verwerfen oder weiter verbessern konnten.
Und das Ergebnis war beeindruckend: ChatGPT löste tatsächlich alle Aufgaben; Claude schaffte es in allen Fällen bis auf zwei. Insgesamt erstellten die KIs 40 funktionierende Exploits. Dabei fanden sie keine bahnbrechenden Dinge heraus, sondern nutzten vielmehr bekannte Einschränkungen und Schwächen der jeweiligen Mitigations, um diese zu umgehen. Wie sie die im konkreten Fall ausnutzen konnten, erarbeiteten sie sich selbst. Und sie kamen dabei auf Tricks, die Sean bis dato nicht bekannt waren und die er auch nicht im Internet finden konnte.
Heelan demonstriert unter dokumentierten, verifizierbaren Rahmenbedingungen, dass und wie KIs die IT-Sicherheit unumkehrbar verändert: Man kann Angriffswerkzeuge für Tokens kaufen – und das skaliert unabhängig von der Ressource Mensch. In seinen Worten: „Du kannst Token gegen echte Ergebnisse eintauschen.“
Dass die Angriffsfähigkeit mit den Ressourcen des Angreifers skaliert, ist bereits bekannt. Nicht umsonst spielen staatlich finanzierte Advanced Persistent Threats in dieser Hinsicht in der höchsten Liga. Doch inzwischen ist nicht mehr von Millionen-Investments die Rede: Für das Lösen der anspruchsvollsten Aufgabe benötigte ChatGPT etwas mehr als drei Stunden; die Kosten für diesen Agenten-Lauf beliefen sich auf etwa 50 US-Dollar. Das ließe sich also leicht verzehn-, verhundert- oder gar vertausendfachen, ohne das Budget einer mittelgroßen Cybercrime-Bande zu sprengen. Damit skaliert das in einer Art und Weise, die bislang nicht für möglich gehalten wurde.
Es wäre somit erstmals realisierbar, mit einem überschaubaren Investment ein Arsenal von funktionierenden Zero-Day-Exploits für nahezu alle mit dem Internet verbundenen Geräte zu erstellen. Eine Verbindung mit dem Intervnet ist dann kein theoretisches Risiko mehr, das man managen kann. Es bedeutet vielmehr die Gewissheit, dass da draußen jemand direkt die Möglichkeit hat, Schwachstellen auszunutzen – und das im Zweifelsfall auch macht.
Für dieses Szenario müssen wir Security neu denken. Also nicht unbedingt neue Technik, wie wir IT sicher machen. Das wissen wir und die bekannten Methoden funktionieren auch gegen KI-unterstützte Angriffe. Die zentrale Herausforderung ist, wie wir diese Security in die Fläche bekommen, damit das Vorhandensein von Sicherheitslücken eine Ausnahme wird und nicht die Regel.
Was wir auf alle Fälle dringend benötigen, sind mehr Studien dieser Art und Qualität, die nicht nur unser Verständnis der Möglichkeiten von KIs verbessern, sondern weitere Forschung aktiv unterstützen. Insbesondere brauchen wir ähnlich konstruktive Ansätze, um die andere Seite der Medaille zu evaluieren – also wie man mit KI den Angreifern das Leben schwerer macht und den Verteidigern hilft. Und damit meine ich nicht noch knalligere Werbung für angebliche KI-Funktionen in Security-Tools oder mehr „vertraut uns – wir haben das im Griff“
URL dieses Artikels:
https://www.heise.de/-11151838
Links in diesem Artikel:
[1] https://sean.heelan.io/2026/01/18/on-the-coming-industrialisation-of-exploit-generation-with-llms/
[2] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:ju@heise.de
Copyright © 2026 Heise Medien
(Bild: AFANASEV IVAN/Shutterstock.com)
Die Softwareentwicklungsumgebung GitLab ist über mehrere Sicherheitslücken attackierbar.
GitLab ist über fünf Softwareschwachstellen angreifbar. Nach erfolgreichen Attacken kann es zu Abstürzen kommen oder Angreifer hebeln die Zwei-Faktor-Authentifizierung (2FA) aus.
In einer Warnmeldung versichern die Entwickler [1], dass auf GitLab.com bereits abgesicherte Ausgaben laufen. Admins, die die Softwareentwicklungsumgebung selbst hosten, müssen die reparierten Versionen Community Edition (CE) und Enterprise Edition (EE) 18.8.2, 18.7.2 oder 18.6.4 installieren.
