Im Security-Podcast geht es um Festplattenverschlüsselungen, fragwürdige Matrix-Server, KI-Teststrings, Bluetooth-Lücken – und um das reichliche Hörer-Feedback.
Der Security-Podcast wird 50 Folgen alt (oder doch 51?). Die Hosts freuen sich, dass die Hörer und Hörerinnen weiter Freude an „Passwort“ haben, wie sich unter anderem am Feedback zeigt. Von dem gab es in letzter Zeit besonders viel, auf das Christopher und Sylvester gerne eingehen.
Anschließend geht es um die Nachricht, dass Microsoft BitLocker-Schlüssel an Strafverfolgungsbehörden herausgibt [1]. Das überrascht zwar die Hosts nicht sonderlich, aber viele Menschen sehen darin offenbar ein großes Risiko, das ihnen bislang nicht bewusst war. Eine gute Gelegenheit, im Podcast über BitLocker und seine Vor- und Nachteile zu reden, darüber, was Microsoft besser machen könnte, und darüber, ob die Konkurrenz es besser macht.
Danach erzählt Christopher von einem Post in Cloudflares Blog, der eigentlich demonstrieren sollte, was mit den „Workers“ des Unternehmens so alles machbar ist: angeblich ein voll funktionstüchtiger Server für das Chatprotokoll Matrix. Allerdings zeigte der Blogpost unbeabsichtigt vor allem, wie schnell man mit KI-Systemen zu einem großen Haufen Code kommt, über den man nicht mal mehr einen groben Überblick hat, und der viel von dem, was er tun soll, in Wahrheit nicht tut. Jenseits der Fehler des verantwortlichen Entwicklers wirft der Post [3] und sein „Update“ [4] vorrangig ein schlechtes Licht auf die Art und Weise, wie Cloudflare Öffentlichkeitsarbeit betreibt. Die Geschichte ist wahrlich keine Sternstunde des höchst Security-relevanten Unternehmens und lässt die Hosts etwas konsterniert zurück.
Im weiteren Verlauf der Folge erzählt Sylvester von einer Zeichenkette, die absichtlich Anthopics generative KI „Claude“ abbrechen lässt – und sich daher bestens eignet, um darauf aufbauende Software aus dem Tritt zu bringen. Christopher hingegen berichtet von WhisperPair [5], einer interessanten Sicherheitslücke in vielen Bluetooth-Geräten, die „Fast Pair“ unterstützen.
Mit vier Themen sind die Hosts freilich noch lange nicht am Ende. Aber um ihren treuen Hörern und Hörerinnen zum Folgen-Jubiläum eine kleine VerschnaufpauseÜberraschung zu bieten, haben sie den Rest in eine zusätzliche Bonusfolge ausgelagert, die in einer Woche erscheint.
Drei kritische Sicherheitslücken bedrohen SmarterTools E-Mail-Software SmarterMail. Ein Sicherheitsupdate ist verfügbar.
Derzeit haben es Angreifer auf SmarterMail-Instanzen abgesehen. Sind Attacken erfolgreich, erlangen sie als Admin die volle Kontrolle. Eine reparierte Version steht zum Download bereit.
Alle drei mittlerweile in SmarterMail 100.0.9511 geschlossenen Sicherheitslücken (CVE-2026-23760), CVE-2026-24423, CVE-2025-52691) sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Alle vorigen Ausgaben sollen verwundbar sein. Der US-Sicherheitsbehörde CISA zufolge nutzen Angreifer die ersten beiden Schwachstellen bereits aus.
Ernste Gefahren
Im ersten Fall ist die Passwort-Reset-API löchrig und es kommt zu Fehlern beim Zurücksetzen von Systemadministratorkonten. Weil in diesem Kontext unzureichend geprüft wird, kommen anonyme Anfragen durch und Angreifer erstellen ohne Authentifizierung Admin-Konten. Im Anschluss können sie als Root auf den Host zugreifen, was einer vollständigen Kompromittierung gleichkommt.
Im zweiten Fall können Angreifer Verbindungen zu einem unter ihrer Kontrolle befindlichen HTTP-Server erzwingen und darüber Schadcode servieren. Die dritte Lücke ist mit dem maximalen CVSS Score 10 von 10 eingestuft. An dieser Stelle können entfernte Angreifer ohne Anmeldung Schadcode hochladen und ausführen.
In welchem Umfang die Attacken derzeit ablaufen, ist nicht bekannt. Unklar ist zum jetzigen Zeitpunkt auch, woran Admins bereits erfolgreich attackierte Instanzen erkennen können. In den Release Notes zu SmarterMail-Versionen [1] finden sich nur äußerst knappe Hinweise auf die Sicherheitsprobleme.
Zumindest in einem Fall ist klar, dass Admins nach ihnen unbekannten Admin-Konten Ausschau halten und diese umgehend löschen müssen. Doch dann ist es wahrscheinlich schon zu spät, und Angreifer haben sich eine Hintertür eingerichtet. Dementsprechend müssen Admins Logdateien im Auge behalten und verdächtigen Netzwerkverkehr blockieren.
URL dieses Artikels: https://www.heise.de/-11163471
Links in diesem Artikel: [1] https://www.smartertools.com/smartermail/release-notes/current [2] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp [3] mailto:des@heise.de
Angreifer können auf Firebox-Firewalls von WatchGuard zugreifen. Reparierte Fireware-OS-Version stehen zum Download bereit.
Stimmen die Voraussetzungen, sind unbefugte Zugriffe auf verschiedene Firebox-Modelle von WatchGuard möglich. Admins sollten das verfügbare Sicherheitsupdate zeitnah installieren. Bislang gibt es keine Berichte, dass Angreifer Geräte über diesen Weg attackieren.
Instanzen vor möglichen Attacken schützen
In einer Warnmeldung führen die Entwickler aus [1], dass die Schwachstelle (CVE-2026-1498 „hoch“) Firewalls mit den Fireware-OS-Ausgaben 12.x, 12.5.x (Modelle T15 und T35) und 2025.1 bedroht. Der Beschreibung der Lücke zufolge können entfernte Angreifer ohne Authentifizierung an der LDAP-Authentifizierung ansetzen und auf eigentlich nicht einsehbare Informationen zugreifen. Verfügt ein Angreifer über eine gültige Passphrase eines legitimen Nutzers, kann er im Kontext einer Attacke als dieser Nutzer auf Instanzen zugreifen. Die Entwickler geben an, die Versionen 12.5.16, 12.11.7 und 2026.1 repariert zu haben.
USB ist überall. Aber das Smartphone lädt schon seit Stunden, die externe Festplatte ist lahm. Habe ich mal wieder ein schlechtes Kabel erwischt?
Update: Das Gerät verfügt über ein Batteriefach für eine AAA-Zelle oder kann per USB-C versorgt werden.
Wer bei sich zu Hause eine Schublade voller USB-Kabel hat – und wer hat das nicht – wird früher oder später auf das Problem stoßen: Sind es reine Ladekabel, können sie Daten und schnelles Video – oder liefern sie die versprochenen 240 Watt? Der Treedix-TRX5-0816-Kabeltester gibt Antworten auf diese Fragen.
Was auch immer eine Schlüsselinterface-Analyse ist... Die englische Menüführung ist aber ok.
(Bild: Treedix)
Der Tester (ca. 50 Euro etwa auf Amazon) prüft gängige Kabeltypen von USB-C, Lightning, Micro-USB (2.0/3.0) bis Mini-USB und zeigt auf einem 2,4‑Zoll‑Farbdisplay übersichtlich an, welche Pins belegt sind. Vorbei die Zeiten, in denen man eine blanke Platine bekam, kommt der Treedix in einem Gehäuse mit integriertem Batteriefach für eine AAA-Batterie oder Akku. Alternativ kann das Gerät auch per USB-C mit Strom versorgt werden.
Besonders interessant für Maker ist der integrierte eMarker‑Chip‑Reader: Er liest die im Kabel verbauten Chips aus und gibt Spannung, Strom, Datenrate und sogar eine geschätzte Kabellänge preis – Informationen, die sonst überhaupt nicht zugänglich sind. Die eingebaute Widerstandsmessung zeigt obendrein, ob ein Kabel qualitativ gut oder eher ein Wegwerfprodukt mit dünnen Stromleitern aus billigem Material ist.
Im Alltag überzeugt das Gerät durch schnelle Messungen und klare Anzeigen. Ganz perfekt ist es nicht: Dual-Channel-Erkennung bei Thunderbolt‑4‑Kabeln beherrscht der Tester aktuell bisher nicht. Treedix arbeitet laut eigener Aussage an einer Firmware-Aktualisierung, die das nachreichen soll – bis dahin eine kleine Einschränkung für wirklich schnelle TB4‑Kabel.
Geeignet ist der Tester nicht für das professionelle Labor – aber genau richtig für alle, die zu Hause, im Makerspace oder beim aktuellen Raspberry‑Pi‑Projekt endlich wissen wollen, was ein USB-Kabel tatsächlich leistet. Ein kleines, praktisches Werkzeug, das am Ende eine Menge Rätselraten spart.
URL dieses Artikels: https://www.heise.de/-11163487
Links in diesem Artikel: [1] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html [2] https://www.heise.de/make [3] mailto:caw@make-magazin.de
Apples Marge speist sich unter anderem aus sehr teuren RAM-Upgrades. Analysten fragen sich, welche Auswirkungen die aktuellen Preissteigerungen haben.
Apple galt bislang als immun gegen die RAM-Inflation: Dank längerfristiger Verträge und Großeinkäufen [1] sowie marktführend hoher Speicheraufpreise dachten viele Beobachter, dass der iPhone-Hersteller vergleichsweise einfach durch die Krise kommt. Das Problem: Je länger sie andauert, desto stärker wird auch der Konzern aus Cupertino tangiert. Teilweise kam es zu einer Vervierfachung der Preise bestimmter DRAM-Sorten [2] innerhalb weniger Monate. Analysen spekulieren nun darüber, wie Apple reagieren wird. Der Konzern denkt offenbar über eine Doppelstrategie nach.
Druck auf Komponentenlieferanten
Zunächst halten Beobachter wie der Bloomberg-Journalist Mark Gurman es für unwahrscheinlich, dass Apple die iPhone-Preise grundsätzlich erhöhen wird. Das heißt: Die Marge könnte schrumpfen. Das wird der Konzernführung unter CEO Tim Cook, der gerade erneut die höchsten Umsätze und Gewinne eines Weihnachtsquartals [3] verkünden durfte, nicht gefallen. Wie sehr die Margen zurückgehen, hängt davon ab, wie lange die Apple zur Verfügung stehenden Stückzahlen ausreichen – beziehungsweise von Altverträgen abgedeckt sind, die noch aus der Zeit vor der RAM-Inflation stammten.
Apple hatte zuletzt eine Bruttomarge über das Gesamtgeschäft von 48 bis 49 Prozent für das laufende Quartal vorhergesagt. Sollte RAM teurer werden, wird Apple parallel versuchen, die Kosten zu reduzieren. Zuletzt schrieb das taiwanische Elektronikfachblatt DigiTimes hierzu, dass Apple eine neuerliche Kostensparrunde eingeleitet [4] habe. Das heißt: In Bereichen, die nicht von der RAM-Inflation erfasst sind, müssen Lieferanten anderer Komponenten „ausgleichen“. Ob sie hier mitziehen, bleibt abzuwarten, doch Apple hat als großer (oder größter) Kunde viel Macht.
