Anmelden
(Bild: heise medien)
Im März behandelt SAP in 15 Sicherheitsmitteilungen teils kritische Sicherheitslücken in diversen Produkten. Admins müssen handeln.
Admins von SAP-Installationen bekommen am Dienstag dieser Woche Arbeit: SAP [1] hat Mitteilungen zu 15 Schwachstellen in Produkten des Unternehmens herausgegeben. Es handelt sich teils um kritische Schwachstellen, die das Einschleusen von Schadcode ermöglichen. Das zügige Anwenden der bereitstehenden Aktualisierungen ist daher ratsam.
Auf der Patchday-Übersichtsseite für den März listet SAP [2] die 15 Sicherheitsmitteilungen auf. Insgesamt stufen die Entwickler zwei der Schwachstellen als Risikostufe kritisch ein, eine als hochriskant, elf als mittleren Bedrohungsgrad und eine erhält die Einordnung als niedriges Risiko.
Eine Codeschmuggel-Lücke in der SAP Quotation Management Insurance Application (FS-QUO) basiert auf einer Schwachstelle in einer SocketServer-Klasse in Log4j. Die deserialisiert nicht vertrauenswürdige Daten und kann zum Einschmuggeln und Ausführen von Schadcode aus dem Netz missbraucht werden. Es handelt sich nicht um die Log4Shell genannte Schwachstelle, die das Internet seit Ende 2021 beschäftigt [3]. Sie ist sogar noch älter und wurde 2019 öffentlich bekannt (CVE-2019-17571 [4], CVSS 9.8, Risiko „kritisch“).
In NetWeaver Enterprise Portal Administration klafft eine Sicherheitslücke, die Nutzer mit Rechten im System durch das Hochladen nicht vertrauenswürdiger oder bösartiger Inhalte missbrauchen können. Die gelangen bei der Deserialisierung zur Ausführung und haben „starken Einfluss auf Vertrauenswürdigkeit, Integrität und Verfügbarkeit des Host-Systems“, erklärt SAP in der Schwachstellenbeschreibung (CVE-2026-27685 [5], CVSS 9.1, Risiko „kritisch“).
Eine Schwachstelle in SAPs Supply Chain Management können Angreifer für einen Denial-of-Service-Angriff (DoS) missbrauchen. Durch wiederholtes Aufrufen einer nicht genauer genannten Funktion mit einem ausufernd großen Loop-Kontrollparameter können sie durch verlängerte Loop-Ausführungen massiv Systemressourcen belegen, bis das System nicht mehr verfügbar ist (CVE-2026-27689 [6], CVSS 7.7, Risiko „hoch“).
Die weiteren Sicherheitslecks mit niedrigerem Bedrohungsgrad betreffen SAP NetWeaver Application Server for ABAP, SAP NetWeaver (Feedback Notification), SAP Business One (Job Service), SAP Business Warehouse (Service API), SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal, SAP Customer Checkout 2.0, SAP GUI for Windows, SAP Solution Tools Plug-In (ST-PI) sowie SAP NetWeaver AS Java (Adobe Document Services).
Im Februar dieses Jahres hatte SAP zum Patchday sogar 26 Sicherheitsmitteilungen [7] veröffentlicht. Davon galten zwei als kritisches Sicherheitsrisiko.
URL dieses Artikels:
https://www.heise.de/-11205008
Links in diesem Artikel:
[1] https://www.heise.de/thema/SAP
[2] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2026.html
[3] https://www.heise.de/news/Lagebild-Gefahr-durch-kritische-Log4Shell-Luecke-ungebrochen-7066481.html
[4] https://nvd.nist.gov/vuln/detail/cve-2019-17571
[5] https://www.cve.org/CVERecord?id=CVE-2026-27685
[6] https://www.cve.org/CVERecord?id=CVE-2026-27689
[7] https://www.heise.de/news/Patchday-SAP-CRM-S-4HANA-Angreifer-koennen-Datenbanken-beschaedigen-11172596.html
[8] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[9] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: gob_cu / Shutterstock)
Wenn iPhone-Nutzer eine App öffnen, können sie ihr verbieten, Aktivitäten bei anderen Diensten zu erfassen. Die Werbewirtschaft sieht sich unfair benachteiligt.
Die deutsche Medien- und Werbewirtschaft möchte Apple [1] die App-Tracking-Abfrage auf iPhones in Deutschland durch das Bundeskartellamt untersagen lassen. Die Vorschläge von Apple im Rahmen des Missbrauchsverfahrens des Bundeskartellamtes seien nicht geeignet, die von den Kartellbehörden festgestellten Wettbewerbsprobleme im mobilen Werbemarkt auszuräumen, erklärten die fünf Dachverbände der Branche.
Das App-Tracking-Transparency-Framework (ATT) [2] ist Apples System zum Schutz der Privatsphäre, das mit iOS 14.5 [3] eingeführt wurde. Es zwingt App-Entwickler dazu, Nutzer explizit um Erlaubnis zu bitten, bevor sie deren Daten über Apps und Webseiten anderer Unternehmen hinweg verfolgen (tracken) dürfen. Beim ersten Start einer App werden die Nutzer gefragt, ob sie ihr erlauben wollen, zu Werbezwecken ihre Aktivitäten in Apps und auf Websites anderer Anbieter zu erfassen. Viele Anwender lehnen das ab. Seit der Ankündigung im Juni 2020 gibt es Kritik aus der Werbebranche und unter anderem besonders stark vom Facebook-Konzern Meta [4].
Apple betonte in einer Reaktion, ATT sei eingeführt worden, um Nutzern die Möglichkeit zu geben, auf einfache Weise zu kontrollieren, ob Unternehmen ihre Aktivitäten über andere Apps und Webseiten hinweg verfolgen könnten. „Die Tracking-Industrie kämpft kontinuierlich gegen unsere Bemühungen, Nutzern die Kontrolle über ihre Daten zu geben. Dies ist nur ihr jüngster Versuch, sich uneingeschränkten Zugriff zu persönlichen Daten zu verschaffen“, hieß es vom iPhone-Konzern weiter. Man werde das „wichtige Datenschutz-Tool“ weiterhin für die Nutzer verteidigen.
Das Bundeskartellamt leitete im Juni 2022 [5] wegen ATT ein Verfahren gegen Apple an, obwohl das Amt den Datenschutz begrüßte. Die Behörde warf Apple vor, für Drittanbieter sehr strenge Regeln aufzustellen. Eigene Apple-Dienste dagegen – wie der App Store oder Apple News – seien von diesen Regeln weniger stark betroffen und könnten eigene Daten einfacher nutzen.
Problematisch empfanden die Kartellwächter auch die Gestaltung der Abfragen. Während Drittanbieter standardisierte, eher abschreckende Abfragefenster nutzen müssten, soll Apple seine eigenen Hinweise so gestaltet haben, dass Nutzer eher zur Zustimmung neigen. Außerdem bemängelte das Bundeskartellamt einen Eingriff in die Geschäftsmodelle der betroffenen Unternehmen. Viele kostenlose Apps finanzierten sich durch personalisierte Werbung. Durch das ATT würden deren Werbeeinnahmen drastisch sinken, während Apples eigenes Werbegeschäft im App Store potenziell gestärkt werde, da Apple dort die Datenhoheit behalte.
Ende 2025 reichte Apple verschiedene Lösungsvorschläge ein und versprach etwa, die Abfragen neutraler zu gestalten. Die neuen Regeln werden seit vergangenem Dezember in einem Markttest von der Behörde geprüft. Die Verbände der Medien- und Werbewirtschaft kommen nun zu dem Ergebnis, dass auch nach den Zusagen von Apple die zentralen Wettbewerbsverstöße bestehen bleiben.
Die Verbände forderten das Bundeskartellamt auf, die Zusagen abzulehnen und „den Kartellrechtsverstoß durch eine wirksame Untersagungsentscheidung zu beenden.“ Zudem müsse „ein hinreichend disziplinierendes Bußgeld“ verhängt werden, um sicherzustellen, dass Apple das beanstandete Verfahren nicht wiederhole.
URL dieses Artikels:
https://www.heise.de/-11204918
Links in diesem Artikel:
[1] https://www.heise.de/thema/Apple
[2] https://www.heise.de/news/Apple-Softwarechef-Nutzer-verdienen-Kontrolle-ueber-ihre-Daten-6030201.html
[3] https://www.heise.de/news/iOS-14-5-Apple-verbietet-Tracking-Bettelei-bei-neuer-App-Transparenz-6031264.html
[4] https://www.heise.de/news/Meta-Apple-kostet-uns-dieses-Jahr-10-Milliarden-US-Dollar-6346929.html
[5] https://www.heise.de/news/Bundeskartellamt-prueft-Apples-Tracking-Vorgaben-fuer-Apps-7140407.html
[6] https://www.heise.de/mac-and-i
[7] mailto:afl@heise.de
Copyright © 2026 Heise Medien
(Bild: VideoFlow/Shutterstock.com)
Die CISA warnt vor Angriffen auf Sicherheitslücken in Ivanti Endpoint Manager, SolarWinds Web Help Desk und weiterer Software.
Derzeit attackieren Kriminelle im Internet Sicherheitslücken in Ivantis Endpoint Manager, SolarWinds Web Help Desk und Omnissa (ex-VMware) Workspace ONE. Davor warnt aktuell die US-amerikanische IT-Sicherheitsbehörde CISA.
In ihrer Mitteilung nennt die CISA [1] lediglich die angegriffenen Schwachstellen und Produktnamen. Informationen zu Art und Umfang der Attacken liefert die US-Behörde wie üblich nicht.