Darin haben die Entwickler insgesamt fünf Sicherheitslücken geschlossen. Davon sind drei mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2025-13927, CVE-2025-13928, CVE-2026-0723). Über die ersten beiden Schwachstellen können Angreifer DoS-Zustände und somit Abstürze auslösen. Verfügt ein Angreifer über eine Credential ID eines Nutzers, kann er mit präparierten Anfragen die 2FA aushebeln.
Die GitLab-Entwickler raten zu einem zügigen Update.
URL dieses Artikels:
https://www.heise.de/-11151728
Links in diesem Artikel:
[1] https://about.gitlab.com/releases/2026/01/21/patch-release-gitlab-18-8-2-released/
[2] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:des@heise.de
Copyright © 2026 Heise Medien
Samsung Galaxy Watch 5 erhält aktuellen Sicherheitspatch.
(Bild: heise medien)
Samsung liefert ein Software-Update für die Wi-Fi-Variante der Galaxy Watch 5 aus. Es enthält den Sicherheitspatch von Januar 2026.
Anfang des Monates hatte Samsung Details zum Sicherheitspatch für Januar 2026 für seine Android- und Wear-OS-Geräte veröffentlicht und damit begonnen, es für seine Galaxy-Smartphones und -Tablets zu verteilen. Nun hat der Konzern damit angefangen, es auch allmählich auf die Galaxy Watches zu schieben, dabei ist überraschend die Galaxy Watch 5 zuerst an der Reihe.
Wie SamMobile schreibt [1], ist offenbar die Galaxy Watch 5 in der „Wi-Fi + Bluetooth“-Variante das erste Modell, das den Januarpatch erhält. Das Update ist 147,29 MByte groß und trägt die Firmware-Version R910XXU1DYL6.
Laut Samsungs Sicherheits-Informationen [2] behebt der Januar-Sicherheitspatch insgesamt 55 Sicherheitslücken. Neben den seitens Google behobenen Lücken, die wir schon in einer separaten Meldung zusammengefasst haben, [3] enthält der aktuelle „Security Maintenance Release“ (SMR) auch Patches von Samsung. Durch das neue Update werden sensible Nutzerdaten, wie Fitness- und Gesundheitsinformationen, besser vor potenziellen Angriffen geschützt.
Samsung macht darauf aufmerksam, dass einige Patches, die von Chipsatzherstellern bereitgestellt werden, möglicherweise nicht im Sicherheitsupdate-Paket des Monats enthalten sind. „Diese gerätespezifischen Patches“ würden dem Unternehmen zufolge erst in künftigen Sicherheitsupdate-Paketen nachgeliefert, sobald sie bereitstehen.
Um die neue Softwareversion auf der Galaxy Watch 5 [4] zu erhalten, muss man die Galaxy Wearable App öffnen und in die Uhreinstellungen navigieren. Hier öffnet man den Punkt „Uhren-Software-Update“ und tippt auf „Herunterladen und installieren“.
Neben der Galaxy Watch 5 wird Samsung den Patch nach und nach für die Watch 4, die neben anderen im Dezember [5] das große Update auf One UI 8 Watch [6] erhalten hat, und neuer verteilen. „Die Lieferzeit für Sicherheitspatches kann je nach Region und Modell variieren“, erklärt Samsung.
URL dieses Artikels:
https://www.heise.de/-11151567
Links in diesem Artikel:
[1] https://www.sammobile.com/news/galaxy-watch-5-january-2026-security-update-rolling-out/
[2] https://security.samsungmobile.com/securityUpdate.smsb
[3] https://www.heise.de/news/Patchday-Dolby-Digital-Sicherheitsluecke-in-Android-geschlossen-11130450.html
[4] https://www.heise.de/news/Galaxy-Watch-5-und-Galaxy-Buds-2-Pro-Neu-Smartwatches-und-In-Ears-von-Samsung-7205901.html
[5] https://www.heise.de/news/Samsung-liefert-One-UI-8-fuer-aeltere-Galaxy-Watches-11122233.html
[6] https://www.heise.de/news/One-UI-8-Watch-Samsung-kuendigt-neue-Funktionen-fuer-seine-Galaxy-Smartwatches-an-10449432.html
[7] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[8] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[9] mailto:afl@heise.de
Copyright © 2026 Heise Medien
Kinos mit Dolby Cinema liefern beeindruckende Bilder und super Klang. Kann das wirklich Zuschauer vom Sofa an die Kinokasse locken? Wir fragen in Hannover nach.