Pro-Modelle und Lieferkettenprobleme
Weiterhin scheint Apple an seinem Line-up zu schrauben. Dazu passen diverse Berichte, laut denen Apple in diesem Jahr im September nur Pro-Varianten und das erste Foldable [5] vorstellen wird. Das Standardmodell des iPhone 18 wird hingegen für Frühjahr 2027 erwartet, wenn die RAM-Situation womöglich wieder ganz anders aussieht.
Laut einem Bericht der japanischen Wirtschaftsagentur Nikkei [6] soll das dabei helfen, die Lieferkettenressourcen besser zu managen. Denn RAM ist nicht nur teuer – Apple drohen angesichts der massiven Nachfrage [7] seitens der KI-Unternehmen auch Lieferschwierigkeiten. So ist Apple etwa nicht mehr größter Kunde des Chipfertigers TSMC.
URL dieses Artikels: https://www.heise.de/-11162243
Wer die „Wo ist?“-App auf Sequoia-Macs nutzt, bekommt die AirTags 2 nicht angezeigt. Gleiches gilt für iPhones mit iOS 18.
macOS-User sind wechselresistenter als iPhone-Besitzer: Üblicherweise lassen sie sich vor dem Upgrade auf ein neues Betriebssystem mehr Zeit. Bei macOS 26 dürfte das noch häufiger der Fall sein als üblich, da Apples neues Liquid-Glass-Design [1] umstritten ist. Wer sich nun aber Apples frisch auf den Markt gekommene AirTags 2 [2] kauft, läuft damit in ein Problem: macOS 15 alias Sequoia erkennt die Bluetooth- und Ultra-Wideband-Tracker schlicht nicht. Gleiches gilt auch für iOS 18 und iPadOS 18.
Als wären sie nicht vorhanden
In der für das Auffinden der Geräte (und anderer Apple-Geräte) zuständigen „Wo ist?“-App [3] werden AirTags 2, die man etwa auf einem iPhone mit iOS 26 eingerichtet hat, weggelassen. Sie tauchen unter „Objekte“, wo sie üblicherweise angezeigt werden sollten, nicht auf, nur AirTags 1 werden aufgeführt. Es ist unklar, warum dies so ist – die Positionsdaten werden über den Apple-Account an den Rechner weitergeleitet, Apple hätte also technisch kaum ein Problem, diese Informationen weiterzureichen. Auch ein Update wurde für macOS 15 nicht verteilt, das die „Wo ist?“-App dafür hätte vorbereiten können. Entsprechende Aktualisierungen gab es nur für macOS 26 und watchOS 26 [4].
Möglich ist, dass Apple versucht, mit dieser Inkompatibilität mehr Nutzer zum Upgrade zu bewegen. Dies erinnert auch an bestimmte Funktionen neuer AirPods, die oft erst mit dem neuesten Betriebssystem kompatibel sind. Allerdings lassen sich diese zumindest mit dem Gerät verbinden und grundsätzlich nutzen, was bei den AirTags 2 mit einem Sequoia-Mac gar nicht funktioniert. Das Problem ist unterdessen auch bei iPhones mit iOS 18 und iPads mit iPadOS 18 [5] zu sehen: Hier lassen sich AirTags 2 nicht nur nicht hinzufügen, sondern sie werden ebenfalls nicht in der „Wo ist?“-App angezeigt. Auch hier fehlen sie einfach.
Aktuell kein Workaround
Nun könnte man denken, dass ein Ausweichen in den Browser eine Alternative ist. Schließlich kann man Geräte über iCloud.com/find [6] nach Login mit dem Apple-Account tracken. Allerdings hilft das nichts: Traditionell werden hier nur Macs, iPhones, iPads oder Kopfhörer angezeigt, nicht aber AirTags, obwohl auch das technisch wohl kein Problem wäre.
Um AirTags per Browser auffindbar zu machen, müsste man sie in den Verloren-Modus schicken, um die Positionsdaten dann beispielsweise mit einer Airline [7] zu teilen. Dafür gibt es jeweils passende Links, die aber austimen.
URL dieses Artikels: https://www.heise.de/-11161215
Big Sur, Catalina oder watchOS 6: Apple hat einer Reihe veralteter Systeme ein Update spendiert. Sie lösen ein bestimmtes Problem.
Wer noch immer (sehr) alte Apple-Geräte in Betrieb hat, wird sich in der Nacht zum Dienstag gewundert haben: Diesem Personenkreis wird unter Umständen erstmals seit Jahren wieder ein Betriebssystem-Update angeboten. Der Grund: Wichtige Zertifikate laufen ab, die zentrale Systemprozesse schützen beziehungsweise ermöglichen. Mit den Aktualisierungen werden diese erneuert, sonst ändert sich nichts.
Bis runter auf die Apple Watch Series 1
Ohne die Updates funktionieren unter anderem iMessage und FaceTime nicht, aber auch die generelle Aktivierung der Systeme bei einem Neuaufsetzen. Beim Mac bringt Apple macOS Big Sur auf Version 11.7.11, bei macOS Catalina (10.15.8) wird ein Security-Update 2026-001 nachgereicht, das allerdings neben den neuen Zertifikaten keine sicherheitsrelevanten Fehlerbehebungen enthält. Bei der Apple Watch gibt es watchOS 6.3.1, 9.6.4 und 10.6.2 zum Download. Damit bekommt selbst die Apple Watch Series 1 noch die passenden Zertifikate.
Schließlich hat Apple auch noch iOS 16.7.14 und iPadOS 16.7.14 veröffentlicht. Beide dienen dazu, dass iPhone X, iPhone 8 und iPhone 8 Plus weiterhin Notrufe in Australien absetzen können, das Update für die Altgeräte behebt einen technischen Fehler. Dieser sollte eigentlich bereits in iOS 16.7.13 behoben sein, doch dieses Update aus der vergangenen Woche sorgte nur für mehr Probleme, weshalb Apple es zurückgezogen hat. Was genau die iPad-Version bringt, blieb zunächst unklar.
Allerdings enthalten die alten Betriebssysteme allesamt zahlreiche ungepatchte Sicherheitslücken. Man sollte solche Geräte also, wenn möglich, nicht mit Internetverbindung betreiben, um Angriffe zu vermeiden. Apple pflegt stets nur das jüngste Betriebssystem mit allen behobenen Sicherheitslücken, die Vorgängerversion wird zwar mit Updates versorgt, erhält aber eben auch nicht alle Patches [2]. Noch ältere Systeme werden gar nicht mehr gepflegt.
URL dieses Artikels: https://www.heise.de/-11163524
Links in diesem Artikel: [1] https://www.heise.de/news/Update-fuer-iOS-und-watchOS-macht-Geraete-fuer-neue-AirTags-fit-11154918.html [2] https://www.heise.de/meinung/Kommentar-Apple-betreibt-bei-Updates-Scheinsicherheit-11097267.html [3] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html [4] https://www.heise.de/mac-and-i [5] mailto:bsc@heise.de
Der Epic Games Store baut seinen Launcher um und bietet weitere Gratis-Spiele. Store-Chef Steve Allison spricht außerdem über die Pläne auf Konsolen.
Das Ökosystem von Epic GamesBild:
Epic Games
Der Epic Games Store hat 2025 bei Drittanbieter-Spielen einen neuen Höchststand erreicht. Laut dem aktuellen Year in Review stieg der Umsatz mit Third-Party-Titeln um 57 Prozent auf rund 400 Millionen US-Dollar. Im Vorjahr hatte Epic hier noch rund 217 Millionen US-Dollar ausgewiesen.
Besonders bemerkenswert ist das Wachstum vor dem Hintergrund, dass immer mehr große Spiele ihre eigenen Bezahlsysteme im Store nutzen. Inzwischen entfallen rund 35 Prozent der Spielzeit bei Drittanbietern auf Titel, bei denen Epic keine In-App-Umsätze abrechnet.
Dazu zählen große Live-Service-Spiele wie Valorant, Marvel Rivals oder auch Sporttitel von Electronic Arts. Diese Einnahmen tauchen in der offiziellen Statistik nicht auf, bremsen also rechnerisch sogar das ausgewiesene Wachstum.
Trotzdem legte auch die Nutzung zu. Knapp 2,78 Milliarden Stunden verbrachten die Spieler 2025 in Third-Party-Games – ein Plus von vier Prozent. Insgesamt erreichte der Epic Games Store auf dem PC zeitweise 78 Millionen monatlich aktive Nutzer und verzeichnete wachsende Ausgaben über ein zunehmend breites Spieleangebot hinweg.
Ein zentraler Wachstumstreiber bleibt das Free-Games-Programm. Im vergangenen Jahr verschenkte Epic 100 teils hochkarätige Spiele wie Hogwarts Legacy oder The Callisto Protocol.
77 Prozent dieser Titel erreichten während der Gratiswoche neue Rekorde bei der Anzahl gleichzeitig aktiver Spieler. Gleichzeitig zeigte sich ein deutlicher Halo-Effekt auf anderen Plattformen: Auf Steam stiegen die Spielerzahlen der betroffenen Titel im Schnitt um rund 40 Prozent, solange die Spiele im Epic Games Store kostenlos verfügbar waren.
Epic Games versteht das Programm nach eigenen Angaben längst nicht mehr nur als Werbung für seinen Store, sondern als wichtiges Marketinginstrument, das Reichweite, Bindung und Aufmerksamkeit für Entwickler schafft.
Parallel investiert Epic massiv in die technische Basis und neue Vertriebsmodelle. Der Launcher auf dem PC wird derzeit komplett neu aufgebaut. Künftig sollen Ladezeiten deutlich sinken, der Ressourcenverbrauch reduziert und die Bedienung insgesamt spürbar schneller werden. Die Veröffentlichung der neuen Architektur ist für die kommenden Monate geplant.
Zudem will Epic die Reichweite von Fortnite stärker für den Store nutzen. Über spezielle Aktionen erhalten Käufer bestimmter Spiele kosmetische Inhalte in Fortnite, was in ersten Tests zu teils extremen Umsatzsteigerungen geführt haben soll. Dieses Programm soll 2026 deutlich ausgeweitet werden.
Hinzu kommen neue Social-Funktionen wie plattformübergreifender Text- und bald auch Voice-Chat sowie der weitere Ausbau des mobilen Epic Games Store. Auf iOS startet Epic in Japan und Brasilien, begleitet von neuen Self-Publishing-Tools, die den Katalog schneller wachsen lassen sollen.
Vor diesem Hintergrund sprach Golem mit Steve Allison, General Manager des Epic Games Store, über die Zahlen, die mobile Expansion und die langfristige Ausrichtung der Plattform.
Golem: Der Umsatz mit Drittanbieter-Spielen ist in einem Jahr um 57 Prozent gewachsen, das für die Branche insgesamt nicht besonders stark war. Was hat dieses Wachstum angetrieben?