Die jüngste Schwachstelle betrifft Ivantis Endpoint Manager (EPM) 2024. Angreifer können ohne vorherige Anmeldung die Authentifizierung umgehen und dabei spezielle gespeicherte Zugangsdaten erlangen – die konkreten Auswirkungen, etwa ob sich damit die Instanzen vollständig übernehmen lassen, nennt Ivanti jedoch nicht. Der Schweregrad deutet jedoch in diese Richtung (CVE-2026-1603 [2], CVSS 8.6, Risiko „hoch“). Mit den Sicherheitsupdates aus dem Februar, die Ivantis EPM auf den Stand 2024 SU5 [3] hieven, schließt der Hersteller die Sicherheitslücke.
Eine kritische Sicherheitslücke in SolarWinds Web Help Desk wurde bereits im September vergangenen Jahres bekannt, sie betrifft die Ajax-Komponente [4]. Diese deserialisiert Eingaben ohne vorherige Authentifizierung und erlaubt so Codeschmuggel aus dem Netz (CVE-2025-26399 [5], CVSS 9.8, Risiko „kritisch“). Bereits im Februar wurden erste Angriffe auf die Lücke [6] bekannt. Nun warnt die CISA vor aktuellen Missbrauchsfällen – noch immer haben IT-Verantwortliche die verfügbare Aktualisierung (zum Meldungszeitpunkt auf Stand SolarWinds WHD 2026.1) offenbar nicht angewendet.
Die letzte Schwachstelle, auf die die CISA aktuell Angriffe beobachtet hat, betrifft Omnissa (ehemals VMware) Workspace ONE. Bösartige Akteure können darin eine Server-Side-Request-Forgery-Schwachstelle (SSRF) missbrauchen und so unbefugten Zugriff auf sensible Informationen erlangen (CVE-2021-22054 [7], CVSS 7.5, Risiko „hoch“). Updates stehen seit Ende 2021 zur Verfügung, um die Sicherheitslücke abzudichten.
IT-Verantwortliche sollten prüfen, ob in ihren Organisationen die verwundbare Software läuft, und die verfügbaren Updates zügig anwenden. Da keine Details zu den Angriffen vorliegen, fehlen jedoch auch Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), mit denen Admins ihre Systeme prüfen könnten.
URL dieses Artikels:
https://www.heise.de/-11204908
Links in diesem Artikel:
[1] https://www.cisa.gov/news-events/alerts/2026/03/09/cisa-adds-three-known-exploited-vulnerabilities-catalog
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-1603
[3] https://hub.ivanti.com/s/article/Security-Advisory-EPM-February-2026-for-EPM-2024?language=en_US
[4] https://www.heise.de/news/Sicherheitspatch-fuer-SolarWinds-Web-Help-Desk-abermals-repariert-10668445.html
[5] https://nvd.nist.gov/vuln/detail/CVE-2025-26399
[6] https://www.heise.de/news/Jetzt-patchen-Abermals-Attacken-auf-SolarWinds-Web-Help-Desk-beobachtet-11170887.html
[7] https://nvd.nist.gov/vuln/detail/CVE-2021-22054
[8] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[9] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Richard Seidl)
Richard Seidl spricht mit Michael Sperber und Markus Schlegel über formale Methoden der Softwareentwicklung.
In dieser Folge spricht Richard Seidl mit Michael Sperber und Markus Schlegel über formale Methoden der Softwareentwicklung. Sie erklären, warum Mathematik und Spezifikationen ein solideres Fundament liefern als typische Testverfahren. Besonders anschaulich wird es, wenn sie die Vorteile funktionaler Programmierung diskutieren und zeigen, wie sich Softwareeigenschaften beweisen lassen. Praktische Einblicke in Typsysteme, Beweisassistenten und Property-Based Testing machen das Thema greifbar.
Dr. Michael Sperber [2] ist Geschäftsführer der Active Group GmbH, die Individualsoftware ausschließlich mit funktionaler Programmierung entwickelt. Er ist international anerkannter Experte für funktionale Programmierung und wendet sie seit über 20 Jahren in Forschung, Lehre und industrieller Entwicklung an. Außerdem hat er zahlreiche Fachartikel und Bücher zum Thema verfasst, sowie das Curriculum für das iSAQB-Advanced-Modul „Formale Methoden“ (zusammen mit Lars Hupel). Michael Sperber ist Mitbegründer des Blogs funktionale-programmierung.de [3] und Mitorganisator der Entwicklerkonferenz BOB.
Markus Schlegel [4] ist Softwarearchitekt bei der Active Group GmbH. Er hat 2013 die funktionale Programmierung für sich entdeckt und schläft seither wieder ruhig.
Bei diesem Format dreht sich alles um Softwarequalität: Ob Testautomatisierung, Qualität in agilen Projekten, Testdaten oder Testteams – Richard Seidl und seine Gäste schauen sich Dinge an, die mehr Qualität in die Softwareentwicklung bringen.
Die aktuelle Ausgabe ist auch auf Richard Seidls Blog verfügbar: „Formale Methoden in der Softwarequalität – Dr. Michael Sperber und Markus Schlegel [5]“.
URL dieses Artikels:
https://www.heise.de/-11204988
Links in diesem Artikel:
[1] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[2] https://de.linkedin.com/in/sperber
[3] https://funktionale-programmierung.de/
[4] https://www.linkedin.com/in/markusschlegel/
[5] https://www.richard-seidl.com/de/blog/qualitaet-formale-methoden
[6] mailto:mai@heise.de
Copyright © 2026 Heise Medien
(Bild: GaudiLab / Shutterstock.com)
Wer in der Softwareentwicklung die richtigen Fragen stellt, kann echte Wirkung entfalten, statt nur Features umzusetzen.
In vielen Softwareteams läuft die Entwicklung wie geschmiert. Entwicklerinnen und Entwickler sammeln Anforderungen, setzen Features um, schließen Sprints ab und liefern Releases aus. Es wird gebaut, getestet, deployt, immer und immer wieder. Und doch bleibt häufig ein diffuses Gefühl zurück. Warum diese Arbeit, warum der ganze Code? Selbst wenn man mit KI-Unterstützung noch schneller mehr Code erzeugen kann, heißt das noch lange nicht, dass am Ende viel Wert entsteht.
Darin liegt das Problem, das viele Produktteams haben: Der Fokus liegt auf Output. Die Teams setzen mehr und mehr Features um und messen den Fortschritt anhand der erledigten Arbeit. Produkte sammeln immer mehr Funktionalität an und wachsen kontinuierlich. Viele Produktverantwortliche glauben, dass das nötig ist, um sich vom Wettbewerb zu differenzieren und bestehenden Nutzerinnen und Nutzern ständig etwas Neues zu bieten. Dabei ist nicht immer „mehr“ die Lösung, sondern manchmal sogar ein Problem. Je mehr Features das Produkt umfasst, umso mehr Arbeit muss in Bugfixing und Wartung fließen. Und genau hier setzt der Gedanke an, sich mehr auf Outcome statt Output zu konzentrieren.
Wo liegt der Unterschied zwischen Output und Outcome? Output beschreibt, was produziert wird. Outcome ist das, was das Produzierte bewirkt. Jede Funktion, jede neue Dokumentation, jeder neue Test ist erst einmal nur Output. Je mehr ein Team davon liefert, desto „produktiver“ ist es. Dabei bleibt zunächst unklar, was sich durch den erzeugten Output verändert. Was wird sich für Nutzerinnen und Nutzer ändern?
Zum Beispiel hat ein Onlineshop mit häufig wiederkehrenden Einkäufen (etwa für den Wocheneinkauf oder die Bestellung bei der Lieblingspizzeria) eine Funktion, die User beim Einkauf daran erinnern soll, dass sie ein oft gekauftes Produkt diesmal vergessen haben (zum Beispiel „Du nimmst normalerweise Pizzabrötchen dazu. Hast du sie vielleicht vergessen?“). Das Feature für diese Erinnerung ist erst einmal nur der Output. Wenn Kundinnen und Kunden das Feature aber nutzen und es dafür sorgt, dass sie mehr einkaufen, ist das der Outcome. In anderen Kontexten kann das dann auch eine schnellere Einarbeitung, glücklichere Kunden oder Ähnliches bedeuten. Outcome ist aber am Ende immer die Antwort auf die Frage, was sich durch den Output verbessern soll.
Das Konzept von Outcome und Output bei einem komplexen Produkt lässt sich gut am Beispiel des Essens für eine Feierlichkeit verdeutlichen. Jedes einzelne Gericht, jeder Dip, jede Soße und jede Beilage ist Output. Misst man den Erfolg der eigenen Arbeit an Output, so geht es in erster Linie darum, dass möglichst viel Essen auf dem Tisch steht. Geht es aber um Outcome, dann sind die Freude beim Essen, das Lächeln der Gäste und das Genießen des Essens von Bedeutung. Man geht demnach anders an die Arbeit, wenn man sich andere Fragen stellt. Braucht es möglichst viel Essen oder geht es darum, die Personen kulinarisch zufrieden zu stellen? Geht es um schlichte Sättigung oder um Begeisterung beim Essen? Bezogen auf Software: Nutzerinnen und Nutzer freuen sich nicht über zusätzliche Features an sich. Vielmehr freuen sie sich darüber, wenn sie ein Problem einfacher lösen, eine Arbeit schneller durchführen oder eine Funktion leichter bedienen können.