Zwei riesige Projektoren mit gleißend hellem Laserlicht, aufwendige Soundtechnik und bestens ausgerichtete Kinosessel versprechen ein beeindruckendes Kinoerlebnis im neuen Dolby-Cinema-Saal in Hannovers Astor-Kinopalast. Wir konnten uns den Saal während der Aufbauarbeiten ansehen und wenig später zur Eröffnung bei der Premierenvorstellung die Bild- und Tonqualität des neuen Kinos begutachten. Astor-Techniker Djamel Richi gab uns einen Einblick in die ausgefeilte Technik hinter Dolby Cinema.
Mit Kinobetreiber Tom Flebbe sprachen wir über die Beweggründe für die enorme Investition; die Umbaukosten lagen nach seinen Angaben im höheren sechsstelligen Bereich. „Wir müssen nach vorn schauen, wenn wir in Zeiten von Streaming bestehen wollen“, erklärt Tom Flebbe seinen Ansporn. „Mit Dolby Cinema bieten wir den Besuchern etwas, was sie zu Hause nicht haben.“ Seine Ziele seien Premium-Ambiente, Premium-Service und Premium-Kinotechnik. Dafür habe man den ursprünglichen Kinoraum ein halbes Jahr lang umgebaut, neu eingekleidet, mit Lautsprechern vollgepackt und mit einer leicht gebogenen CinemaScope-Leinwand und zwei riesigen Laser-Projektoren ausgestattet.
Dolby Cinema umfasst zahlreiche Qualitätsvorgaben für Bild- und Tonqualität. Dazu gehört unter anderem das Videoformat Dolby Vision (DV). Manche kennen es vom Streamen, am TV-Bildschirm erscheint kurzzeitig das zugehörige Logo oben rechts, wenn ein Film in diesem Format startet. Statische Formate für High Dynamic Range (HDR) wie HDR10 legen einmalig für jeden Film fest, wie das Display den Film wiedergeben soll. Bei Dolby Vision weisen mitgelieferte Metadaten das Display dagegen für jede Szene an, mit welchen Voreinstellungen es sie wiedergeben soll.
URL dieses Artikels:
https://www.heise.de/-11137688
Links in diesem Artikel:
[1] https://www.heise.de/tests/Dirac-ART-im-Test-Wie-aktive-Raumkorrektur-den-Klang-im-Heimkino-verbessert-10739468.html
[2] https://www.heise.de/hintergrund/Format-Analyse-So-unterscheidet-sich-Dolby-Atmos-Ton-fuer-Kino-Disc-und-Stream-10493188.html
[3] https://www.heise.de/hintergrund/Starke-Bilder-im-Kino-Die-Technik-des-Dolby-Cinema-11137688.html
[4] https://www.heise.de/hintergrund/Dolby-Vision-2-Mit-Metadaten-gegen-ruckelnde-Bilder-10636271.html
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
Copyright © 2026 Heise Medien
(Bild: Ole.CNX / Shutterstock.com)
Ein Sicherheitsupdate schließt eine kritische Schwachstelle in Zoom Node.
Zoom-Node-Server sind verwundbar, und Angreifer können Schadcode ausführen. Um die Kompromittierung von Systemen vorzubeugen, müssen Admins den verfügbaren Sicherheitspatch installieren.
Über Zoom Node hosten Admins für Unternehmen Zoom-Workloads wie Meetings und Videoanrufe. In einer Warnmeldung führen die Entwickler aus [1], dass die nun geschlossene Sicherheitslücke (CVE-2026-22844) mit dem Bedrohungsgrad „kritisch“ eingestuft ist.
Die Schwachstelle betrifft konkret die Komponente Multimedia Routers (MMRs). Damit eine Attacke gelingt, muss ein Angreifer Teilnehmer eines Meetings sein. Ist das gegeben, kann er auf einem nicht näher beschriebenen Weg Schadcode ausführen.
In der Warnmeldung gibt es keine Hinweise, dass Angreifer die Lücke bereits ausnutzen. Admins sollten mit dem Patchen aber nicht zu lange zögern und zeitnah eine der abgesicherten Versionen installieren. Alle vorigen Ausgaben sollen verwundbar sein.