Steve Allison: Ein wichtiger Faktor war Epic Rewards, das wir 2023 eingeführt haben und das inzwischen Wirkung zeigt. Wir haben außerdem mit zeitlich begrenzten Boosts experimentiert, bei denen Spieler besonders attraktive Rückvergütungen bekommen konnten.
Dazu kamen die ersten Tests mit Fortnite-Partnerschaften, die den Verkauf von Spielen im Store spürbar angeschoben haben. Und schließlich haben einige große Entwickler unsere Plattform stärker in ihr Marketing eingebunden und gezielt auf den Epic Games Store verwiesen – mit sehr guten Ergebnissen.
Golem: Der Epic Games Store ist inzwischen auch auf mobilen Plattformen verfügbar. Was waren die wichtigsten Lehren aus dem bisherigen Rollout?
Allison: Kurz gesagt: Es ist schwierig. Es gibt nach wie vor viele Hürden, vor allem in Europa. Aber Epic ist dafür bekannt, neue Wege zu gehen und sich durch diese Herausforderungen durchzuarbeiten.
Wir haben mittlerweile fast 50 Millionen Downloads der mobilen Apps erreicht und werden weiter stark investieren. In der ersten Jahreshälfte kommen Self-Publishing-Tools für Mobile, so dass wir nicht mehr alles kuratieren müssen. Das wird den Katalog deutlich schneller wachsen lassen.
Golem: Gibt es Unterschiede bei der Einführung in Japan und Brasilien im Vergleich zu Europa?
Allison: Wir folgen dem gleichen Playbook wie in Europa. Die Rahmenbedingungen und Konditionen sind je nach Region unterschiedlich, aber das Prinzip bleibt gleich. Wir gehen in den Markt, arbeiten eng mit Entwicklern zusammen und sorgen dafür, dass ihre Inhalte verfügbar werden.
Golem: Viele Spieler würden den Epic Games Store gern auch auf Konsolen sehen. Gibt es dazu konkrete Pläne?
Allison: Wir würden das sehr gerne – und Tim Sweeney übrigens auch. Wir wissen, dass es Teil der Vision von Xbox für die nächste Konsolengeneration ist, PC-Stores wie Steam oder den Epic Games Store auf der Konsole zuzulassen. Solange das der Fall ist, planen wir definitiv, dort präsent zu sein.
Golem: Die kostenlosen Spiele sind nach wie vor ein Markenzeichen des Stores. Wird sich an dem Programm etwas ändern?
Allison: Aus unserer Sicht ist das Programm im Grunde unser Marketingbudget. Der Einfluss auf die Nutzerbindung ist enorm – wir liegen im Schnitt bei über 72 Prozent Retention. Dazu kommt jede Woche redaktionelle Berichterstattung, die Sichtbarkeit und SEO-Effekte bringt. Ich sehe keinen Grund, daran in absehbarer Zeit etwas zu ändern.
Golem: Wie stehen Sie zu Spiele-Abos wie Game Pass?
Allison: Wir unterstützen Abos bereits – zum Beispiel EA Play, das wir technisch mit aufgebaut haben. Wir wären sehr froh, wenn Microsoft Game Pass für PC in den Epic Games Store bringen würde, und genauso offen sind wir für andere Abo-Modelle. Wir sprechen dazu regelmäßig mit den Anbietern.
Bild 1/1: Kennzahlen Epic Games Store (Grafik: Epic Games)
Golem: Die Hardwarepreise im PC-Bereich steigen, etwa bei Speicher oder Grafikkarten. Könnte das das Wachstum von PC-Plattformen bremsen?
Allison: Ich glaube nicht. Als wir gestartet sind, hatte Steam etwa sechs bis acht Millionen monatlich aktive Nutzer, heute sind es rund 140 Millionen. Wir selbst liegen inzwischen ebenfalls bei sechs bis acht Millionen im Schnitt. PC-Gaming wächst also sehr stark.
Es gibt zwar Veränderungen in der Branche, aktuell sehen wir eine Verschiebung hin zu PC und Mobile, vielleicht zulasten der Konsolen. Höhere Hardwarepreise könnten den Kauf neuer PCs etwas verlangsamen, aber den Konsum von Spielen sehe ich davon kurzfristig nicht betroffen.
Die GPUs sind seit Jahren sehr leistungsfähig. Teilweise stärker als die aktuellen Konsolen. Wie sich das mit der nächsten Konsolengeneration entwickelt, bleibt abzuwarten, aber insgesamt steht PC-Gaming aus meiner Sicht sehr gut da.
Der Heizlüfter von Dreo setzt auf leise Keramiktechnik, Thermostat und Sicherheitsfunktionen und fällt derzeit unter die 50-Euro-Marke.
Heizlüfter von Dreo für nur 46,74 EuroBild:
amazon.de/dreo
Wenn es um kompakte Heizgeräte geht, sind die Erwartungen meist klar: Es soll schnell warm werden, die Bedienung unkompliziert sein und das Ganze darf weder laut noch nervig wirken. Genau in diesem Spannungsfeld positioniert sich der Heizlüfter von Dreo. Laut Hersteller ist er nicht als brachiale Zusatzheizung gedacht, sondern als gezielt einsetzbares Gerät, das Wärme dort liefert, wo sie gebraucht wird, ohne großes Aufsehen.
Wärme, die nicht lange braucht
Im Inneren arbeitet ein Hyperamics-PTC-System mit 1.500 Watt Leistung. Das bedeutet vor allem eines: kurze Reaktionszeit. Unterstützt wird das durch ein neues Wärmetrichter-Design, das die warme Luft weiter und gleichmäßiger im Raum verteilen soll als bei klassischen Heizlüftern. Dreo spricht von einer bis zu 200 Prozent größeren Reichweite gegenüber klassischen Heizlüftern, bei denen sich die warme Luft weniger weit im Raum verteilt. Der Ansatz ist dabei eher funktional als spektakulär. Statt punktueller Hitze direkt vor dem Gerät soll sich die Wärme spürbar im Raum verteilen.
Heizlüfter haben nicht den besten Ruf, wenn es um Sicherheit geht. Dreo versucht, dieses Thema möglichst nüchtern zu lösen. Laut Hersteller kommt ein verbesserter Neigungssensor zum Einsatz, der das Gerät bei einem Umkippen zuverlässig abschaltet. Hinzu kommen flammhemmende Materialien nach V0-Standard sowie ein integrierter Überhitzungsschutz. Ergänzt wird das durch einen Sicherheitsstecker. Das Ergebnis ist ein Sicherheitskonzept, das im Hintergrund arbeitet und keine permanente Aufmerksamkeit einfordert.
Temperatur mit etwas Feingefühl
Statt einfacher Stufen setzt Dreo auf eine feinere Regelung. Der verbaute NTC-Chipsatz erlaubt laut Hersteller Temperatureinstellungen zwischen 5 und 35 Grad Celsius in Ein-Grad-Schritten. Das verändert die Nutzung spürbar. Der Heizlüfter läuft nicht dauerhaft auf hoher Leistung, sondern hält eine eingestellte Zieltemperatur möglichst konstant. Das wirkt kontrollierter und vermeidet unnötige Leistungsspitzen.
Ein Punkt, der bei Heizlüftern schnell unterschätzt wird, ist die Lautstärke. Dreo gibt hier lediglich 34 dB an. Möglich machen soll das ein bürstenloser Gleichstrommotor in Kombination mit einem Winglet-Lüfterdesign, das Luftverwirbelungen reduziert. Laut Hersteller entsteht so ein gleichmäßiger Luftstrom, der akustisch im Hintergrund bleibt und nicht dauerhaft präsent ist.
Zur Ausstattung gehören mehrere Heizmodi, darunter Leistungsbetrieb, ECO-Modus und ein reiner Ventilatorbetrieb. Ergänzt wird das durch einen 12-Stunden-Timer, eine Kindersicherung, eine Speicherfunktion sowie einen integrierten Tragegriff. Auch das überarbeitete Bedienfeld mit weißer Schrift auf schwarzem Hintergrund ist klar gestaltet und gut ablesbar. Die Stromversorgung erfolgt über AC 220 bis 240 Volt bei 50 Hertz.
Der Heizlüfter von Dreo ist bei Amazon momentan im Angebot für 46,74 Euro erhältlich. Er überzeugt außerdem nicht nur mit einer starken 4,6-von-5-Sterne-Bewertung, sondern ist auch der Bestseller unter den Elektroheizkörpern . Da es sich hier um ein befristetes Angebot handelt, sollte bei Interesse schnell gekauft werden.
Reklame
Dreo Energiesparender Heizlüfter, 34 dB Leiser 1500W Elektrischer PTC Keramik, Thermostat, Überhitzungs- & Kippschutz, 12 Std. Timer, Elektroheizung für Räume Schlafzimmer, Atom 316, Silber
Dieser Artikel enthält sogenannte Affiliate-Links. Wenn Sie die Produkte über diese Links kaufen, erhält Golem eine kleine Provision. Dies hat keinen Einfluss auf den Preis der Artikel.
Großes oder kleines Auto, mehr Sichtbarkeit: Garmin bringt eine neue Version seines Radar-Warners für Radfahrer.
Varia Rearvue 820 StVZO von GarminBild:
Garmin
Wer sich an Radar beim Radfahren gewöhnt hat, möchte das nicht mehr missen. Gerade auf Landstraßen mit viel Verkehr ohne extra Radspur fühlt es sich viel entspannter und sicherer an, wenn man früh und zuverlässig sieht, ob ein Auto folgt.
Garmin legt mit dem Varia Rearvue 820 StVZO nun eine neue Generation seines kombinieren Rücklicht- und Radarsystems vor, das nicht nur warnt, sondern noch mehr Übersicht und Sichtbarkeit verspricht.
Das Varia Rearvue 820 StVZO ergänzt das rückwärtige LED-Rücklicht mit einem Radarsystem, das herannahende Fahrzeuge bis zu 175 Meter entfernt erkennt und sowohl auf kompatiblen Edge-Fahrradcomputern als auch auf Garmin-Smartwatches oder in der Varia-App am Smartphone visuell anzeigt, wie nah und wie groß ein Auto ist.
Auch der Überholabstand wird grafisch dargestellt, was vor allem bei schnellen Autos und Lastwägen ein zusätzliches Sicherheitsgefühl vermitteln soll.
Garmin Varia Rearvue 820 StVZO: Verfügbarkeit und Preis
Gegenüber früheren Varia-Modellen ist die Sichtbarkeit des Rücklichts deutlich gesteigert worden: Garmin gibt bis zu 350 Meter Entfernung an, was sowohl bei Tageslicht als auch bei Dämmerung und Nacht für andere Verkehrsteilnehmer besser erkennbar sein soll.
Der integrierte Akku bietet laut Garmin mit aktiviertem Radar bis zu 16 Stunden Laufzeit, im reinen Radar-Modus sogar bis zu 30 Stunden, so dass auch längere Ausfahrten ohne Nachladen möglich sein sollten.
Ein weiterer Vorteil beim Rearvue 820 ist der nun verbaute USB-C-Anschluss zum Laden des Akkus – bei den bislang verfügbaren Geräten kam eine Micro-USB-Schnittstelle zum Einsatz.