Output-Orientierung lässt sich in vielen Produktteams beobachten. Sie streben dann oft danach, die Arbeitszeit von Entwicklerinnen und Entwicklern maximal auszulasten. Eine hohe Anzahl an Arbeitsergebnissen erzeugt das Gefühl von Produktivität. Langfristig führt das aber nicht nur zu Produkten mit begrenzter Wirkung, sondern auch zu Frustration im Team. Gerade Developer erleben häufig, dass sie technisch anspruchsvolle Lösungen umsetzen, ohne zu wissen, ob diese überhaupt sinnvoll sind.
Jetzt kann man es sich relativ einfach machen. Die Entscheidung, was gebaut wird, liegt häufig beim Produktmanagement oder der Konzeption. Als Entwicklerin oder Entwickler muss man „nur noch“ die Anforderungen umsetzen beziehungsweise in Code konvertieren. Dieses Übersetzen setzt jedoch einiges an Expertise voraus, denn gute Software zu bauen ist alles andere als trivial. Aber sich auf die Umsetzung von Features zurückzuziehen, entbindet Entwickler nicht von der Verantwortung, sich um die eigene Wirksamkeit zu kümmern. Sich nur als Umsetzende zu sehen, ist zu kurz gedacht, denn gerade Entwicklerinnen und Entwickler sitzen an zentraler Stelle. Sie übersetzen Ideen in Realität, treffen dabei aber wichtige Architekturentscheidungen und kennen die technischen Möglichkeiten und Grenzen am besten. Wenn sie in diesem Prozess Fragen zum angestrebten Outcome stellen, hilft Ihr Wissen dabei, gute Lösungen zu finden, statt nur Anforderungen umzusetzen.
Developer müssen aber nun keine neuen Rollen übernehmen. Häufig hilft es schon, an den richtigen Punkten die richtigen Fragen zu stellen (siehe Textkasten). Insbesondere in Terminen, in denen es um Anforderungen geht, entstehen oft wertvolle Diskussionen und somit auch Gelegenheiten, den Grund (den gewünschten Outcome) eines Features zu erfragen und durch das Gespräch gegebenenfalls den Fokus der Entwicklung zu verschieben. Warum soll das jeweilige Feature gebaut werden? Warum benötigen die User das Feature? Woran erkennt man hinterher, dass es sich gelohnt hat, das Feature zu entwickeln?
Natürlich ist es für diejenigen, die die Anforderungen stellen, einfacher, direkt eine bestimmte Funktion zu bestellen. Aber es ist überraschend, wie oft sich auch diese Menschen noch nicht so richtig Gedanken dazu gemacht haben, warum die Welt dieses Feature benötigt und welche Wirkung es eigentlich genau erzielen soll.
Sicherlich sollte jemand aus dem Produktmanagement oder anderen Bereichen die obigen Fragen beantworten können, aber zwei wichtige Aspekte darf man dabei nicht vergessen. Zum einen arbeiten auch dort nur Menschen. Vielleicht finden sie die Idee für das Feature einfach spannend oder haben einfach Lust darauf, es im Produkt zu sehen. Welche Wirkung es bei den Usern auslöst, wurde vielleicht nicht bedacht. Zum anderen passiert es jeder und jedem hin und wieder einmal, dass man sich sehr in einer Lösungsidee verfängt und aus den Augen verliert, dass die gleiche Wirkung auch auf einem anderen Weg erreichbar wäre.
Entwicklerinnen und Entwickler haben als vollwertige Teammitglieder auch die Aufgabe, dafür zu sorgen, die richtigen Dinge zu tun. Manche Teammitglieder wollen aber nicht als Widerstand empfunden werden. Vor allem wer noch nicht viel Arbeitserfahrung hat, stellt mitunter die eigene Perspektive hinten an und geht davon aus, dass der Rest schon wissen wird, warum es sinnvoll ist, das Feature zu bauen. Aber Fragen bremsen nicht, sie schärfen. Sie helfen Teams, bewusster Entscheidungen zu treffen.
Eine verstärkte Outcome-Orientierung darf aber nicht vom Engagement einzelner Teammitglieder abhängen. Sie muss vielmehr Teil der Arbeitsroutine werden, und auch dazu gibt es wirksame Hebel. Einige Produktteams nutzen beispielsweise eine Definition of Ready (DoR), die beschreibt, welche Eigenschaften erfüllt sein müssen, damit eine Anforderung umgesetzt werden kann. Eine DoR kann dann unter anderem aufführen, dass bestimmte Fragen zum angestrebten Outcome beantwortet sein müssen. Zu diesen Fragen gehören beispielsweise die im Textkasten genannten. Durch die Einbindung solcher Fragen in die DoR müssen einzelne Entwicklerinnen und Entwickler nicht mehr jedes Mal nachfragen und gefühlt stören, sondern ein Team verpflichtet sich als Ganzes dazu, die Fragen abzuarbeiten. Wenn beim Überprüfen der DoR unklar ist, wofür eine Anforderung umgesetzt werden soll oder woran Erfolg erkennbar sein soll, ist es sinnvoll, die Umsetzung zu verschieben und erst einmal das angestrebte Ziel oder die angestrebte Wirkung zu klären.
Neben der Expertise von Developern gibt es aber noch einen weiteren Hebel, den Teams nutzen können, um sich mehr auf den Outcome statt auf den Output zu konzentrieren. Viele Team-Dashboards zeigen Systemzustände wie Fehlerraten oder Antwortzeiten. Diese Kennzahlen sind wichtig, um sich ein Bild vom Systemzustand zu machen, aber sie bilden nur einen Teil der Realität ab. Um sich mehr auf den Outcome zu konzentrieren, sollten Teams weitere Indikatoren in das Dashboard einbauen, die etwas über die Nutzung und Wirkung des Produkts aussagen. In Onlineshops könnte dies beispielsweise die Anzahl der gekauften Produkte oder der abgeschlossenen Bestellungen sein, aber auch das jüngste Kundenfeedback, ob als Text oder als Sternebewertung, kann durchaus spannend sein. Dadurch sind nicht nur betriebsrelevante Zahlen immer zu sehen, sondern auch die Wirkung des Produkts. Das kann die Motivation erhöhen.
Ein wichtiger Aspekt von Dashboards wird aber gerne übersehen. Sie sind auch immer eine Art Zusammenfassung vieler einzelner Geschichten, die Menschen bei der Interaktion mit einem Produkt erleben. Aber nicht nur die aggregierten Geschichten in Form der beobachteten Kennzahlen sind relevant, sondern auch die ganz konkreten. Vielleicht sind es O-Töne, die bei einem Usability-Test aufgezeichnet wurden, Zitate aus schriftlichem Feedback oder die Geschichten aus dem Freundeskreis (sofern man ein Produkt baut, das die eigenen Freunde auch nutzen können). Egal, wo die Geschichten herkommen, sollte man sie im Team besprechen und sie in Diskussionen nutzen. Das hilft dabei, von einer Output-Zentrierung wegzukommen. Und wenn noch keine Geschichten da sind, ergibt sich vielleicht für Entwicklerinnen und Entwickler die Möglichkeit, an Usability-Tests teilzunehmen und mitzuerleben, wie das Produkt von echten Menschen genutzt wird. Dann erlebt man die Geschichten hautnah und kann eindrucksvoll davon berichten.
Druck von oben, fehlende Metriken und eingespielte Routinen erschweren die Outcome-Orientierung. Aber alle im Team können dafür sorgen, dass die eigene Arbeit den bestmöglichen Nutzen bringt. Niemand hat Lust, Lebenszeit für sinnlose Arbeit zu investieren. Dem können alle Teammitglieder begegnen, indem sie die Wirkung, sprich den Outcome, immer wieder hinterfragen und darüber diskutieren. Es ist nicht nötig, Grundsatzdebatten loszutreten, aber das gezielte Nachfragen ist ein Schritt auf dem Weg zu einer sich ständig verbessernden Organisation, die die eigene Wirksamkeit über den reinen quantitativen Output stellt. Am Ende geht es um begeisterte User und zufriedene Produktteams, und nicht um eine möglichst große Anzahl an Features.
URL dieses Artikels:
https://www.heise.de/-11204293
Links in diesem Artikel:
[1] https://product-owner-day.de/?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_pod2.empfehlung-ho.link.link
[2] https://product-owner-day.de/veranstaltung-87409-0-produktvisionen-entwickeln-und-nutzen.html?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_pod2.empfehlung-ho.link.link
[3] mailto:mai@heise.de
Copyright © 2026 Heise Medien
(Bild: iX)
Rust-Developer sind mit dem Tempo zufrieden, in dem sich die Sprache weiterentwickelt. Die Entwickler-Community treiben allerdings drei große Sorgen um.
Die Ergebnisse der Umfrage „State of Rust Survey 2025“ liegen vor: Immer mehr Entwicklerinnen und Entwickler setzen Rust [1] in ihrem Arbeitsumfeld ein, können zunehmend produktiver damit arbeiten und verwenden dafür fast immer das aktuelle, stabile Release. Allerdings ist nur eine knappe Mehrheit der Teilnehmer mit dem Tempo zufrieden, mit dem sich Rust weiterentwickelt. Befürchtungen gibt es auch dahingehend, dass Rust zu komplex wird, Developer wie Maintainer zu wenig Unterstützung erhalten und sich die Programmiersprache im Unternehmensumfeld nicht durchsetzen kann.
Mehr als die Hälfte der Befragten [2] meint, dass es sich mit Rust produktiv arbeiten lässt (56,8 Prozent). Damit setzt sich ein Trend fort, denn bei der Vorjahresumfrage [3] stimmten noch 53,5 Prozent dieser Aussage zu, während es im Jahr 2023 [4] nur 47 Prozent waren. Leicht gestiegen, auf 55,1 Prozent, ist auch der Anteil der Entwicklerinnen und Entwickler, die Rust täglich einsetzen. Unter den am häufigsten genannten Alltagsproblemen stehen dabei langsames Kompilieren (27,3 Prozent) und hoher Speicherbedarf für Zielverzeichnisse (22,2 Prozent) an vorderster Stelle.