URL dieses Artikels:
https://www.heise.de/-11151434
Links in diesem Artikel:
[1] https://www.zoom.com/en/trust/security-bulletin/zsb-26001/
[2] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:des@heise.de
Copyright © 2026 Heise Medien
Im c't-Datenschutz-Podcast erklärt Verwaltungsrichterin Kristin Benedikt, wie Datenschutz am Gericht eingehalten wird, und wo Probleme in der Praxis entstehen.
Datenschutz gilt überall, auch am Gericht. Doch wie genau setzen Richterinnen und Richter die Regeln um, wenn sie selbst täglich mit sensiblen Informationen arbeiten? Diese Frage steht im Mittelpunkt von Episode 151 des c't-Datenschutz-Podcasts. Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich sprechen dazu mit Kristin Benedikt. Sie ist Richterin an einem bayerischen Verwaltungsgericht, dort auch Datenschutzbeauftragte und Pressesprecherin. Zuvor leitete sie fünf Jahre lang den Bereich Internet beim Bayerischen Landesamt für Datenschutzaufsicht.
Benedikt erläutert zunächst die Grundlagen. Die DSGVO gilt für alle Gerichte, von Zivil- über Verwaltungs- bis zu Arbeitsgerichten. Nur die Strafjustiz unterliegt eigenen Regelungen. Als öffentliche Stellen stützen sich Gerichte auf die DSGVO-Rechtsgrundlagen der rechtlichen Verpflichtung und des öffentlichen Interesses. Das berechtigte Interesse, auf das sich Unternehmen oft berufen, steht ihnen nicht zur Verfügung.
Eine Besonderheit macht die Sache kompliziert: Richter genießen verfassungsrechtlich garantierte Unabhängigkeit. Deshalb gibt es für ihre Tätigkeit keine Datenschutzaufsicht. Die DSGVO schließt in Art. 55 ausdrücklich aus [1], dass Aufsichtsbehörden Gerichte bei ihrer richterlichen Arbeit kontrollieren. Bußgelder gegen Richter? Ausgeschlossen.
Das bedeutet allerdings nicht, dass Richter tun können, was sie wollen, betont Benedikt. Sie müssen den Grundsatz der Datenminimierung beachten und dürfen nur Informationen erheben, die für ihre Entscheidung relevant sind. In der Praxis entstehen dabei Spannungen: Verwaltungsrichter müssen von Amts wegen ermitteln, wissen aber oft erst im Laufe des Verfahrens, welche Informationen sie wirklich brauchen, erläutert Benedikt.
Ein praktisches Problem schildert sie aus ihrem Alltag. Behörden schicken häufig komplette Akten ans Gericht, ohne vorher zu prüfen, welche Informationen darin wirklich relevant sind. Das Gericht muss diese Unterlagen dann den Verfahrensbeteiligten zugänglich machen – auch wenn sie Daten unbeteiligter Dritter enthalten. Hier sieht die Richterin die behördlichen Datenschutzbeauftragten in der Pflicht, für mehr Sensibilität zu sorgen.
Betroffenenrechte gelten auch gegenüber Gerichten. Wer wissen will, welche Daten über ihn gespeichert sind, kann Auskunft verlangen. Allerdings gibt es Einschränkungen zum Schutz der Unabhängigkeit der Justiz und laufender Verfahren. Lösch- oder Berichtigungsansprüche laufen bei Gerichtsakten oft ins Leere – was einmal in einer Akte steht, lässt sich meist nicht einfach entfernen.
Zum Schluss geht es um den Einsatz von KI am Gericht. Einen „Robo-Richter“ lehnt Benedikt strikt ab. Entscheidungen müssen ihrer Ansicht nach von Menschen vorbereitet und getroffen werden. Sinnvoll sei KI aber bei unterstützenden Aufgaben, etwa beim Anonymisieren von Urteilen oder in der Gerichtsverwaltung. Auch bei Übersetzungen oder der Aufbereitung großer Textmengen sieht sie Chancen, solange die Verantwortung klar beim Menschen bleibt.