Das System lässt sich an nahezu jeder Sattelstütze befestigen und bleibt dank STVZO-Zulassung auch in Deutschland im öffentlichen Straßenverkehr einsetzbar. Der Garmin Varia Rearvue 820 StVZO ist ab sofort für 300 Euro verfügbar.
SD-Karten können eigentlich nie zu schnell sein. Für die Switch 2 sind MicroSD-Karten nach dem schnellen Express-Standard sogar Pflicht.
Viele neue Standards setzen sich nur langsam durch – vor allem, wenn die damit ausgestatteten und anfangs teuren Gerätschaften keinen echten Vorteil bringen. Das galt auch für die hier getesteten MicroSD-Express-Karten, aber nur bis zum Sommer vergangenen Jahres.
Denn dann wandelte sich die Situation plötzlich: Nintendo stattete die zweite Version seiner Spielkonsole Switch nicht nur mit einem MicroSD-Express-Slot aus, sondern verhinderte auch das Speichern von Spielen auf älteren und langsameren Karten, die weiterhin in den standardisierten Slot hineinpassen.
So kamen in schneller Folge MicroSD-Express-Karten von vielen Herstellern auf den Markt. Sieben Exemplare haben wir für diesen Tests ausgewählt; Auswahlkriterien waren ein Preis von rund 100 Euro für eine 512 GByte große Karte und eine Verfügbarkeit bei mehr als nur einem Händler.
URL dieses Artikels: https://www.heise.de/-10512001
Links in diesem Artikel: [1] https://www.heise.de/tests/Im-Test-Speicherkartenleser-fuer-SD-MicroSD-Karten-mit-USB-A-und-C-Steckern-10511988.html [2] https://www.heise.de/news/Externe-SSDs-und-anderer-Flash-Speicher-c-t-uplink-10491828.html [3] https://www.heise.de/tests/Superschnelle-MicroSD-Speicherkarten-im-Test-10296346.html [4] https://www.heise.de/tests/Speicherkarten-und-Kartenleser-nach-CFexpress-Standard-4-0-im-Test-9854798.html
Die USA haben die Arktis zurück auf die geopolitische Landkarte gebracht. Warum Berlin keine passende Antwort findet. Eine Analyse.
US-Präsident Donald Trump wollte Grönland "einschließlich Recht, Besitztitel und Eigentum" in Beschlag nehmen [1]. Nur Tage später kam ein Nato-US-Deal. Dennoch bleibt die Zukunft des europäischen Überseegebietes auf "dünnem Eis" [2].
Berlin misslang [3]eine starke Antwort. Bundeskanzler Friedrich Merz bewahrte [4] ausgerechnet gegenüber dem im Augenblick unbeteiligten Moskau vermeintlich Haltung: Man werde den "Norden vor der Bedrohung durch Russland schützen".
Dabei gerieten die bundesdeutschen strategischen Arktis-Leitlinien in Vergessenheit. Sind Sie Schnee von gestern?
Kontextverschiebung
Der zentrale Bezugspunkt der 46-seitigen [5] deutschen Arktispolitik bildet nicht Washington, sondern Moskau.
Wenn auch das Titelbild keine Fregatte, sondern ein Forschungsschiff zierte, brachte die damalige Ampelregierung zum Ausdruck, dass die Arktis nicht mehr als regionale Ausnahmezone ("arktischer Exzeptionalismus [6]") betrachtet werden könne, sondern zunehmend von sicherheitspolitischen Spannungen geprägt ist.Die deutsche Arktispolitik wurde gemäß der zwei Jahre zuvor ausgerufenen Zeitenwende [7] an ihre neuen Bestimmungslinien angepasst.
Dennoch wollte das politische Berlin, dies geht aus den begleitenden parlamentarischen Meldungen der Leitlinien hervor, an "kooperativen" Lösungen für sich überschneidende Ansprüche festhalten [8], denn in der Region kollidieren diverse internationale Ansprüche diametral. Auch die Gefahr einer atomaren Eskalationsgefahr [9], die aus den Wirren des Kalten Krieges bekannt ist, wird einberechnet.
Dennoch sind zivile Muster erkennbar: Die drastische Beschleunigung des Klimawandels, durch die sich die Arktis etwa viermal schneller erwärmt als andere Regionen, stellt einen wesentlichen Auslöser dar, der sowohl ökologische als auch ökonomische Dynamiken antreibt.
Abseitig eines ökonomischen Rohstoff-Great-Game [10] wird die zentrale Menschheitsgefahr des Klimawandel als handelspolitische Chance und Umweltrisiko benannt.
Arktische Zeitenwende
Der Thinktank Stiftung Wissenschaft und Politik (SWP) analysierte [11], dass die neuen Leitlinien den geopolitischen Raum der Arktis höher gewichten und zudem ganzheitlich – politisch, militärisch, ökonomisch – aktiv in den Fokus nehmen.
Parallelen zur deutschen Nationalen Sicherheitsstrategie von 2023 [12] sowie zu anderen regionalstrategischen Dokumenten (Indo-Pazifik 2020, China-Strategie 2023) sind augenfällig. International dürfte zumindest zum damaligen Zeitpunkt die nationale Arktisstrategie der USA ein Anknüpfungspunkt gewesen sein.
Washington akzentuierte deutlich vor Berlin einen veränderten strategischen Ansatz. Zur Zeit der ausgehenden Administration von Joe Biden versuchte [13]man sich an einer Balance zwischen Zusammenarbeit und Sicherheitsinteressen, welche unter Donald Trump, jedoch auch bereits ab 2022, deutlich zugunsten Letztgenannten zurechtgestutzt wurde.
"Nato-light" in der Arktis
Insgesamt lassen sich sechs zentrale Kategorien identifizieren. Die damalige Bundesregierung wollte dabei helfen, Sicherheit und Stabilität (1) in der Region zu wahren. Entscheidend ist hierbei – als Kontinuität deutscher Außen- und Sicherheitspolitik seit dem Zweiten Weltkrieg – dass dies nicht als deutscher Sonderweg verstanden wird, sondern eng im Rahmen von Nato und EU geschehen sollte.
Im Zuge der als immer unzuverlässiger wahrgenommenen US-Präsenz verlagerte [14] die Bundesregierung – in enger Absprache mit Brüssel – ihren Fokus auf den ohnehin ab 2008 in der EU-Administration gestarteten Konfigurationsprozess arktischer Strategiebildung, ohne dass sich dies jedoch zuvor in den Leitlinien hätte niederschlagen können.
Die bundesdeutsche Arktispolitik dürfte sich zukünftig noch stärker als bisher in den Rahmen Brüsseler Strategien einfassen lassen. Bemerkenswert war – innerhalb der Januar-Scharaden, dass eine von den USA entkernte "Nato-light"-Truppe, bestehend aus deutschen, skandinavischen und französischen Einheiten, als Erkundungsmission in die Region entsandt wurde [15].
Diese im Kern aus EU-Soldaten zusammengewürfelte Erkundungs-Kavallierie firmierte jedoch unter dem Nato-Label. Dabei war augenfällig, dass der Nato-Rahmen – ohne den starken US-Partner, mehr Schein, als Sein war.
Regelbasierte Nebelkerze
Die Nibelungentreue zu den USA hat Gründe: Brüssel und Berlin sind auf Washington angewiesen.
Vor dem Hintergrund der Miniatur-Mission sprach [16] der italienische Verteidigungsminister Guido Crosetto von einem "Witz". Die rhetorische Ohrfeige eines Nato-Gründungsmitgliedes offenbart die gesamte Tragik deutsch-europäischer Arktisprojektionen: Während Berlin vollmundig eine rechtsnormierte Ordnung wie eine Monstrans vor sich herträgt, versagt insbesondere gegenüber dem vermeintlich befreundeten großen Bruder aus Washington die eigene Courage.
Was sind demnach die seitenlangen Ausführungen innerhalb der Leitlinien – arktisch-nordatlantische Allianz, Multilateralismus oder Selbstbestimmungsrecht der Ureinwohner – noch wert?
Insofern darf man dem kanadischen Premierminister Mark Carney durchaus einen Punkt geben [17]: Die regelbasierte Ordnung ist – für die Bewohner Grönlands – wohl das Papier nicht wert, auf dem sie verfasst wurde.
Jene Nebelbombe besaß schon vor Trump Kratzer, nun – mit einem EU-Mitglied und Nato-Partner als Bedrohungskulisse – im Kreuzfeuer stand die Ex-Kolonialmacht Dänemark, wird die unleugbare Realität, die spätestens mit Gaza in der südlichen Hemisphäre ins kollektive Bewusstsein einsickerte [18], auch im Westen vernommen.
Forschung als Schwerpunkt
Dutzende Seiten der Leitlinien sind dennoch den Bereichen Forschung und Wissenschaft (3), Klima- und Umweltschutz (4), Partizipation indigener Völker (5) sowie nachhaltiger Entwicklung (6) gewidmet.
Jene vier Ziele rangieren insofern gleichwertig neben Sicherheit und Recht. Keines der sechs dargestellten Primärziele der deutschen Arktisstrategie ist mit dem Gebaren der USA vereinbar, kaum eines mit der deutschen Politikgestaltung aus dem Januar in Einklang zu bringen.
Berlin besitzt mit den Leitlinien Argumente, schärfstens gegen die Politik Trumps zu protestieren, vergaß diese willentlich, als es darauf ankam. Die Bundesregierung trug mit der zahnlosen Entsendung eines kleinen Kontingents selbst zur fortschreitenden Militarisierung der Region bei.
Es erscheint, als seien die hehren Worte letztlich Beiwerk einer sich im weltpolitischen Block-Koordinatensystem verspekulierten politischen Klasse.
Was bleibt?
Die deutsche Politik steht vor einer Quadratur des Kreises: Gelingt es nicht, die imperialen Ansprüche Washingtons friedlich einzuhegen – wie zuletzt im Grönland-Deal zwischen Rutte und Trump –, kann das zentrale Ziel einer transatlantisch-arktischen Sicherheitsgemeinschaft, kaum mehr aufrechterhalten werden.
Es ist durchaus ironisch, dass der Totengräber der bisherigen arktischer Stragegie-Prämissen nicht im Kreml, sondern im Weißen Haus sitzen dürfte. Unter dem Primat der Sicherheit und angesichts der zu erwartenden Zunahme geopolitischer Rivalitäten – insbesondere mit dem Aufstieg Chinas – dürften die Verwirklichungskorridore für einen ernstgemeinten Kampf gegen den Klimawandel schwinden.
Die USA treiben ihre ureigene militärische Arktisstrategie unaufhörlich voran, Zugeständnisse sind maximal ausgereizt. Die Leitlinien von 2024 bedürfen einer grundlegenden Überarbeitung. Unter den aktuellen gesellschaftspolitisch-konservativen Vorzeichen birgt dies wenig Grund zur Freude.
Fraglich bleibt jedoch, ob der Sprung aus Washingtons Schatten eingeleitet wird, ob die regelbasierte Ordnung als zentrales ideologisches Dogma erhalten bleibt und ob umweltpolitische Akzentuierungen noch Eingang finden.