(Bild: PDF-Report der Umfrage [5])
Mit 89,2 Prozent setzt die große Mehrheit der Rust-Developer auf das aktuelle stabile Release. Sorge vor einem Upgrade hat dabei fast niemand, denn 97,1 Prozent stimmen der Aussage zu, dass der Wechsel auf eine neue stabile Compiler-Version sehr einfach ist und höchstens geringe Code-Anpassungen erfordert.
Vorsichtiger ist man bei Nightly-Upgrades, denn 56,9 Prozent erwarten hier Probleme wie Compiler-Fehler. Warum man diese trotzdem nutzt, beantworten knapp 31 Prozent damit, dass sie ein bestimmtes Feature nutzen wollen, das noch nicht in der stabilen Version zur Verfügung steht. Die Nightly-Version wird auch eingesetzt, weil ein bestimmtes Tool sie erfordert (10,8 Prozent) oder weil eine Crate-Abhängigkeit besteht (8,5 Prozent).
(Bild: Rust-Blog [6])
Knapp 60 Prozent sind mit dem Tempo zufrieden, mit dem sich Rust weiterentwickelt. Einem Viertel geht es indes zu langsam und 41,6 Prozent meinen sogar, dass Rust zu komplex wird. Die ausbleibende Unterstützung für Developer und Maintainer sehen 38,4 Prozent als Problem an, ein Punkt, der gegenüber dem Vorjahr (35,4 Prozent) sogar in der Umfrage gestiegen ist. Hier spiegelt sich offensichtlich eine allgemeine Überforderung [7], die viele Projektverantwortliche bemängeln, oft neuerdings auch im Zusammenhang mit zunehmendem AI-Slop [8].
(Bild: Rust-Blog [9])
Den Spitzenplatz unter den Zukunftssorgen nimmt aber die Befürchtung ein, dass Rust in der Technologiebranche zu wenig Einsatz findet (42,1 Prozent). Die Umfrage macht allerdings auch einen gegenläufigen Trend sichtbar. Im Unternehmensumfeld wird Rust häufiger für den produktiven Einsatz herangezogen (48,8 Prozent), ein klares Plus gegenüber den Jahren 2023 [10] und 2022 [11], in denen noch 45,5 Prozent beziehungsweise 38,7 Prozent der Befragten diese Beobachtung gemacht haben. Zudem gibt ein Viertel der Teilnehmer an, dass ihr Unternehmen Rust-Developer einstellen will. Vergangenes Jahr waren es 22 Prozent und 2021 noch 19,6 Prozent.
Unter den Stable-Features, die in den letzten 12 Monaten dazugekommen sind, verwenden Entwicklerinnen und Entwickler Let Chains (71,4 Prozent) und Async Closures (55,5 Prozent) am häufigsten. Auf dem dritten Platz landet Trait Upcasting mit 28,1 Prozent. Im Gegensatz dazu werden Features wie Naked Functions, Strict Provenance API und diagnostic::do_not_recommend kaum benötigt.
Für das nächste stabile Release wünschen sich die Teilnehmer, dass noch nicht implementierte oder den Nightly-Versionen vorbehaltene Features wie Generic Const Expressions, Const Trait Methods, Stable ABI und Portable SIMD Aufnahme finden.
Die beliebteste Entwicklungsumgebung für Rust bleibt Visual Studio Code, allerdings mit weiter sinkendem Anteil. Im Jahr 2022 war es für 61,7 Prozent der Entwicklerinnen und Entwickler der Editor der Wahl, jetzt nur noch für 51,6 Prozent. Bei den genutzten Paketmanagern und Crate-Quellen sind die Sympathien klar verteilt. Rust-Developer verwenden fast ausschließlich Cargo (97,5 Prozent) und beziehen ihre Crates überwiegend von crates.io (96,6 Prozent). Einen großen Anteil machen mittlerweile auch die Git-Repositories aus, die 46,2 Prozent der Teilnehmer nutzen.
Linux ist als Rust-Entwicklungsplattform weiterhin das OS der Wahl (75,2 Prozent). macOS und Windows bringen es zusammen auf einen Anteil von 61,4 Prozent. Ein ähnliches Bild zeigt sich bei den Zielplattformen. Hier liegt Linux mit 88,4 Prozent vorn, gefolgt von Windows mit 43,3 Prozent und macOS mit 30,7 Prozent.
Die vom Rust Survey Team durchgeführte Online-Umfrage „State of Rust Survey 2025“ lief 30 Tage lang vom 17. November bis zum 17. Dezember 2025 und war in zehn Sprachen verfügbar. Den kompletten Fragebogen beantworteten 7156 Entwicklerinnen und Entwickler, von denen sich eine Mehrheit von 23,4 Prozent in den USA verortete. Mit 13,4 Prozent folgten Teilnehmer aus Deutschland auf Platz zwei. Frankreich, Großbritannien und China machen mit zusammen etwa 16 Prozent die Plätze drei bis fünf unter sich aus.
Insgesamt unterscheiden sich die Antworten zum großen Teil nur geringfügig von der Umfrage aus dem Jahr 2024 [12], so ihre Urheber. Die gegenüber den Vorjahren leicht gesunkene Beteiligung führt das Survey-Team auf die größere Anzahl von Umfragen zurück, die 2025 über den Rust-Blog lanciert wurden.
Sämtliche Ergebnisse der Umfrage stehen im Rust-Blog bereit [13]. Die Auswertung gibt es auch als 59-seitigen PDF-Report [14].
URL dieses Artikels:
https://www.heise.de/-11204050
Links in diesem Artikel:
[1] https://www.heise.de/thema/Rust
[2] https://blog.rust-lang.org/2026/03/02/2025-State-Of-Rust-Survey-results/
[3] https://www.heise.de/news/Programmiersprache-Rust-Schwierigkeiten-Trends-und-Feature-Wuensche-10282253.html
[4] https://www.heise.de/news/Programmiersprache-Rust-gewinnt-im-Arbeitsumfeld-an-Bedeutung-9239296.html
[5] https://raw.githubusercontent.com/rust-lang/surveys/main/surveys/2025/annual-survey/report/annual-survey-2025-report.pdf
[6] https://blog.rust-lang.org/2026/03/02/2025-State-Of-Rust-Survey-results/
[7] https://www.heise.de/news/Rust-Python-und-Maven-suchen-neue-Geldquellen-10668963.html
[8] https://www.heise.de/news/AI-Slop-verstopft-Open-Source-GitHub-kuendigt-Massnahmen-an-11184036.html
[9] https://blog.rust-lang.org/2026/03/02/2025-State-Of-Rust-Survey-results/
[10] https://www.heise.de/news/Programmiersprache-Rust-gewinnt-im-Arbeitsumfeld-an-Bedeutung-9239296.html
[11] https://www.heise.de/news/Programmiersprache-Rust-legt-im-produktiven-Einsatz-zu-6477740.html
[12] https://www.heise.de/news/Programmiersprache-Rust-Schwierigkeiten-Trends-und-Feature-Wuensche-10282253.html
[13] https://blog.rust-lang.org/2026/03/02/2025-State-Of-Rust-Survey-results/
[14] https://raw.githubusercontent.com/rust-lang/surveys/main/surveys/2025/annual-survey/report/annual-survey-2025-report.pdf
[15] mailto:who@heise.de
Copyright © 2026 Heise Medien
Wer nach einem Todesfall Auskunft zu sensiblen Daten verlangt, stößt auf rechtliche Hürden. Der Artikel klärt juristische Möglichkeiten und Grenzen der Erben.
Wenn ein Mensch stirbt, haben seine Nachkommen das Recht und die Pflicht, sich um das zu kümmern, was er hinterlassen hat. Das hat jedoch Grenzen: Es gibt sogenannte höchstpersönliche Rechte, die man mit ins Grab nimmt. Im Dickicht der Gerichtsentscheidungen zu postmortalem Persönlichkeitsrecht und zu Auskunftsverpflichtungen können Nichtjuristen sich leicht verirren. Wir klären die feinen Unterschiede, die manchem Erben schlaflose Nächte bereiten, anhand konkreter Urteile.
Wer Angelegenheiten eines Verstorbenen klären will und auf strittige Fragen stößt, steht bisweilen vor ebenso schmerzlichen wie schwierigen Situationen: Was hatten etwa Krankenhäuser oder Banken an Daten gespeichert und wie sind sie damit umgegangen?
Die europäische Datenschutzgrundverordnung (DSGVO) räumt Verbrauchern wichtige Befugnisse ein und hilft ihnen dadurch, sich dagegen zu schützen, dass jemand ihre personenbezogenen Daten missbraucht. So dürfen sie sich nach Art. 77 Abs. 1 DSGVO bei der zuständigen Datenschutzaufsichtsbehörde über ein Unternehmen beschweren, das ihre Daten möglicherweise unbefugt verarbeitet oder weitergegeben hat. Sie können einer unbefugten Verarbeitung widersprechen (Art. 21 Abs. 1 DSGVO) und verlangen, dass das Unternehmen ihre personenbezogenen Daten löscht (Art. 17 Abs. 1 DSGVO). Womöglich besteht sogar Aussicht, Schadenersatz einzuklagen (Art. 82 Abs. 1 DSGVO).