Bußgeld der Woche: 42 Mio. Euro gegen die französischen Telekommunikationsunternehmen Free Mobile und Free [2]
Episode 151:
Hier geht es zu allen bisherigen Folgen:
URL dieses Artikels:
https://www.heise.de/-11150700
Links in diesem Artikel:
[1] https://dsgvo-gesetz.de/art-55-dsgvo/
[2] https://www.cnil.fr/en/sanction-free-2026
[3] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[4] https://www.heise.de/thema/auslegungssache
[5] https://www.heise.de/ct
[6] mailto:hob@ct.de
Copyright © 2026 Heise Medien
(Bild: Photon photo/Shutterstock.com)
Dell schließt teilweise sechzehn Jahre alte Schwachstellen in Data Protection Advisor, über die Angreifer Systeme kompromittieren können.
Eigentlich soll Dells IT-Sicherheitslösung Data Protection Advisor Computer schützen, doch mit bestimmten Versionen ist genau das Gegenteil der Fall und Angreifer können an zahllosen Sicherheitslücken ansetzen.
Wie aus einer Warnmeldung hervorgeht [1], stuft der Computerhersteller die Auswirkungen von erfolgreichen Attacken insgesamt als „kritisch“ ein. Alle Schwachstellen betreffen Komponenten von Drittanbietern wie Apache Ant, libcurl und SQLite. Die Lücken sind zum Teil sechzehn Jahre alt. Warum die Entwickler die Schwachstellen erst jetzt schließen, ist bislang unklar. In der Warnmeldung sind 378 CVE-Einträge aufgelistet.
Darunter sind unter anderem Schadcodelücken in libcurl (CVE-2016-7167 „kritisch“) und Xstream (CVE-2021-39145 „hoch“). Aufgrund des Alters einiger Lücken liegt es nahe, dass einige der nun im Kontext von Data Protection Advisor geschlossenen Schwachstellen ausgenutzt werden. Dazu gibt es aber keinen Hinweis in Dells Warnmeldung.
Die Entwickler geben an, dass davon ausschließlich die Data-Protection-Advisor-Versionen 19.10 bis einschließlich 19.12 SP1 betroffen sind. Die Ausgabe 19.12 SP2 ist mit Sicherheitsupdates ausgerüstet.
Erst kürzlich hat Dell Sicherheitslücken in den Cloudspeicherlösungen ECS und ObjectScale geschlossen [2].
URL dieses Artikels:
https://www.heise.de/-11150421
Links in diesem Artikel:
[1] https://www.dell.com/support/kbdoc/de-de/000417034/dsa-2026-031-security-update-for-dell-data-protection-advisor-multiple-third-party-component-vulnerabilities
[2] https://www.heise.de/news/Dells-Cloudspeicherloesungen-ECS-und-ObjectScale-ueber-mehrere-Luecken-angreifbar-11147354.html
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Ole.CNX / Shutterstock.com)
LastPass warnt eindringlich vor einer derzeit laufenden Phishing-Welle. Die Drahtzieher wollen Zugriff auf die Passwort-Vaults.
Aktuell läuft eine Phishing-Welle, die es auf Nutzerinnen und Nutzer des Passwort-Managers LastPass abgesehen hat. Dem Anbieter zufolge begann der Betrugsmailsversand etwa am Montag dieser Woche.
Davor warnt LastPass in einem aktuellen Blog-Beitrag [1]. Die betrügerischen E-Mails stammen demnach von unterschiedlichen Absendern mit variierenden Betreffzeilen. Sie behaupten, dass LastPass eine Wartung vornehmen wolle, und drängen User, ein Backup ihrer Passwort-Vaults innerhalb der kommenden 24 Stunden vorzunehmen.
LastPass weist eindringlich darauf hin, dass das Unternehmen Kunden nicht darum bittet, Backups der Vaults in den nächsten 24 Stunden anzulegen. Es handele sich viel mehr um den Versuch bösartiger Akteure, eine Dringlichkeit beim Empfänger zu erzeugen, „eine übliche Vorgehensweise für Social Engineering und Phishing-E-Mails“, schreibt LastPass weiter. Der Zeitpunkt sei ebenfalls nach üblicher Taktik gewählt und falle auf ein Urlaubswochenende in den USA. Durch weniger arbeitende Menschen soll die Entdeckung der Phishing-Welle länger dauern.
Der Call-to-Action-Button der Mail suggeriert, dass er Opfer auf eine Webseite bringt, auf der sie ein Backup ihres Passwort-Vaults anlegen können. Tatsächlich landen diejenigen, die ihn anklicken, jedoch auf der URL „group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf“, die ihrerseits eine Weiterleitung auf die URL „mail-lastpass[.]com“ vornimmt.