URL dieses Artikels: https://www.heise.de/-11163718
Wer Hausaufgaben von ChatGPT erledigen lässt, schneidet später schlechter ab – außer unter einer bestimmten Bedingung.
Viele Jugendliche greifen heute ganz selbstverständlich zu ChatGPT [1] oder anderen KI-Tools [2], wenn die Matheaufgaben zu schwer erscheinen oder der Aufsatz schnell fertig werden muss. Manche Lehrer berichten sogar, dass Schüler im Unterricht die KI-Hilfe in Anspruch nehmen, um die Aufgaben von Arbeitsblättern zu lösen.
Der Medienpädagogische Forschungsverbund Südwest geht in seiner JIM-Studie [3] davon aus, dass 62 Prozent der Schüler in Deutschland regelmäßig KI-Tools benutzen – meist für Hausaufgaben.
Bildungsexperten – nicht nur in Deutschland – zeigen sich über diesen Trend besorgt. Der Physiklehrer und Bildungsexperte Vincenzo Schettini aus Italien ist einer von ihnen. Was er in einem Interview erzählt, könnte genauso gut in Deutschland gewesen sein.
Eine Mutter erzählte ihm [4] demnach, ihr 14-jähriger Sohn habe ChatGPT benutzt, um einen Aufsatz über den Schriftsteller Alessandro Manzoni schreiben zu lassen – mit der besonderen Bitte an die KI, typische Fehler eines 14-Jährigen einzubauen.
Was Schettini dabei besonders beunruhigte: Die Mutter erzählte davon mit einer gewissen Leichtigkeit, als sei es keine große Sache. Doch für den Lehrer ist genau das der Kern des Problems. Der Schüler lerne weder das Schreiben noch das eigenständige Arbeiten. Die Folgen zeigen sich erst später.
So sagt Schettini:
"Wenn du mit 14 Jahren deine Hausaufgaben machen lässt, mit 20 nicht weißt, wie man eine E-Mail schreibt, an die Universität gehst und keine Methode hast, um eine Prüfung zu bewältigen, dann fliegst du wirklich raus. […] Dann gehst du weg, gehst zu einem Vorstellungsgespräch, weißt nicht, wie du vor einem Arbeitgeber sprechen sollst, das heißt, du findest dich plötzlich in der realen Welt wieder."
Auch wenn das etwas pessimistisch klingen mag, so bleibt die zentrale Frage für Schulen und Lehrkräfte: Unter welchen Bedingungen unterstützt KI das Lernen – und wann ersetzt sie es bloß?
Was die empirische Evidenz im Schulkontext zeigt
Ein großes Feldexperiment der University of Pennsylvania mit knapp 1.000 High-School-Schülern liefert aufschlussreiche Ergebnisse [5]. Die Forscher teilten die Jugendlichen in drei Gruppen: ohne KI, mit freiem ChatGPT-Zugang und mit einem KI-Tutor, der so erstellt war, dass er Schritt-für-Schritt-Erklärungen, Hinweise und Reflexion bot.
Während der Übungsphase schnitten beide KI-Gruppen deutlich besser ab. Die freie ChatGPT-Nutzung brachte 48 Prozent bessere Ergebnisse, der angeleitete Tutor sogar 127 Prozent. Klingt nach einem klaren Erfolg – aber man sollte hier nicht voreilig sein.
Im anschließenden Test ohne KI-Zugang zeigte sich ein überraschendes Bild: Die Schüler mit freier KI-Nutzung schnitten 17 Prozent schlechter ab als jene, die nie Zugang hatten. Sie hatten die KI als "Krücke" benutzt und fertige Lösungen abgeschrieben, statt selbst zu denken.
Der speziell gestaltete KI-Tutor hingegen milderte diesen negativen Effekt weitgehend ab.
Warum Studienergebnisse stark variieren – das "Setting" als Schlüsselfaktor
Nicht alle Studien kommen zu negativen Ergebnissen. Der entscheidende Unterschied liegt im Setting – also darin, wie und wofür die KI eingesetzt wird.
Negative Befunde häufen sich, wenn ChatGPT etwa direkt in Prüfungssituationen verwendet wird. In einer ungarischen Studie [6] durften Studierende die KI während einer Matheklausur nutzen. Das Ergebnis: mehr Durchfaller und weniger Spitzenleistungen.
Ähnliches zeigt ein Laborexperiment [7]: Besonders Lernende mit geringeren Vorkenntnissen erkannten falsche KI-Antworten nicht und übernahmen sie ungeprüft.
Positive Effekte zeigen sich dagegen, wenn KI als Lernwerkzeug in strukturierten Unterrichtsszenarien eingesetzt wird. Eine Studie [8] mit Elftklässlern in den Emiraten etwa nutzte ChatGPT vier Wochen lang als Lernhilfe im Physikunterricht – mit messbaren Leistungssteigerungen.
Auch Metaanalysen [9] bestätigen dieses Muster: Im Durchschnitt zeigen sich moderat positive Effekte auf die akademische Leistung – besonders bei klarer pädagogischer Einbettung und mittelfristigen Interventionen.
Didaktische Leitplanken für KI-Nutzung, die Lernen fördert statt ersetzt
Wie also sollte KI im Unterricht eingesetzt werden? Die Forschung liefert klare Hinweise.
Erstens: Die Rolle der KI muss klar definiert sein. Sie sollte als Tutor fungieren, der Hinweise gibt und zur Reflexion anregt – nicht als Automat, der fertige Lösungen ausspuckt. Das entspricht dem erfolgreichen "GPT Tutor"-Ansatz aus der Penn-Studie.
Zweitens: Die Einbettung benötigt Struktur. Klare Lernziele, wiederholte Übungsphasen und regelmäßige Feedbackzyklen sind entscheidend. Eine einmalige "Abkürzung" bei den Hausaufgaben bringt keinen nachhaltigen Lerneffekt.
Drittens: KI-Antworten [10] müssen kritisch geprüft werden. Eine Studie zeigte [11], dass 32 Prozent der ChatGPT-generierten Hilfen die Qualitätsprüfung nicht bestanden. Techniken wie Selbstkonsistenz können Fehler reduzieren, funktionieren aber je nach Fach unterschiedlich gut.
Hausaufgabenpraxis, Leistungsnachweise und schulische Steuerung
Der Griff zur KI hat oft einen simplen Grund: Überlastung. Schettini beschreibt KI als "singende Sirene", deren Lockruf besonders für gestresste Jugendliche schwer zu widerstehen ist. "Sie haben so viele Hausaufgaben zu erledigen, dass sie irgendwann sagen: Oh Leute, ich nehme sie, lasse sie alles machen und wünsche allen einen guten Abend."
Sein Gegenvorschlag ist pragmatisch: weniger, aber gezieltere Hausaufgaben. Der eigentliche Leistungsnachweis sollte im Klassenzimmer stattfinden – ohne digitale Hilfsmittel. Dort zeigt sich, was Schüler wirklich können.
Entscheidend ist dabei die Abstimmung im Kollegium. Schettini appelliert an Lehrkräfte, in Klassenkonferenzen gemeinsam festzulegen, wie viele Hausaufgaben aufgegeben werden. Nur so lässt sich verhindern, dass die Gesamtlast Schüler in die Arme der KI treibt.
Rahmen für schulische Entscheidungsprozesse
Für Schulen und Steuergruppen ergibt sich daraus ein klarer Entscheidungsrahmen. Die zentrale Unterscheidung lautet: kurzfristige Produktivität versus nachhaltiges Lernen.
Bessere Hausaufgaben und Übungsnoten sind kein Beweis für echten Kompetenzaufbau. Entscheidend ist, ob Schüler auch ohne KI-Unterstützung bestehen können. Das sollte das Maß aller Dinge sein.
Tool-Design und Nutzungsregeln sind dabei wichtige Stellhebel. Ohne Leitplanken drohen negative Lerneffekte. Mit klarem Scaffolding – also einer gestuften Lernunterstützung, die schrittweise zurückgenommen wird – und didaktischer Anleitung kann KI dagegen den Kompetenzaufbau unterstützen.
Schulen sollten sich fragen: In welchen Fächern ist KI-Nutzung besonders fehleranfällig? Mathematik und Programmierung etwa erfordern Präzision, die ChatGPT nicht immer liefert. Welche Kontrollen und Anleitungen sind nötig? Und wie kann das Kollegium gemeinsam tragfähige Regeln entwickeln?
Die Antwort auf die Frage, ob KI beim Lernen hilft, ist weder ein klares Ja noch ein klares Nein. Es kommt darauf an – auf das Setting, die Anleitung und die didaktische Einbettung. Wer das versteht, kann KI vom Risiko zur Chance machen.
URL dieses Artikels: https://www.heise.de/-11163648
Die Koalition sollte bis Ende Januar Eckpunkte für ein neues Heizungsgesetz vorlegen. Doch eine Einigung ist nicht in Sicht. Die Gründe sind vielschichtig.
Die schwarz-rote Koalition hat ihre selbst gesetzte Frist zur Reform des Heizungsgesetzes verpasst. Bis Ende Januar sollten Eckpunkte für das geplante "Gebäudemodernisierungsgesetz" vorliegen, doch Union und SPD konnten sich nicht einigen. Nach Informationen [1] des ARD-Hauptstadtstudios ist auch für die kommende Woche eine Einigung alles andere als sicher.
Aus Unionskreisen wurde der Klimazeitungbestätigt [2], es sei "völlig offen", ob eine Verständigung bis Anfang Februar gelingen kann.
Die Verhandlungen sind hochrangig besetzt. Neben den Fraktionsvorsitzenden Jens Spahn (CDU) und Matthias Miersch (SPD) war auch Energieministerin Katherina Reiche (CDU) bei mehreren Treffen persönlich dabei, wie die Tagesschau berichtet.
Offiziell eingebunden ist auch das Bauministerium, dessen Ministerin Verena Hubertz sich aufgrund ihres Mutterschutzes vertreten lässt. Der Fraktionsvize der Union, Sepp Müller, sagte: "Wir nehmen uns die Zeit, die wir benötigen, damit wir den Menschen auch eine Zukunftsperspektive geben können, wie sie zukünftig heizen." Aus dem Wirtschaftsministerium heißt es laut Tagesschau, man brauche noch etwas Zeit und sei optimistisch, dass bald Eckpunkte vorliegen.
Klimaziele als erster Stolperstein
Ein zentrales Hindernis in den Verhandlungen sind die gesetzlich verankerten Klimaziele. Deutschland muss bis 2045 klimaneutral werden, also die Treibhausgasemissionen rechnerisch auf Null bringen. Bundesumweltminister Carsten Schneider (SPD) pocht darauf, dass das Gesetz so geändert wird, dass die Klimaziele erreicht werden können. Bis spätestens Ende März muss Schneider zudem ein neues Programm vorlegen, das alle Klimaschutzmaßnahmen der Bundesregierung auflistet.
Die juristische Lage erschwert die Verhandlungen zusätzlich. Die Deutsche Umwelthilfe bekam kürzlich mit einer Klage Recht [3]. Das Bundesverwaltungsgericht stellte fest, dass die bisherigen Klimaschutzmaßnahmen nicht ausreichen, um die Klimaziele zu erreichen. Die Bundesregierung muss ihre Bemühungen also verstärken, statt abschwächen. Das sogenannte Heizungsgesetz einfach ersatzlos abschaffen, ist deshalb kaum möglich, wie die Tagesschau berichtet.