URL dieses Artikels:
https://www.heise.de/-11148935
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Erben-und-DSGVO-Welche-Rechte-bleiben-Hinterbliebenen-11148935.html
[2] https://www.heise.de/hintergrund/Verdeckte-Inhalteerkennung-am-TV-unzulaessig-aber-nicht-unabwendbar-11197652.html
[3] https://www.heise.de/hintergrund/Datenschutz-Plattformen-droht-Ueberwachungspflicht-11124320.html
[4] https://www.heise.de/hintergrund/Skandal-um-Grok-Das-steckt-hinter-den-sexualisierten-KI-Fotos-auf-X-11129281.html
Copyright © 2026 Heise Medien
Wenn KI für etwas gut sei, dann scheinbar dafür, eine Figur im Glas tanzen zu lassen – diesen Eindruck vermittelt Razers neue KI-Begleitung Ava zunächst. Ava ist eine animierte Figur in einem transparenten Zylinder, die auf Musik reagiert und tanzen kann.
Doch hinter dem ungewöhnlichen Auftritt steckt ein wohl ernst gemeintes Technikprojekt: ein KI-Assistent, der nicht nur redet, sondern Aufgaben erledigen soll.
Razer stellte Ava auf der GDC 2026 (Game Developers Conference) erstmals ausführlich vor. Bei der Erstankündigung im Frühjahr 2025 war Ava noch als Overlay im Spiel gedacht – eine Art KI-Orb, der den Bildschirm analysiert und während des Spielens Tipps gibt.
Inzwischen wurde das Konzept erweitert. "Wir haben Ava von eurem Bildschirm heruntergeholt und zu einem interaktiven AI-Desktop-Companion gemacht" , sagte eine Razer-Managerin bei der Präsentation.
Der Assistent steckt nun in eigener Hardware. In dem Gerät befindet sich ein rund 5,5 Zoll großes holografisches Display, auf dem ein vollständig animierter Avatar dargestellt wird.
Laut Razer soll sich die Interaktion weniger wie klassische Software und mehr wie ein Charakter anfühlen. "Statt mit einer 2D-Oberfläche zu sprechen, interagiert ihr mit einem vollständig animierten Avatar auf eurem Schreibtisch" , hieß es im Vortrag.
Zur Ausstattung gehören Lautsprecher, eine HD-Kamera, Fernfeldmikrofone sowie Chroma-RGB-Beleuchtung, die sich mit Razers Beleuchtungssystem synchronisieren kann.
Wir sahen das Gerät bei der Präsentation aus der Nähe: Das Hologramm ist erstaunlich klar erkennbar und wirkt tatsächlich dreidimensional, gleichzeitig ist die Hardware deutlich leichter als erwartet. Auf den ersten Blick sieht es so aus, als wäre der Zylinder mit Flüssigkeit gefüllt, es handelt sich aber um eine optische Projektion.
Technisch interessanter als die ungewöhnliche Darstellung ist jedoch Razers KI-Infrastruktur. Das System nutzt eine sogenannte Inference Control Plane, die Anfragen dynamisch an verschiedene KI-Modelle weiterleitet.
Die Plattform entscheidet anhand von Rechenaufwand und Latenz, ob eine Anfrage lokal auf dem Rechner oder in der Cloud verarbeitet wird. Ziel ist es, Rechenkosten zu reduzieren und gleichzeitig schnellere Antworten zu ermöglichen.
Hinzu kommen Integrationen mit Drittanbieter-Apps. Ava kann nicht nur Fragen beantworten, sondern auch Aktionen auslösen, etwa Spotify starten oder Einstellungen in Razers Software Synapse ändern. In der Demo reagierte der Avatar auf Musik und begann zu tanzen.
Neu ist auch ein agentischer Ansatz. Statt einzelne Befehle auszuführen, kann Ava komplexe Aufgaben planen und mehrere Schritte automatisch abarbeiten. Ein Beispiel aus der Präsentation: Ein Nutzer bat Ava, ein Foto aufzunehmen und es direkt in einem Ausgaben-Tracker zu speichern. Die KI öffnete Kamera-App und Zielsoftware selbstständig und bestätigte anschließend den Abschluss der Aufgabe.
Noch weiter geht Razers Idee der Zusammenarbeit zwischen mehreren Assistenten. Zwei Ava-Instanzen können miteinander kommunizieren, um etwa Termine zu koordinieren oder eine gemeinsame Gaming-Session zu planen.
Ava soll zunächst in einer Betaversion erscheinen, für die sich Interessenten registrieren können. Laut Razer ist der Start für die zweite Hälfte des Jahres 2026 geplant. Einen Preis für die Hardware nannte das Unternehmen bislang nicht. Ein ausführlicheres Hands-on mit dem ungewöhnlichen KI-Avatar plant Golem in den kommenden Tagen.
Der Iran-Krieg macht deutlich: Hyperscaler sind mittlerweile so bedeutend, dass sie zu einem primären Angriffsziel werden. Iranische Drohnen haben in den vergangenen Tagen Rechenzentren in mehreren Golfstaaten angegriffen , unter anderem von AWS .
Wer noch Gründe sucht, warum die Abhängigkeit von einem großen (US-)Anbieter gefährlich sein kann, bekommt sie dieser Tage geliefert. Trotzdem ist das kein leichter Schritt, denn Hyperscaler bieten vor allem eines: Komfort.
Wenn Workloads nun also zurück in eigene Rechenzentren, zu kommunalen Betreibern oder europäischen Providern wandern sollen, ist die Angst groß, diesen Komfort zu verlieren.
Dass diese Angst unbegründet ist, zeigen wir auf der Rack & Stack, der Golem-Fachkonferenz zur digitalen Souveränität (21. bis 22. April 2026 in Nürnberg) .
Dort dreht zwei Tage lang alles um den Ausstieg aus der Cloud, um Datensouveränität, Resilienz. Mehr als ein Dutzend hochkarätige Speaker berichten hier direkt aus der Praxis. Garantiert buzzwordfrei, keine Produktshows, keine Visionstexte, sondern Erfahrungsberichte aus dem laufenden Betrieb – mit ehrlichen Learnings, klaren, pragmatischen und ehrlichen Botschaften.
Und hier geht es zu den Tickets!
In einem zentralen Vortrag der Rack & Stack 2026 geht es um die wichtige Frage: Welche Eigenschaften machen Cloud-Infrastruktur so bequem und wie übersetzen wir genau diese Eigenschaften auf eigene Racks, Pop-Standorte und regionale Rechenzentren?
Veit Heller von Port Zero beschreibt hier im Detail, wie sich Infrastruktur bei einem Hosting-Provider, einer Stadtwerk-IT oder einem lokalen ISP/IXP so aufsetzen lässt, dass sie sich für interne und externe Kunden wie Cloud anfühlt, nur eben souverän, unter eigener Kontrolle und in EU-Rechenzentren.
Anhand von Projekten mit kommunalen Betreibern und Rechenzentrumsumgebungen zeigt er, wie DCIM/IPAM-Systeme als "Source of Truth", Automatisierungswerkzeuge als Ausführungsumgebung und Pipelines als Kontrollschicht zusammenspielen können: von Request ("neuer Mandant/Standort/Service") zu Review, inklusive automatisiertem Rollout und Dokumentation – damit die Rückführung von Workloads, Datensouveränität und Resilienz sich nicht nach Rückschritt, sondern nach Upgrade anfühlen!
Auch in den weiteren Vorträgen, unter anderem von Jürgen Geuter (tante; mit aktuellem IMHO bei Golem ) und Kurt Garloff geht es darum, wie Organisationen Souveränität technisch umsetzen, etwa durch automatisierte Rechenzentrumsinfrastruktur, eigene Plattformen ohne Hyperscaler oder durch föderierte Anwendungsmodelle, die zentrale Kontrollpunkte vermeiden.
Die Rack & Stack 2026 zeigt, wie digitale Unabhängigkeit gelingen kann. Lasst uns zusammenkommen und über eines der aktuell wichtigsten IT-Themen reden!
Anthropic hat ein KI-gestütztes Review-System in Claude Code eingeführt, das Unternehmen dabei helfen soll, mit der steigenden Zahl von Pull Requests umzugehen. Das neue Feature Code Review ist als Research Preview für Team- und Enterprise-Kunden verfügbar.
Öffnet ein Entwickler einen Pull Request auf Github, schickt das System mehrere Agenten los, die Änderungen parallel durchzuarbeiten. Jeder Agent sucht nach einem anderen Problemtyp: Logikfehler, Sicherheitslücken und Edge Cases. Ein Verifikationsschritt filtert anschließend Falschpositive heraus, bevor die Ergebnisse als Inline-Kommentare im PR erscheinen.
Die Markierungen sind nach Schweregrad farbcodiert: Rot steht für Bugs, die vor dem Merge behoben werden sollten, Gelb für kleinere Probleme, Lila für bereits vorhandene Fehler in angrenzendem Code, den der PR zufällig berührte. Genehmigen oder blockieren kann das System Pull Requests nicht.
Anthropic setzt das Tool seit mehreren Monaten intern ein. Vorher bekamen 16 Prozent der PRs substanzielle Review-Kommentare, danach 54 Prozent. Bei großen PRs mit mehr als 1.000 geänderten Zeilen fand das System in 84 Prozent der Fälle etwas – im Schnitt 7,5 Probleme pro Review. Auch ein Praxisbeispiel nennt das Unternehmen: Eine einzeilige Änderung an einem Produktionsdienst sah harmlos aus, hätte aber die Authentifizierung gestört. Code Review markierte sie als kritisch, bevor der Code gemergt wurde.