„Niemand bei LastPass wird jemals nach deinem Master-Kennwort fragen“, erklärt LastPass weiter. Das Unternehmen arbeitet mit Partnern daran, diese Domains so rasch wie möglich Hops zu nehmen. LastPass-Kunden sollten aufmerksam bleiben und im Zweifel der Echtheit einer LastPass-Mail dieser besser an die E-Mail-Adresse abuse@lastpass.com senden und dort verifizieren lassen.
Einige Hinweise für Phishing hat LastPass ebenfalls zusammengetragen. Darunter fallen folgende E-Mail-Adresse, URLs und IPs:
Die Mails tragen Betreffzeilen wie
LastPass weckt des Öfteren Interesse von Cyberkriminellen. Etwa im September 2023 gab es Anzeichen dafür, dass Angreifer LastPass-Passworttresore kopiert und diese zu knacken [2] versucht haben. Anfang 2024 hat LastPass dann an verbesserter Sicherheit [3] gearbeitet, etwa mit einer Minimallänge von zwölf Zeichen für ein Masterkennwort und dessen Abgleich mit in Leaks bekanntgewordenen Passwörtern.
URL dieses Artikels:
https://www.heise.de/-11150415
Links in diesem Artikel:
[1] https://blog.lastpass.com/posts/new-phishing-campaign-targeting-lastpass-customers
[2] https://www.heise.de/news/Passwortmanager-LastPass-Hacker-scheinen-Kennworttresore-zu-knacken-9300583.html
[3] https://www.heise.de/news/Lastpass-Laengere-Masterpasswoerter-Dark-Web-Ueberpruefung-und-MFA-Neustart-9572468.html
[4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[5] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: VIVEK PAYGUDE/Shutterstock.com)
Admins müssen rasch aktiv werden. Cisco warnt vor Angriffsversuchen auf eine Sicherheitslücke in Unified-Communications-Produkten.
In mehreren Unified-Communications-Produkten von Cisco [1] klafft eine Sicherheitslücke, die Angreifern ohne Anmeldung das Einschleusen von Schadcode aus dem Netz und dessen Ausführung mit Root-Rechten ermöglicht. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden, da Cisco bereits Angriffsversuche aus dem Netz auf die Schwachstelle beobachtet hat.
Das teilt Cisco in einer Sicherheitsmeldung [2] mit. Die Schwachstelle resultiert aus einer unzureichenden Prüfung von Nutzer-übergebenen Daten in HTTP-Anfragen. Bösartige Akteure können die Lücke durch das Senden einer Sequenz von sorgsam präparierten HTTP-Anfragen an das webbasierte Management-Interface einer verwundbaren Appliance missbrauchen. „Eine erfolgreiche Attacke erlaubt den Angreifern, Zugriff auf Benutzerebene auf das Betriebssystem zu erlangen und dann die Berechtigungen auf ‚root‘ auszuweiten“, erklärt Cisco (CVE-2026-20045, CVSS 8.2, Risiko abweichend „kritisch“).
Cisco führt weiter aus, dass das Unternehmen das Risiko abweichend von der CVSS-Risikostufe „hoch“ als „kritisch“ einordnet. Als Grund nennt das Security Advisory, dass der Missbrauch der Lücke darin münden kann, dass Angreifer ihre Privilegien zu “root“ erweitern können.
Cisco hat bereits Angriffsversuche auf die Schwachstelle beobachtet. Betroffen sind Unified CM, Unified CM SME, Unified CM IM&P, Unity Connection sowie Webex Calling Dedicated Instance. Die Software-Versionen 15SU4 (für März 2026 angekündigt) sowie 14SU5 stopfen das Sicherheitsleck. Wer noch auf Stand 12.5 ist, muss auf die neueren Releases migrieren.
Cisco hat am Mittwoch noch drei weitere Sicherheitsmitteilungen veröffentlicht, um die sich Admins beizeiten kümmern sollten.
Zuletzt mussten IT-Verantwortliche mit Cisco-Produkten in der vergangenen Woche Sicherheitslücken mit Updates stopfen. In Ciscos Secure Email Gateway und Secure Email und Web Manager wurde bereits seit Dezember eine Sicherheitslücke angegriffen, die den Tätern Root-Rechte und damit die volle Kontrolle über Instanzen verschaffen konnte. Die Sicherheitsupdates hat Cisco am Freitag [6] herausgegeben.