Auch die EU setzt einen zeitlichen Rahmen: Bis Ende Mai muss die EU-Gebäuderichtlinie EPBD [4] in einzelstaatliches Recht umgesetzt werden, berichtet die Klimazeitung. Das EU-Gesetz verpflichtet die Mitgliedsstaaten, die Energieeffizienz bestehender Gebäude zu verbessern und sie bis 2050 klimafrei zu gestalten.
Die 65-Prozent-Regel als Kernkonflikt
Der zweite zentrale Stolperstein ist die konkrete Ausgestaltung des Gesetzes. Im Zentrum steht die Vorgabe, dass die Wärme einer neuen Heizung zu mindestens 65 Prozent aus erneuerbaren Energien kommen muss. CDU-Fraktionschef Jens Spahn sagte [5] noch im Dezember: "Die 65 Prozent müssen weg".
Die SPD argumentiert hingegen, der Klimaschutz im Gebäudesektor brauche verlässliche Leitplanken, sonst drohten höhere Emissionen und langfristig steigende Heizkosten. Umweltminister Schneider will an der zentralen Regelung festhalten. "Es bleibt dabei, dass neue Heizungen 65 Prozent erneuerbare Energien nutzen müssen", sagte er [6] laut Frankfurter Rundschau auf dem Energiewende-Kongress der Deutschen Energie-Agentur.
Streicht oder senkt man diesen Wert, droht die Wirkung des Gesetzes zu verpuffen. Claudia Kemfert, Energieexpertin des Deutschen Instituts für Wirtschaftsforschung, sagte: "Entscheidend für eine Neufassung ist, nicht die Ambition aufzugeben, sondern sie mit klaren, sozial ausgewogenen Förderregeln und realistischen Zeitpfaden zu unterlegen."
Auch Fachleute sprechen sich für die Beibehaltung der 65-Prozent-Regel aus. Markus Fritz vom Fraunhofer-Institut für System- und Innovationsforschung sagte laut Klimazeitung, die Vorgabe sei "essenziell, um die Lücke zum Ziel der Klimaneutralität im Jahr 2045 zu reduzieren". Würde diese Regelung zeitlich verschoben, müssten zur Kompensation entweder der Preis für Erdgas und Heizöl stärker erhöht oder die Förderung für den Heizungstausch angehoben werden.
Verbände fordern Ende der Hängepartie
Ein Bündnis von 14 Organisationen, darunter der Deutsche Städte- und Gemeindebund, der Bundesverband der Energie- und Wasserwirtschaft und der Bundesverband Wärmepumpen, hat die Regierung aufgefordert [7], die Hängepartie zu beenden. "Verzögerungen schaden letztlich allen und schaffen weitere Unsicherheiten bei Kommunen, Unternehmen und Bürgern", heißt es in dem Appell von letzter Woche.
Grundsätzlich sprechen sich die Verbände für die 65-Prozent-Regel aus. Sie sei "dazu geeignet, einen schnellen Hochlauf der erneuerbaren Energien weiter zu unterstützen, um einen klimaneutralen Gebäudebestand zu erreichen".
Umweltminister Schneider mahnte zur Eile [8]: "Von den Heizungsbauern über die Installateure bis zur Energiewirtschaft und den kommunalen Spitzenverbänden rufen alle: Stiftet kein neues Chaos, ändert möglichst wenig, und schafft endlich Planungssicherheit."
Förderung soll sozialer werden
Ein weiterer Streitpunkt ist die Ausgestaltung der staatlichen Förderung. Vor allem der SPD ist die Unterstützung von Haushalten mit niedrigem Einkommen wichtig. Sie hatte in den Koalitionsvertrag verhandelt, dass die Heizungsförderung im Grundsatz erhalten bleibt und will erreichen, dass besonders einkommensschwache Haushalte von staatlichen Zuschüssen profitieren, berichtet die Tagesschau.
Schneider kündigte Änderungen bei der staatlichen Förderung an. Die Zuschüsse sollen stärker nach sozialen Kriterien vergeben werden. "Das Ergebnis war, dass besonders viel Geld bei den oberen zehn Prozent gelandet ist. Das hat viele Leute zurecht kiebig gemacht", sagte er laut Frankfurter Rundschau.
Stefan Thomas vom Wuppertal Institut für Klima, Umwelt, Energie sprach sich gegenüber der Klimazeitung dafür aus, die Förderung für Mietwohnungen, die derzeit maximal 35 Prozent beträgt, anzuheben, um den Umstieg auf klimafreundliche Heizungen auch in diesem Bereich zu beschleunigen. Bisher können Hauseigentümer 70 Prozent Zuschüsse erhalten, wenn das Haushaltseinkommen unter 40.000 Euro im Jahr liegt.
Branche leidet unter Unsicherheit
Die anhaltende Unsicherheit schlägt sich bereits massiv in den Verkaufszahlen nieder. Im vergangenen Jahr wurden nach Berechnungen des Verbandes BDH so wenige Heizungen installiert wie seit 15 Jahren nicht mehr. Insgesamt 627.000 Anlagen – 12 Prozent weniger als im bereits schwachen Vorjahr. Gasbrennwertkessel brachen um 36 Prozent auf 229.000 Stück ein, Ölheizungen auf nur noch 22.500, wie die Frankfurter Rundschau berichtet.
Gleichzeitig wurden 2025 erstmals mehr Wärmepumpen verbaut als Gasheizungen. Mit 299.000 installierten Heizungs-Wärmepumpen stieg der Absatz um 55 Prozent – auch dank staatlicher Förderung. BDH-Hauptgeschäftsführer Markus Staudt warnte laut Frankfurter Rundschau vor "personellen Maßnahmen" wie Stellenabbau, sollten nicht bald stabile Regeln kommen.
Heizungsbauer Lutz Spring aus dem brandenburgischen Oranienburg sagte gegenüber der Tagesschau: "Wir können einfach nicht mehr. Ich habe keine Lust mehr auf dieses Theater." Mit seiner Firma verbaut er im Schnitt jede Woche zwei Wärmepumpen. Eigentlich müsste er jetzt in Betriebsvergrößerung investieren, doch angesichts der Unsicherheit zögere er.
Zeitdruck durch kommunale Fristen
Besonders brisant ist die Situation in Großstädten. In Kommunen mit mehr als 100.000 Einwohnern wird der Einbau von Heizungen mit mindestens 65 Prozent erneuerbarer Energien bereits nach dem 30. Juni 2026 verbindlich, berichtet die Frankfurter Rundschau. Dies betrifft rund 80 Städte wie Berlin, Hamburg, München und Köln. Noch schneller kann es gehen, wenn eine Kommune ihre Wärmeplanung abgeschlossen hat – bereits 38 Prozent der großen Kommunen sind so weit.
Das Gesetz ist technologieoffen: Neben Wärmepumpen gelten auch Infrarotheizungen, Biomasseheizungen wie Pelletöfen, Solarthermie-Hybridheizungen oder der Anschluss an Wärmenetze als Erfüllung der 65-Prozent-Regel, berichtet die Frankfurter Rundschau. Selbst Gasheizungen bleiben möglich, wenn sie nachweislich erneuerbare Gase nutzen.
In einem Punkt haben sich Union und SPD bereits geeinigt. Fest steht laut Tagesschau: Das alte Gebäudeenergiegesetz wird einfach umbenannt. Neuer Titel: Gebäudemodernisierungsgesetz. Ob es bei einer bloßen Umbenennung bleibt oder sich die Koalition doch noch auf inhaltliche Eckpunkte einigen kann, ist bislang völlig offen.
URL dieses Artikels: https://www.heise.de/-11163445
Links in diesem Artikel: [1] https://www.tagesschau.de/inland/innenpolitik/heizungsgesetz--aenderung-koalition-100.html [2] https://klimareporter.de/gebaeude/neues-heizungsgesetz-in-der-warteschleife [3] https://www.duh.de/presse/pressemitteilungen/pressemitteilung/deutsche-umwelthilfe-erzielt-grundsatzurteil-fuer-den-klimaschutz-bundesverwaltungsgericht-verurteil/ [4] https://www.dabonline.de/bautechnik/eu-gebaeuderichtlinie-epbd-faq/ [5] https://www.stern.de/news/spahn-zu-heizungsgesetz--es-darf-keinen-zwang-bei-heizungen-im-bestand-geben-36958470.html [6] https://www.fr.de/verbraucher/chaos-um-heizungsgesetz-merz-regierung-laesst-frist-verstreichen-was-verbraucher-wissen-muessen-94152108.html [7] https://www.dstgb.de/publikationen/pressemitteilungen/gemeinsame-forderung-nach-schneller-klarheit-und-planungssicherheit/ [8] https://www.zdfheute.de/wirtschaft/heizung-absatz-verkauf-rueckgang-bdh-waermepumpe-100.html
Die Rust-Neuimplementierung klassischer Unix-Tools erreicht in Version 0.6 eine GNU-Kompatibilität von 96 Prozent – und reduziert Unsafe-Code.
Die Entwickler der Rust Coreutils haben Version 0.6 veröffentlicht. Die Rust-Neuimplementierung klassischer Unix-Werkzeuge erreicht damit 96,28 Prozent Kompatibilität zur GNU-Test-Suite und besteht 622 von 646 Tests. Gegenüber der im Dezember erschienenen Version 0.5 mit 87,75 Prozent Kompatibilität bedeutet das einen Sprung von über acht Prozentpunkten.
Besonders bemerkenswert: Die Zahl der fehlgeschlagenen Tests sank von 55 auf nur noch 16, während die Anzahl übersprungener Tests von 23 auf 7 zurückging. Die Entwickler testeten gegen die GNU Coreutils 9.9 als Referenz.
Weniger unsicherer Code
Ein Schwerpunkt der neuen Version liegt auf der Reduzierung von unsafe Code. Die Entwickler entfernten unsichere Passagen in den Utilities date, sort und locale.rs. Statt direkter libc-Aufrufe nutzt die Software nun das nix-Crate, das sichere Rust-Wrapper um POSIX-Systemaufrufe bereitstellt.
Für die Tools rm, du, chmod und chgrp verwenden die Entwickler ab Version 0.6 die System-Calls openat und unlinkat über das nix-Crate für sichere Directory-Traversal. Diese Änderungen eliminieren ganze Klassen von Sicherheitslücken wie Buffer Overflows oder Use-After-Free-Fehler, die bei direkten libc-Aufrufen auftreten können.
Performance-Optimierungen
Version 0.6 bringt Performance-Verbesserungen für mehrere Tools. Die Base-Encoding-Utilities base32, base64 und basenc arbeiten durch reduzierte memset-Operationen schneller. Das Tool shuf erhielt eine optimierte numerische Ausgabe und eine neue Option --random-seed. Bei date beschleunigt ein BufWriter das Batch-Processing, während uniq die Speichernutzung für Case-Insensitive-Vergleiche optimiert.