Die Abrechnung läuft über den Token-Verbrauch. Ein typischer Review kostet laut Anthropic zwischen 15 und 25 US-Dollar, abhängig von Größe und Komplexität des PR. Größere Änderungen lösen mehr Agenten aus, kleinere bekommen ein kürzeres Review. Die durchschnittliche Laufzeit liegt bei rund 20 Minuten.
Admins können monatliche Ausgabenlimits setzen, Reviews auf ausgewählte Repositories beschränken und die Aktivität über ein Analytics-Dashboard verfolgen. Wer das Verhalten des Tools anpassen will, legt eine `REVIEW.md`-Datei im Repository ab und definiert dort, was immer geprüft werden soll, welche Stilregeln gelten, und was übersprungen werden darf – etwa generierte Dateien oder reine Formatierungsänderungen.
Nicht nutzbar ist Code Review für Organisationen mit aktiviertem Zero Data Retention. Für alle anderen reichen die Installation einer Github-App und die Auswahl der gewünschten Repositories in den Claude-Code-Admin-Einstellungen.
Kurdische Milizen als Waffe gegen den Iran? Die Idee klingt verlockend – doch die Geschichte zeigt ein ernüchterndes Muster. Eine Analyse.
Seit einigen Wochen tauchen in US-amerikanischen und regionalen Medien Berichte über ein ungewöhnliches Szenario auf: Kurdische Milizen aus dem Nordirak könnten im Falle einer militärischen Eskalation gegen den Iran als Bodentruppen eingesetzt werden. Demnach wird diskutiert, iranisch-kurdische Gruppen aufzurüsten, um im Westen Irans militärischen Druck aufzubauen und im Idealfall eine innenpolitische Destabilisierung des Regimes zu unterstützen.
Solche Überlegungen sind keineswegs neu. Doch in der aktuellen geopolitischen Konstellation – mit dem Iran als zentralem strategischem Gegner der USA und Israels – bekommen sie eine neue Brisanz.
Die Idee, kurdische Bewegungen als geopolitischen Hebel einzusetzen, begleitet die Politik des Nahen Ostens seit Jahrzehnten.
Bereits während des Kalten Krieges unterstützten die USA kurdische Aufstände im Irak unter Molla Mustafa Barzani. Ziel war es, Druck auf die Regierung in Bagdad auszuüben und den sowjetischen Einfluss im Land einzudämmen. Als sich jedoch 1975 das geopolitische Umfeld veränderte und Iran und Irak ein Grenzabkommen schlossen, stellten die USA ihre Unterstützung abrupt ein.
Für viele Kurden wurde diese Episode zum Symbol einer instrumentellen Nutzung ihrer Bewegung durch Großmächte. Der damalige US-Außenminister Henry Kissinger formulierte diese Logik später in einem Satz, der bis heute oft zitiert wird: Geheimdienstoperationen seien "keine Wohltätigkeitsorganisationen".
Auch später tauchte die "kurdische Karte" immer wieder auf. Während des Golfkriegs 1991 unterstützten die USA indirekt kurdische Aufstände gegen Saddam Hussein. Nach der US-Invasion im Irak 2003 entwickelten sich kurdische Peschmerga zu den wichtigsten lokalen Partnern Washingtons. Und im Kampf gegen den sogenannten Islamischen Staat wurden kurdische Milizen in Syrien zu den effektivsten Bodentruppen der von den USA geführten Koalition.
Das Muster ist dabei stets ähnlich: Kurdische Kräfte übernehmen militärische Aufgaben am Boden, während externe Mächte politische und militärische Unterstützung liefern.
Heute richtet sich der Blick auf den Iran. In der autonomen Kurdenregion im Nordirak operieren seit Jahren mehrere iranisch-kurdische Oppositionsorganisationen, darunter die Kurdistan Free Life Party (PJAK), die Kurdistan Democratic Party of Iran (KDPI) oder die Kurdistan Freedom Party (PAK).
Mehrere dieser Gruppen haben jüngst eine gemeinsame politische Koalition gebildet, die offen den Sturz des iranischen Systems fordert und ein Selbstbestimmungsrecht für die Kurden im Iran propagiert.
In westlichen sicherheitspolitischen Debatten wird deshalb gelegentlich die Frage gestellt, ob diese Gruppen im Falle einer militärischen Konfrontation zwischen dem Iran und Israel oder den USA eine Rolle spielen könnten. Theoretisch könnten sie versuchen, in den kurdisch geprägten Regionen im Nordwesten Irans militärische Unruhe zu stiften oder lokale Aufstände zu unterstützen.
In der Praxis stößt ein solches Szenario schnell an Grenzen.
Die iranisch-kurdischen Organisationen verfügen zwar über kampferfahrene Kämpfer, doch ihre militärischen Kapazitäten sind begrenzt. Ein ernsthafter Aufstand innerhalb Irans wäre ohne massive externe Unterstützung kaum denkbar – sowohl logistisch als auch militärisch.
Zudem operieren viele dieser Gruppen seit Jahren aus dem Exil. Ihre organisatorischen Strukturen innerhalb Irans gelten als fragmentiert, und ein koordinierter landesweiter Aufstand erscheint derzeit unwahrscheinlich.
Ein weiterer Faktor ist die mögliche Reaktion Teherans. Der Iran hat in der Vergangenheit mehrfach kurdische Stellungen im Nordirak bombardiert und deutlich gemacht, dass er bewaffnete Aktivitäten an seiner Grenze nicht tolerieren würde.
Ein von außen unterstützter kurdischer Aufstand könnte daher sogar gegenteilige Effekte haben: Statt das Regime zu schwächen, könnte er nationalistische Reflexe stärken und die Bevölkerung hinter der Regierung mobilisieren.
Auch für die kurdische Regionalregierung im Nordirak wäre ein solches Szenario politisch heikel.
Erbil beherbergt zwar seit Jahren iranisch-kurdische Oppositionsgruppen, versucht aber gleichzeitig, stabile Beziehungen zu Teheran aufrechtzuerhalten. Der Iran gehört zu den wichtigsten Handelspartnern der autonomen Region.
Entsprechend betonen Vertreter der Regionalregierung regelmäßig, dass ihr Territorium nicht als Ausgangspunkt für Angriffe auf Nachbarstaaten genutzt werden dürfe.
Eine militärische Operation gegen den Iran von nordirakischem Gebiet aus würde dieses fragile Gleichgewicht sofort gefährden.
Der vielleicht wichtigste externe Akteur in diesem Szenario ist jedoch die Türkei.
Ankara verfolgt seit Jahren eine ambivalente Politik gegenüber den Kurden im Nordirak. Einerseits unterhält die Türkei enge wirtschaftliche Beziehungen zur kurdischen Regionalregierung. Andererseits bekämpft sie konsequent Organisationen, die sie mit der PKK in Verbindung bringt.
Besonders sensibel reagiert Ankara auf die PJAK, die in der Türkei als iranischer Ableger der PKK betrachtet wird.
Sollten kurdische Milizen entlang der iranischen Grenze militärisch aufgerüstet werden, würde dies in Ankara sofort Alarm auslösen.
Türkische Sicherheitsstrategen sehen seit Jahren die Gefahr einer zusammenhängenden kurdischen Autonomiestruktur entlang der südlichen Grenzen der Türkei – von Syrien über den Nordirak bis in den Iran.
Aus türkischer Sicht wäre ein Machtvakuum im Nordwesten des Iran vor allem deshalb problematisch, weil sich dort neue kurdische Autonomiestrukturen herausbilden könnten. Ankara hat in Syrien bereits gezeigt, wie es auf ein solches Szenario reagiert: mit militärischen Interventionen und der Einrichtung von Sicherheitszonen, um genau eine solche territoriale Konsolidierung kurdischer Kräfte entlang seiner Grenze zu verhindern.
Vor diesem Hintergrund wirkt die Diskussion über kurdische Bodentruppen gegen den Iran derzeit eher wie ein geopolitisches Signal als ein konkreter militärischer Plan.
Sie zeigt jedoch, wie stark ethnische Konfliktlinien im Nahen Osten weiterhin Teil strategischer Überlegungen sind.
Die Geschichte der kurdischen Bewegungen in der Region zeigt zugleich ein wiederkehrendes Muster: Immer wieder werden sie in geopolitische Machtspiele eingebunden – und ebenso häufig enden diese Allianzen abrupt, sobald sich die Interessen der großen Mächte verschieben.
Sollte die "kurdische Karte" erneut gespielt werden, könnte sie daher weit mehr auslösen als nur Druck auf Teheran. Sie könnte eine regionale Dynamik in Gang setzen, die von Ankara bis Bagdad reicht – und den ohnehin fragilen Nahen Osten weiter destabilisiert.
URL dieses Artikels:
https://www.heise.de/-11204072
Copyright © 2026 Heise Medien
(Bild: Who is Danny / Shutterstock.com)
Eine neue Studie zeigt: Künstliche Intelligenz kann pseudonyme Nutzer auf Social Media mit hoher Trefferquote identifizieren. Was bedeutet das für Dich?
Wer unter einem Pseudonym in sozialen Netzwerken postet, fühlt sich oft sicher. Entsprechend wüst ist oft der Debattenstil.
Eine aktuelle Studie [1] von Forschern der ETH Zürich und des KI-Unternehmens Anthropic zeigt jetzt: Große Sprachmodelle – die Technologie hinter ChatGPT und ähnlichen Tools – können anonyme Konten mit überraschender Genauigkeit echten Personen zuordnen.
Die Forscher fütterten KI-Systeme mit anonymisierten Profilen, die auf Daten von echten Nutzern von Reddit und HackerNews basierten, und ließen sie das Internet nach passenden Identitäten durchsuchen.