URL dieses Artikels:
https://www.heise.de/-11149877
Links in diesem Artikel:
[1] https://www.heise.de/thema/Cisco
[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b
[3] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-intersight-privesc-p6tBm6jk
[4] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iec6400-Pem5uQ7v
[5] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ucce-pcce-xss-2JVyg3uD
[6] https://www.heise.de/news/Jetzt-patchen-Kritische-Cisco-Luecke-seit-Dezember-2025-ausgenutzt-11143359.html
[7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: OpenWrt / Banana Pi)
Der erste eigene Router OpenWrt One des OpenWrt-Projekts läuft nun auch mit Debian. Das macht ihn zum Allzweck-Linux-System.
OpenWrt One ist der erste eigene Router des OpenWrt-Projekts. Entstanden ist er in Zusammenarbeit mit Banana Pi und Mediatek. Natürlich läuft das Router-Betriebssystem OpenWrt mit einem U-Boot-Bootloader darauf. Nun aber hat Collabora, sonst insbesondere für Office-Software bekannt, die Linux-Distribution Debian auf das Gerät portiert.
OpenWrt One hat eine aufrüstbare Hardwarebasis [1], die auf dem ARM-Prozessor MT7981B von Mediatek, auch als Filogic 820 bekannt, mit zwei Cortex-A53-Kernen basiert. Dem steht ein WLAN-Modul MT7976C zur Seite, der Wi-Fi 6 beherrscht. An Speicher kommen 256 MByte Flash hinzu, zudem ein Recovery-Bootloader in einem mittels SPI angebundenen NOR-Flashspeicher mit 16 MByte. An einen SSD-Steckplatz für NVMe-SSDs mit 30 oder 42 mm Länge haben die Entwickler ebenfalls gedacht.
Laut Blog-Beitrag bei Collabora von Sjoerd Simons [2] ist der auch nötig, um das Debian-System auf den OpenWrt One zu bringen. „Mit OpenWrt-One-Debian kannst du nun ein vollständiges Debian-System mithilfe des NVMe-Speichers des OpenWrt One installieren und laufen lassen“, erklärt Simons. Er schwärmt weiter, das „ermöglicht alles von benutzerdefinierten Diensten und Containern bis hin zu Entwicklungstools und leichtgewichtigen Server-Workloads, alles auf offener Hardware.“
Auf Github hat Simons sein Projekt [3] als Open-Source bereitgestellt. Er hebt hervor, dass mit dem vollständigen Debian auf NVMe-SSD nicht nur ein eingeschränktes Embedded-System laufe. Dadurch lassen sich die bekannten Programme zur Paketverwaltung, die gewohnten Dienste und auch Entwicklungsprozesse nutzen. Als Zweck nennt er Experimentieren, Edge-Computing, Selbsthosten von Diensten oder Entwicklungseinsatz.
Als Voraussetzung zur Installation nennt Simons einen OpenWrt One, eine NVMe-SSD im Gerät, Zugang mittels serieller Konsole (über den vorderen USB-C-Port mit 115200 Baud) und einen USB-Stick für die Installation. Der jüngste Build lässt sich [4] über einen eigenen Link herunterladen und soll auf den USB-Stick mit FAT oder FAT32-Dateisystem verfrachtet werden. Die Installation soll in zwei Teilen ablaufen, wobei im ersten Schritt der U-Boot-Bootloader ersetzt und im zweiten dann damit das System vom USB-Stick auf die SSD geflasht wird. Die Projektseite auf Github geht detaillierter auf die nötigen Schritte ein. Falls Tester wieder zurück auf OpenWrt wechseln wollen, verweist Simons dafür auf die zugehörige Anleitung des OpenWrt-Projekts [5].
URL dieses Artikels:
https://www.heise.de/-11150708
Links in diesem Artikel:
[1] https://www.heise.de/news/OpenWrt-One-Open-Source-Router-fuer-100-Euro-9962260.html
[2] https://www.collabora.com/news-and-blog/news-and-events/openwrt-one-meets-debian.html
[3] https://github.com/sjoerdsimons/openwrt-one-debian
[4] https://github.com/sjoerdsimons/openwrt-one-debian/releases/tag/latest
[5] https://openwrt.org/toh/openwrt/one#boot_into_norfull_recovery_modeflash_nand_from_usb
[6] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