Das Tool tsort vermeidet nun das vollständige Einlesen der Eingabe in den Speicher, was bei großen Datenmengen deutliche Vorteile bringt. Auch df profitiert von einem verbesserten Dateisystem-Handling.
Bessere Internationalisierung
Die neue Version erweitert die Lokalisierungsunterstützung erheblich. Das Tool date nutzt jetzt ICU-Support für locale-aware Datums- und Monatsbezeichnungen sowie Stundenformatierung und Kalenderunterstützung. In sort funktioniert die numerische Sortierung ab sofort mit Tausendertrennzeichen, während join locale-aware Collation unterstützt. Die Entwickler integrieren zudem Weblate für Community-Übersetzungen.
Erweiterte Plattformunterstützung
Rust Coreutils 0.6 unterstützt offiziell RISC-V 64-bit mit musl-Target in der CI-Pipeline. Die Cygwin-Unterstützung für Windows-Nutzer wurde ebenfalls ausgebaut. Neu hinzugekommen ist Support für das SMACK Security Module in den Tools ls, id, mkdir, mkfifo und mknod.
Das Tool tail erhielt ein --debug-Flag, verbesserte Symlink-Verfolgung mit der Option -F und FIFO-Timeout-Handling für --pid. Bei timeout implementierten die Entwickler umfassendes Signal-Handling und eine --verbose-Option.
Das Sortiertool sort unterstützt nun Legacy-Syntax mit +POS/-POS, bietet Debug-Key-Annotationen und bessere locale-aware Sortierung. Bei pr korrigierten die Entwickler Fehler bei Headers, Form Feeds und Pagination. Die Tools chmod und rm behandeln rekursive Operationen und Symlinks besser als zuvor.
Ubuntu und Fedora setzen auf Rust Coreutils
Die Entwicklung der Rust Coreutils gewinnt in der Linux-Welt zunehmend an Bedeutung. Ubuntu 25.10 [1] verwendet bereits Rust Coreutils 0.2.2 als Standard im Rahmen der Oxidising-Ubuntu-Initiative von Canonical. Fedora plant, Version 0.5 in Fedora 44 als Option für Early Adopters anzubieten – allerdings nicht als Standardvariante wie bei Ubuntu.
Auf der FOSDEM 2026 am 1. Februar berichtete Sylvestre Ledru vom uutils-Kernteam über praktische Erfahrungen mit Rust Coreutils in Ubuntu. Der Vortrag „Rust Coreutils in Ubuntu: Yes, we rewrote /bin/true in Rust – Here's what really happened“ gab Einblicke in Packaging-Komplexität, undokumentierte Verhaltensweisen und den Umgang mit kritischen System-Tools.
Die Entwicklergemeinschaft wächst stetig: An Version 0.6 wirkten 41 neue Contributors mit. Wer die Rust Coreutils testen möchte, findet sie im GitHub-Repository [2] des Projekts.
URL dieses Artikels: https://www.heise.de/-11163178
Links in diesem Artikel: [1] https://www.heise.de/news/Ubuntu-25-10-Rust-statt-C-Wayland-statt-X11-10722802.html [2] https://github.com/uutils/coreutils/releases/tag/0.6.0 [3] https://www.heise.de/ix [4] mailto:fo@heise.de
DDD, CQRS und Event Sourcing versprechen Flexibilität, doch viele Teams landen bei CRUD mit Extra-Schritten. Der Grund? Ein falsches Verständnis.
Wenn Entwicklerinnen und Entwickler zum ersten Mal mit Domain-Driven Design (DDD), CQRS und Event Sourcing [1] in Berührung kommen, bringen sie bereits mentale Modelle mit. Jahre der Arbeit mit Objekten und Tabellen haben geprägt, wie sie über Daten denken.
Und so haben sie sofort ein vertrautes Bild im Sinn, wenn sie das Wort „Aggregat“ hören: Ein Aggregat muss wie ein Objekt sein, und Objekte werden auf Tabellen abgebildet. Diese Intuition fühlt sich richtig an. Aber: Sie ist es nicht, und sie führt zu einem System, das verdächtig nach CRUD mit zusätzlichen Schritten aussieht.
Ich habe dieses Muster unzählige Male gesehen. Teams bauen etwas, das sie ein Event-getriebenes System nennen, und landen bei einer einzelnen books-Tabelle, die jedes Feld enthält, das ihr Book-Aggregat hat. Sie haben im Grunde eine relationale Datenbank nachgebaut, nur mit Events als Transportmechanismus. Die Stärken von DDD, CQRS und Event Sourcing, also die Flexibilität, die diese Konzepte versprechen – all das bleibt ungenutzt.
Das Aggregat-Missverständnis
Das Problem ist das, was Entwicklerinnen und Entwickler typischerweise für ein Aggregat halten: einen Container für alle Daten über eine Sache. Sie stellen sich ein Book-Aggregat vor und beginnen, Eigenschaften aufzulisten:
BookAggregate {
id: string
title: string
author: string
isbn: string
currentBorrower: string | null
dueDate: Date | null
location: string
condition: string
purchasePrice: number
acquisitionDate: Date
lastInspectionDate: Date
popularityScore: number
}
Das sieht aus wie ein Objekt. Es hat alle Felder. Es lässt sich sauber auf eine Datenbanktabelle abbilden. Und genau darin liegt der Fehler: das Aggregat als Daten-Container zu behandeln.
Wenn Sie so denken, wird Ihr Aggregat zu einer aufgeblähten Repräsentation von allem, was Sie jemals über ein Buch wissen wollen könnten. Es spiegelt die Struktur Ihres Read Model wider, weil Sie noch nicht erkannt haben, dass es grundlegend verschiedene Konzepte sind, die grundlegend verschiedene Zwecke erfüllen.
Was ein Aggregat tatsächlich ist
Gemäß DDD ist ein Aggregat eine Konsistenzgrenze für die Entscheidungsfindung. Das ist alles. Sein Zweck ist sicherzustellen, dass Geschäftsregeln eingehalten werden, wenn Commands verarbeitet werden. Es benötigt nur die Informationen, die erforderlich sind, um zu entscheiden, ob ein Command gültig ist.
Betrachten Sie das BorrowBook-Command. Um zu entscheiden, ob ein Buch ausgeliehen werden kann, müssen Sie nur eins wissen: Ist das Buch derzeit verfügbar? Sie brauchen nicht den Titel, die Autorin oder den Autor, die ISBN, den Kaufpreis, den Standort oder das letzte Inspektionsdatum. Keine dieser Informationen hilft Ihnen zu entscheiden, ob dieses spezifische Command erfolgreich sein sollte oder nicht. Das heißt, das Aggregat kann sehr schlank sein, denn es enthält nur den entscheidungsrelevanten Zustand.
Für unser Bibliotheksbeispiel könnte ein richtig entworfenes Book-Aggregat daher folgendermaßen aussehen:
Kann dieses Buch ausgeliehen werden? (isAvailable === true)
Kann diese Person es zurückgeben? (currentBorrower === personId)
Alles andere, jede andere Information über das Buch, gehört woanders hin – und zwar in Read Models, nicht in das Aggregat.
Das Read-Model-Missverständnis
Sobald Entwicklerinnen und Entwickler akzeptieren, dass ein Aggregat bestimmte Felder hat, folgt der nächste Fehler: „Wenn mein Aggregat diese Felder hat, sollte meine Read-Model-Tabelle diese Felder auch haben.“
Das Ergebnis ist vorhersehbar. Sie erstellen eine books-Tabelle mit Spalten für id, title, author, isbn, borrower, dueDate, location, condition, purchasePrice und jedes andere Feld, das Ihnen einfällt. Abfragen werden zu komplexen Joins über diese monolithische Struktur. Die Performance leidet. Die Flexibilität verschwindet.
Das ist CRUD-Denken, angewandt auf Event Sourcing. Die Events existieren, aber sie sind nur eine Transportschicht. Das System dreht sich immer noch um eine einzelne kanonische Repräsentation der Daten, genau wie eine traditionelle relationale Datenbank.
Read Models sind Projektionen, die für spezifische Abfragen optimiert sind. Sie dienen Anwendungsfällen, nicht Datenstrukturen. Und hier ist die entscheidende Erkenntnis: Read Models werden aus Events abgeleitet, nicht aus Aggregaten:
Ihr Aggregat entscheidet, was passiert.
Events zeichnen auf, was passiert ist.
Read Models werden aus diesen Events gebaut, um spezifische Fragen effizient zu beantworten.
Es gibt keine Anforderung, keine Regel, kein architektonisches Prinzip, das besagt, dass Read Models die Struktur von Aggregaten spiegeln müssen.
Tatsächlich ist das Gegenteil wahr. Aus einem Event-Stream können Sie viele verschiedene Read Models bauen. Das ist die Stärke von CQRS, die verloren geht, wenn Sie in Tabellen denken.
Das Bibliotheksbeispiel: Ein Write Model, viele Read Models
Machen wir das konkret mit unserer Bibliothek. Wir haben ein Book-Aggregat, das Entscheidungen handhabt:
Events fließen durch das System: BookAcquired, BookBorrowed, BookReturned, BookRemoved und so weiter. Diese Events enthalten reichhaltige Informationen darüber, was passiert ist.
Betrachten Sie nun die verschiedenen Fragen, die Menschen beantwortet bekommen möchten:
Die Katalogsuche muss verfügbare Bücher mit ihren Titeln, Autorinnen und Autoren sowie ISBNs zeigen. Sie interessiert sich nicht für die Ausleihhistorie oder den physischen Standort.
Das Mitglieder-Dashboard (die „Meine Bücher“-Seite) muss zeigen, welche Bücher das Mitglied ausgeliehen hat, wann sie fällig sind und ob welche überfällig sind. Es braucht keine ISBNs oder physische Standorte.
Das Statistik-Panel für Bibliothekarinnen und Bibliothekare muss wissen, welche Bücher am beliebtesten sind, durchschnittliche Ausleihdauern und Trends über die Zeit. Es braucht nicht die aktuelle Verfügbarkeit.
Der Überfällig-Bericht benötigt Namen der Ausleihenden, Kontaktinformationen, Buchtitel und wie viele Tage überfällig. Er benötigt keine Kaufpreise oder Zustandsbewertungen.
Das Bestandsverwaltungssystem benötigt physische Standorte, Zustandsbewertungen und letzte Inspektionsdaten. Es braucht keine Informationen über Ausleihende.
Jedes davon ist ein separates Read Model, gebaut aus denselben Events, optimiert für seinen spezifischen Anwendungsfall.
Viele kleine Read Models statt einer großen Tabelle
{
bookId: string
location: string
condition: string
lastInspectionDate: Date
}
Jedes Read Model
hat nur die Felder, die für seinen Anwendungsfall benötigt werden,
kann bei Bedarf in einer anderen Datenbank gespeichert werden (PostgreSQL für Transaktionen, Elasticsearch für Suche, Redis für schnelle Lookups),
kann jederzeit aus Events neu aufgebaut werden und
entwickelt sich unabhängig von anderen Read Models weiter.