Die Modelle analysierten dabei unstrukturierte Texte – also ganz normale Kommentare und Beiträge – und extrahierten daraus Hinweise wie Interessen, berufliche Details, Schreibstil oder geografische Angaben. Anschließend glichen sie diese Signale mit öffentlichen Profilen auf Plattformen wie LinkedIn ab.
Ein Beispiel der Forscher verdeutlicht das Prinzip: Ein Nutzer schreibt [2] über Schulprobleme und Spaziergänge mit seinem Hund Biscuit durch einen bestimmten Park. Die KI sucht nach genau diesen Details auf anderen Plattformen und ordnet das anonyme Konto mit hoher Sicherheit einer realen Person zu.
In den Experimenten lag die Trefferquote bei bis zu 68 Prozent [3], die Genauigkeit korrekter Zuordnungen bei bis zu 90 Prozent.
Bislang schützte Pseudonymität vor allem deshalb, weil die Enttarnung enormen Aufwand erforderte. "Wenn Ihre operative Sicherheit erfordert, dass niemand jemals Stunden oder Tage damit verbringen darf, zu untersuchen, wer Sie sind, ist dieses Sicherheitsmodell nun hinfällig", sagte Studienautor Daniel Paleka [4] gegenüber CyberScoop.
Aufgaben, für die menschliche Ermittler Stunden brauchten, erledigt Künstliche Intelligenz in wenigen Minuten – und das zu minimalen Kosten.
Grundlegende Recherchen wie das Durchsuchen der Online-Spuren einer Person nach Hinweisen auf Nationalität, Standort oder Arbeitsplatz schaffen die Modelle laut Paleka in "fünf Sekunden".
Hacker brauchen dafür nur Zugang zu öffentlich verfügbaren Sprachmodellen und eine Internetverbindung.
Die Forscher warnen vor mehreren Szenarien:
Ein realer Fall zeigt bereits die Tragweite: Das KI-Tool Grok von xAI enthüllte kürzlich laut The Guardian den echten Namen und die Adresse einer Pornodarstellerin, die seit über einem Jahrzehnt unter Künstlernamen arbeitete. Ihre privaten Daten verbreiteten sich anschließend über das gesamte Internet.
Peter Bentley, Professor für Informatik am University College London (UCL), warnte zudem vor Fehlzuordnungen: "Menschen werden für Dinge beschuldigt werden, die sie nicht getan haben".
Die Studie belegt einen klaren Zusammenhang zwischen geteilten Informationen und Identifizierbarkeit.
Bei Nutzern, die in Film-Subreddits nur einen Film diskutierten, lag die Trefferquote bei rund drei Prozent. Bei mehr als zehn besprochenen Filmen stieg sie auf über 48 Prozent.
Selbst scheinbar harmlose Details summieren sich zu einem digitalen Fingerabdruck.
Studienautor Simon Lermen empfiehlt Plattformen als ersten Schritt, den Datenzugriff einzuschränken: Ratenbeschränkungen für Downloads von Nutzerdaten, Erkennung von automatisiertem Scraping und Einschränkung des Massenexports.
Jacob Hoffman-Andrews von der Electronic Frontier Foundation betonte jedoch gegenüber CyberScoop, dass Nutzer nicht alle "Experten darin sein müssen, wie man einem wirklich engagierten Gegner ausweicht".
Für den Einzelnen bleibt vor allem eines: weniger persönliche Details teilen, Beiträge regelmäßig löschen und nicht dieselben Informationen auf mehreren Plattformen preisgeben.
Denn wie Marc Juárez, Dozent für Cybersicherheit an der Universität Edinburgh, gegenüber The Guardian sagte: "Diese Studie zeigt, dass wir unsere Praktiken überdenken sollten".
URL dieses Artikels:
https://www.heise.de/-11204681
Links in diesem Artikel:
[1] https://arxiv.org/pdf/2602.16800
[2] https://www.theguardian.com/technology/2026/mar/08/ai-hackers-social-media-accounts-study
[3] https://arstechnica.com/security/2026/03/llms-can-unmask-pseudonymous-users-at-scale-with-surprising-accuracy/
[4] https://cyberscoop.com/ai-deanonymization-risks-online-anonymity-study/
Copyright © 2026 Heise Medien
Der Ölpreis hat die Marke von 100 US-Dollar durchbrochen
Energiepreise steigen seit Iran-Krieg stark. Gas verteuerte sich um 40 Prozent, Heizöl um 50 Prozent. Was Verbraucher jetzt wissen und tun sollten.
Seit Beginn des Iran-Krieges und der de-facto Blockade der Straße von Hormus klettern die Energiepreise in Europa deutlich nach oben.
Am niederländischen Handelsplatz TTF, dem wichtigsten Referenzwert für europäisches Gas, sprang der Preis auf inzwischen über 60 Euro je Megawattstunde – rund 40 Prozent über dem Niveau vor der Eskalation, als der Durchschnittspreis im Januar und Februar 2026 noch bei etwa 36 Euro lag.
Die Entwicklung weckt Erinnerungen an den Beginn des Ukraine-Kriegs 2022, als der Gaspreis bereits im ersten Monat auf über 220 Euro je Megawattstunde schoss und die Strompreise an der europäischen Börse historische Höchststände von 488 Euro erreichten.
Auslöser des aktuellen Preisschubs ist die iranische Blockade der Straße von Hormus, durch die rund ein Fünftel der weltweiten Flüssiggaslieferungen (LNG) transportiert wird.
Der katarische Energieriese QatarEnergy seine Gasexporte vorübergehend eingestellt [1] und die LNG-Produktion vollständig heruntergefahren. Brancheninsidern zufolge dürfte es mindestens vier Wochen dauern, bis die Anlagen wieder normal laufen.
Zugleich sind die Gasspeicher in Europa weitgehend leer und Russland überlegt sich, den für 2027 geplanten kompletten Lieferstopp an die EU vorzuziehen.
Asiatische Abnehmer suchen bereits nach Ersatz für die ausgefallenen katarischen Lieferungen – ein globaler Wettbewerb um verfügbare LNG-Mengen, der auch die europäischen Preise nach oben treibt.
Sollte die Unterbrechung länger anhalten, halten Analysten der Großbank ING Gaspreise von 80 bis 100 Euro je Megawattstunde für möglich [2]. Goldman Sachs rechnet [3] bei einem einmonatigen Ausfall mit einem TTF-Preis von rund 74 Euro bis Ende März. Das Analysehaus ICIS sieht [4] den Preis bei einer dreimonatigen Blockade sogar bei 90 Euro.
Steigende Gaspreise können sich über das sogenannte Merit-Order-Prinzip direkt auf die Strompreise durchschlagen.
An den europäischen Strombörsen werden Kraftwerke nach ihren Produktionskosten eingesetzt: Zuerst liefern günstige Erzeuger wie Wind-, Solar- oder Wasserkraft, danach kommen teurere Anlagen zum Zug. Den Börsenpreis bestimmt am Ende jedoch das teuerste Kraftwerk, das noch zur Deckung der Nachfrage benötigt wird – häufig ein Gaskraftwerk. Steigen die Gaspreise, verteuert sich damit der Strom für alle Marktteilnehmer, selbst wenn er aus erneuerbaren Quellen stammt.
Allerdings dürfte der Effekt auf den Strompreis nach Einschätzung [5] der Verbraucherzentrale Schleswig-Holstein geringer ausfallen als beim Gas selbst – das hat bereits die Energiepreiskrise 2022 gezeigt.
Für Verbraucher zeigen sich die Veränderungen am Energiemarkt unterschiedlich schnell. Kunden mit dynamischen oder flexiblen Stromtarifen bekommen steigende Börsenpreise meist unmittelbar zu spüren. Haushalte mit langfristigen Festpreisverträgen bemerken die Entwicklung dagegen oft erst mit Verzögerung, wenn die Preisgarantie ausläuft.
Die Vergleichsplattform Verivox gibt an [6], dass sich bei den Neukundenpreisen für Gas bisher kein Anstieg abzeichnet. Im Gegenteil: Gas kostet derzeit mit 8,4 Cent pro Kilowattstunde sogar weniger als vor einem Jahr (10,2 Cent).
Das Gaspreisbarometer des Verbraucherportals Finanztip verzeichnet allerdings bereits einen leichten Anstieg [7]. Der berechnete Mittelwert liegt bei 9,81 Cent pro Kilowattstunde für Verträge mit 12 Monaten Preisgarantie (Stand: 5. März).
Sollten die Börsenpreise auf hohem Niveau verharren, sei in den kommenden Wochen auch mit steigenden Neukundenpreisen zu rechnen, so Verivox. Die Nachfrage nach Gastarifen ist laut der Plattform bereits sprunghaft gestiegen: Aktuell würden mehr als doppelt so viele neue Gasverträge abgeschlossen wie noch vor einer Woche.
Auch bei Fernwärme drohen Preiserhöhungen, da die Preisformeln vieler Anbieter direkt an die Gaspreisentwicklung gekoppelt sind – allerdings oft mit einem Zeitverzug von bis zu einem Jahr.
Konkret beziffert: Der Anstieg des Börsenpreises von 32 auf 50 Euro je Megawattstunde entspricht umgerechnet rund 1,8 Cent pro Kilowattstunde. Bei einem typischen Jahresverbrauch von 20.000 Kilowattstunden Gas wären das etwa 360 Euro Mehrkosten. Sollte der TTF-Preis auf 92 Euro steigen, läge der Aufschlag bei rund 6 Cent pro Kilowattstunde.