Der Multiplikationseffekt
Hier zeigt Event Sourcing seine wahre Stärke. Aus einem Stream von Events leiten Sie viele spezialisierte Read Models ab. Jedes ist klein, fokussiert und schnell. Das Hinzufügen eines neuen Read Model erfordert keine Änderung des Write Model oder bestehender Read Models. Sie bauen einfach eine weitere Projektion aus denselben Events.
Brauchen Sie einen neuen Bericht? Erstellen Sie ein neues Read Model. Müssen Sie eine langsame Abfrage optimieren? Strukturieren Sie dieses spezifische Read Model um, ohne irgendetwas anderes anzufassen. Müssen Sie einen neuen Anwendungsfall unterstützen? Fügen Sie eine weitere Projektion hinzu.
Diese Flexibilität ist das Versprechen von CQRS. Aber sie materialisiert sich nur, wenn Sie aufhören, Read Models als Spiegel Ihrer Aggregate zu betrachten.
Warum das wichtig ist
Die praktischen Vorteile sind erheblich:
Die Performance verbessert sich, weil jedes Read Model klein und spezialisiert ist. Abfragen treffen genau die Daten, die sie brauchen, nicht mehr. Indizes können für spezifische Zugriffsmuster optimiert werden.
Die Flexibilität steigt, weil Sie Read Models hinzufügen, modifizieren oder entfernen können, ohne das Write Model oder andere Read Models zu beeinflussen. Teams können ihre Read Models unabhängig besitzen.
Klarheit entsteht, weil jedes Read Model einen klaren Zweck hat. Es gibt keine Mehrdeutigkeit darüber, welche Daten für welchen Anwendungsfall sind. Die Struktur jedes Read Model reflektiert die Fragen, die es beantwortet.
Unabhängigkeit folgt, weil verschiedene Teams an verschiedenen Read Models arbeiten können, ohne Schemaänderungen koordinieren zu müssen. Die Events sind der Vertrag, nicht die Datenbanktabellen.
Die Tabelle verlernen
Der schwierigste Teil von Event Sourcing ist das Verlernen der mentalen Modelle, die Ihnen in CRUD-Systemen gute Dienste geleistet haben. Objekte und Tabellen sind nützliche Konzepte, aber sie sind nicht die richtige Linse, um Aggregate und Read Models zu verstehen.
Hören Sie auf zu fragen: „Welche Felder hat mein Aggregat?“ Beginnen Sie zu fragen: „Was muss ich wissen, um diese Entscheidung zu treffen?“
Hören Sie auf zu fragen: „Welche Tabelle brauche ich für dieses Aggregat?“ Beginnen Sie zu fragen: „Welche Fragen müssen meine Nutzerinnen und Nutzer beantwortet bekommen?“
Das Aggregat ist Ihre Entscheidungsgrenze, schlank und fokussiert. Events sind Ihre historische Aufzeichnung dessen, was passiert ist. Read Models sind Ihre optimierten Sichten für spezifische Abfragen.
Das sind drei verschiedene Konzepte. Sie müssen nicht dieselbe Struktur haben. Tatsächlich sollten sie es wahrscheinlich nicht.
URL dieses Artikels: https://www.heise.de/-11157678
Links in diesem Artikel: [1] https://www.cqrs.com/ [2] mailto:rme@ix.de
Die Runtime bietet neue Features für Python: eine experimentelle Async-API und Zugriff auf viele native Python-Libraries wie NumPy.
Die Open-Source-Runtime Wasmer ist in Version 7.0 mit neuen Funktionen für Python, RISC-V und zahlreichen Bugfixes erschienen. Insgesamt hat das Entwicklungsteam 200 Pull-Requests umgesetzt – davon 80, die sich auf Bugs oder seit Langem bestehende Limitierungen bezogen.
Das auf WebAssembly [1] basierende Wasmer-Ökosystem ermöglicht das Ausführen von Anwendungen im Browser, eingebettet in eine Programmiersprache nach Wahl oder standalone auf dem Server.
Version 7.0 erweitert den Python-Support
In Wasmer 7.0 ist eine experimentelle Async-API mit an Bord, verfügbar in Wasmers nativen Backends [2]singlepass, cranelift und llvm. Die API ermöglicht vollständigen Async-Support in Python unter Wasmer, was das Verwenden von Bibliotheken wie SQLAlchemy ermöglicht. Darüber hinaus bietet Wasmer 7.0 Support für dynamisches Linking in WASIX [3]. Bislang war der Python-Support in Wasmer auf den Core Intepreter beschränkt, sodass sich viele native Libaries, beispielsweise NumPy, nicht nutzen ließen.
Weitere Updates betreffen unter anderem RISC-V: Die CPU-Befehlssatzarchitektur war in Wasmer bereits in LLVM und Cranelift verfügbar, doch nun besitzt auch Singlepass RISC-V-Support. Zudem ist das LLVM-Target RV32gc für eine erhöhte RISC-V-Abdeckung hinzugekommen.
Details zum neuen Release finden sich in der Ankündigung im Wasmer-Blog [4]. Zusätzliche Informationen zu den neuen Python-Features sollen in weiteren Blogbeiträgen folgen.
URL dieses Artikels: https://www.heise.de/-11163234
Links in diesem Artikel: [1] https://www.heise.de/thema/WebAssembly [2] https://docs.wasmer.io/runtime/features [3] https://wasix.org/ [4] https://wasmer.io/posts/wasmer-7 [5] mailto:mai@heise.de
Microsoft will das unsichere NTLM-Protokoll mit der nächsten Windows Server-Version standardmäßig deaktivieren. Dessen Erscheinungstermin bleibt jedoch offen.
In einem weiteren Blog-Posting verspricht Microsoft, das Sicherheitsproblem NTLM aus der Welt zu schaffen. „Mit der nächsten Version von Windows Server“ soll es dann so weit sein; wann die erscheint, ist jedoch nach wie vor ungewiss. Aktuell ist NTLM zwar deprecated, aber nach wie vor in vielen Windows-Systemen aktiv und Administratoren müssen die davon ausgehenden Gefahren managen.
Die Sünden der Vergangenheit
NTLM ist ein seit Jahrzehnten veraltetes Authentifizierungsverfahren, dessen Sicherheitsprobleme altbekannt sind und immer noch etwa von Ransomware-Banden ausgenutzt werden, um sich den Zugang zu Konten mit höheren Rechten zu verschaffen. Insbesondere abgefangene NTLMv1-Hashes lassen sich leicht knacken – etwa mit den von Google bereitgestellten Rainbow-Tabellen [1]. Außerdem lassen sich NTLM-Hashes auch für Pass-The-Hash-Attacken nutzen.
Trotzdem zögert Microsoft, das veraltete Protokoll komplett abzuschalten. Zu viele Systeme nutzen das Verfahren noch. Etwa weil sie keine direkte Verbindung zu einem Domain Controller haben, der für eine Kerberos-Authentifizierung nötig wäre. Oder weil es sich um lokale Accounts handelt oder NTLM fest verdrahtet („hard coded“) ist, erklärt Microsoft. Doch in der zweiten Hälfte des Jahres 2026 will man diese kritischen Punkte der Migration weg von NTLM aus der Welt geschafft haben. IAKerb, lokale Key Distribution Center und Updates zentraler Windows-Komponenten sollen es bis dahin richten.
Mit der nächsten großen Windows-Server-Version soll es kommen, das Abschalten von NTLM
(Bild: Quelle: Microsoft)
Das Ende naht
Und dann soll es endlich [2] so weit sein. Mit der nächsten großen Windows-Server-Version und den zugehörigen Windows-Clients will man NTLM standardmäßig deaktivieren, heißt es jetzt bei Microsoft [3]. Ganz aus der Welt ist es damit jedoch weiterhin nicht, beugt man übertriebenen Erwartungen der Security-Community vor. Der NTLM-Code wird immer noch Teil von Windows bleiben und Admins werden das unsichere Protokoll somit reaktivieren können. Wann man diesen letzten Schritt der Ausmusterung von NTLM vollziehen will, dazu lässt sich der Konzern nicht weiter aus.
Wer für die Sicherheit von Windows-Netzen verantwortlich ist, sollte nicht auf dieses ungewisse Ende warten, sondern vielmehr sofort Maßnahmen ergreifen, um die von NTLM ausgehenden Gefahren einzuhegen. Wie das sinnvoll geht, erklärt etwa das heise security Webinar zum Thema Sicherheitslücken in NTLM und Kerberos verstehen und schließen [4]. Denn auch den designierten NTLM-Nachfolger Kerberos plagen Sicherheitsprobleme [5], die Angreifer etwa beim Kerberoasting gezielt ausnutzen.
URL dieses Artikels: https://www.heise.de/-11162674
Links in diesem Artikel: [1] https://www.heise.de/news/Windows-Netze-Google-Mandiant-gibt-Microsofts-NTLM-den-Todesstoss-11145487.html [2] https://www.heise.de/news/Jetzt-sicher-Microsoft-schmeisst-NTLM-endgueltig-aus-Windows-9749824.html [3] https://techcommunity.microsoft.com/blog/windows-itpro-blog/advancing-windows-security-disabling-ntlm-by-default/4489526 [4] https://heise-academy.de/webinare/ntlmkerberos [5] https://www.heise.de/news/Microsoft-startet-mit-Identifizierung-von-unsicherer-RC4-Verschluesselung-11145332.html [6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp [7] mailto:ju@heise.de
Admins sollten zeitnah ein wichtiges Sicherheitsupdate für Dell Unity Operating Environment installieren.
Dells Speicherarray-Software für die EMC-Serie Unity, UnityVSA und Unity XT sind verwundbar. Angreifer können an vier Sicherheitslücken ansetzen. Eine dagegen gerüstete Version steht zum Download bereit.
Verschiedene Gefahren
In einer Warnmeldung führen die Entwickler aus [1], dass zwei Schwachstellen (CVE-2026-21418 „hoch“, CVE-2026-22277 „hoch“) die Software direkt betreffen. An beiden Lücken kann ein lokaler Angreifer mit niedrigen Nutzerrechten ansetzen. Weil Eingaben nicht ausreichend geprüft werden, können präparierte OS-Befehle Angreifer zum Root machen. In dieser Position kann er dann Schadcode ausführen und Systeme so kompromittieren.
Zwei weitere Schwachstellen betreffen die Drittanbieter-Komponenten DOMPurify (CVE-2024-47875 „mittel“) und Urlparse, urllib.parse.urlsplit (CVE-2025-0938 „mittel“). Hier kann es unter anderem zu XSS-Attacken kommen.
Dells Entwickler versichern, die Schwachstellen in Dell Unity Operating Environment (OE) 5.5.3 geschlossen zu haben. Alle vorigen Ausgaben sollen angreifbar sein. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.
Zuletzt [2] hat Dell Data Protection Advisor repariert.
URL dieses Artikels: https://www.heise.de/-11162412
Links in diesem Artikel: [1] https://www.dell.com/support/kbdoc/en-us/000421197/dsa-2026-054-security-update-for-dell-unity-dell-unityvsa-and-dell-unity-xt-security-update-for-multiple-vulnerabilities [2] https://www.heise.de/news/Dell-Data-Protection-Advisor-ueber-unzaehlige-Sicherheitsluecken-angreifbar-11150421.html [3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp [4] mailto:des@heise.de
FreshRSS 