Während sich Gas- und Strompreise für Endkunden erst mit Verzögerung verändern, schlagen die gestiegenen Ölpreise an Tankstellen und beim Heizölkauf sofort durch.
Eine Standardlieferung von 3.000 Litern Heizöl kostete laut dem Portal Esyoil [8] am Freitag vor Kriegsbeginn noch rund 96 Euro pro 100 Liter, am darauffolgenden Montag bereits 115 Euro und zuletzt 144 Euro.
Auch an der Zapfsäule sind die Auswirkungen angekommen. Laut Daten des SWR-Datenmonitors [9] verteuerte sich eine 50-Liter-Tankfüllung je nach Kraftstoff bis zum 6. März um 8,50 Euro (Super) bis 16 Euro (Diesel).
Allerdings: Heizöl dürfte in Deutschland kaum knapp werden, da das Rohöl größtenteils nicht aus dem Nahen Osten, sondern aus Norwegen, den USA und Kasachstan stammt. Hamsterkäufe sind daher nicht sinnvoll.
Verbraucher sollten jetzt eine Reihe von Maßnahmen treffen, um sich zumindest so gut wie möglich gegen die drohende Energiekrise abzusichern:
Steht ein Auto-Neukauf ohnehin an, und passt das Nutzerprofil (z.B. Pendeln mit Kurzstrecke), kann die Anschaffung eines günstigen E-Kleinwagens jetzt Sinn machen – auch, um laufende Zuschüsse [14] abzugreifen. Hersteller wie BYD oder Dacia bieten günstige E-Autos für teilweise deutlich unter 20.000 Euro an. Die hohen Spritpreise verkürzen die Amortisationszeit deutlich, weswegen zu überlegen ist, die Anschaffung vorzuziehen.
Wer Hauseigentümer ist und über die nötigen Mittel verfügt, kann sich langfristig besser gegen schwankende Energiepreise absichern.
Die Kombination aus Wärmepumpe, Photovoltaikanlage und Ladestation für ein Elektroauto ermöglicht es, einen großen Teil des eigenen Energiebedarfs mit selbst erzeugtem Strom zu decken. Ebenso hilft eine energetische Sanierung – etwa durch Dämmung, neue Fenster oder eine neue Haustür –, den Energieverbrauch dauerhaft zu senken.
Wie sich die Situation weiterentwickelt, hängt entscheidend von der Dauer des Krieges und der Blockade der Straße von Hormus ab. Bei einer raschen Entspannung könnten die Auswirkungen auf Haushaltskunden gering bleiben. Dauert der Krieg jedoch länger, was nicht unwahrscheinlich ist, müssen sich Verbraucher auf deutlich höhere Energiekosten einstellen.
URL dieses Artikels:
https://www.heise.de/-11203846
Links in diesem Artikel:
[1] https://www.heise.de/tp/article/Katar-stoppt-Erdgas-Exporte-und-warnt-vor-monatelangen-Ausfaellen-11202200.html
[2] https://static.wertpapiere.ing.de/investieren/boersenundmaerkte/nachrichten/nachricht/DPA.2349197
[3] https://www.investing.com/news/commodities-news/goldman-raises-firsthalf-european-natural-gas-price-forecast-amid-iran-strikes-4537024
[4] https://www.trasportoeuropa.it/english/hormuz-crisis-could-push-european-gas-to-90-euros-per-mwh/
[5] https://www.energie-fachberater.de/news/irankrieg-energiekrise-tipps-fuer-gas-und-stromkunden.php
[6] https://www.tagesschau.de/wirtschaft/energie/gaspreise-tarife-verivox-100.html
[7] https://www.finanztip.de/gaspreisvergleich/gaspreis-gaskosten/
[8] https://www.esyoil.com/
[9] https://www.swr.de/swraktuell/tanken-im-ausland-preisunterschiede-100.html
[10] https://www.check24.de/
[11] https://www.verivox.de/
[12] https://www.finanztip.de/heizoel/
[13] https://www.finanztip.de/guenstig-tanken/
[14] https://www.adac.de/rund-ums-fahrzeug/elektromobilitaet/elektroauto/foerderung-elektroautos/
Copyright © 2026 Heise Medien
Studio Display in zweiter Generation: Reichen die Neuerungen.
(Bild: Andreas Wodrich / heise medien)
Wer einen Apple-Bildschirm möchte, kommt am Studio Display nicht vorbei. Im Test untersuchen wir, ob die Neuauflage den Preis rechtfertigt.
Für viele Mac-Nutzer ist das Studio Display mit seinem Design und der 5K-Auflösung alternativlos. Für die Neuauflage polierte Apple an vielen Stellen nach und baut unter anderem modernere Ports mit Thunderbolt 5 ein.
Ausgerechnet beim Herzstück des 1700 Euro teuren Monitors (ab 1641,89 €) [1] (ab 1641,89 €) [1], dem Panel, wagt der Hersteller allerdings keine Änderungen.
Wir haben die Neuauflage vermessen, die neuen Thunderbolt-Optionen ausprobiert und geprüft, ob Apples 5K-Display der wachsenden Konkurrenz technisch noch Paroli bietet.
URL dieses Artikels:
https://www.heise.de/-11204379
Links in diesem Artikel:
[1] https://heise.de/preisvergleich/apple-studio-display-2026-mfex4fd-a-a3744140.html?ccpid=hocid-mac-and-i&cs_id=1206858352
Copyright © 2026 Heise Medien
MacBook Pro M5 Max: Nochmal etwas schneller.
(Bild: Andreas Wodrich / heise medien)
Apple hat bei seinen MacBook Pros im März die Prozessorvarianten M5 Pro und Max eingeführt. Im Test untersuchen wir Performance, SSD und mehr.
Ende 2024 hatte Apple die M4-Chips auf das MacBook Pro gebracht und zwar alle drei Varianten auf einmal. Die jüngste Upgrade-Runde zog sich hingegen über fünf Monate hin: Im Oktober 2025 kam das MacBook Pro mit einfachem M5 [1] [1] in den Handel, zusammen mit dem iPad Pro M5 und der Vision Pro M5. Der Verkaufsstart für die MacBook Pros mit M5 Pro und M5 Max folgt nun aber erst am 11. März.
Über die Gründe der Verzögerung schweigt sich Apple aus, es könnte aber mit der neu entwickelten Fusion-Architektur zusammenhängen, die beim M5 Pro und M5 Max erstmals zum Einsatz kommt. Das Design kombiniert zwei Dies zu einem System on a Chip (SoC).
Es umfasst wie gehabt eine leistungsstarke CPU, eine skalierbare GPU, eine Media Engine, einen Controller für den gemeinsamen Arbeitsspeicher, eine Neural Engine und Unterstützung für Thunderbolt 5. Inwieweit es sich von der beim Ultra-Chip verwendeten Interposer-Technik, der zwei Max-Chips auf Silikonebene verbindet, unterscheidet, ist unklar.
URL dieses Artikels:
https://www.heise.de/-11204665
Links in diesem Artikel:
[1] https://www.heise.de/tests/Staubsaugen-im-Apple-Home-Diese-Haushaltsroboter-lohnen-sich-10751677.html
Copyright © 2026 Heise Medien
(Bild: Apple / Screenshot YouTube)
Zum 50. Jubiläum von Apple spricht CEO Tim Cook über das Erbe von Steve Jobs, gesellschaftliche Werte in turbulenten Zeiten und die langfristige Planung.
Apple [1] wird dieses Jahr 50 Jahre alt. Für Apple-CEO Tim Cook und das Unternehmen ist dies eine besondere Herausforderung: Die Fähigkeit, zurückzublicken, habe man erstmal entwickeln müssen, scherzte der Apple-Chef jetzt in einem seltenen Rückblick über die Geschichte, Kultur und Zukunft des Konzerns. Normalerweise blicke Apple im Alltag bevorzugt nach vorne.
Im Gespräch mit dem Journalisten David Pogue ging Cook in dem Interview [2], das im US-amerikanischen Fernsehsender CBS ausgestrahlt wurde, auch auf die Bedeutung von Werten in politisch turbulenten Zeiten ein. Cook sieht sich hier aktuell wegen seiner Nähe zu US-Präsident Donald Trump Kritik ausgesetzt. Insbesondere ein Besuch im Weißen Haus trotz eskalierender Gewalt in Minnesota [3] sorgte zuletzt für massive Verärgerung in der Belegschaft. Der Apple-Chef zog überdies eine für ihn ungewohnt persönliche Bilanz: über den Zustand des Unternehmens bei seinem Eintritt 1997, Steve Jobs’ letzten Rat an ihn als designierten CEO – und warum Apples Erfolg seiner Meinung nach schlicht nicht kopierbar ist.
Tim Cook hat Apple seit seinem Amtsantritt als CEO im Jahr 2011 stärker als sein Vorgänger Steve Jobs auch in gesellschaftspolitischen Fragen positioniert: Apple hat sich Barrierefreiheit, Datenschutz als Menschenrecht, Nachhaltigkeit und Klimaschutz, Bildung und Diversität auf die Fahnen geschrieben. Doch seit der zweiten Amtszeit von Donald Trump, dessen Regierung zum Beispiel den Klimaschutz stark zurückgenommen hat oder Diversitätsprogramme für Unternehmen zurückfährt, werden Apples Werte auf die Probe gestellt. Cook, der mit einer Glasplakette mit 24-Karat-Gold-Sockel, die er Trump überreichte, für Diskussionen sorgte, bekennt sich in dem Interview zu Apples Werten. In einem internen Treffen versprach Cook zudem, sich verstärkt für ausländische Mitarbeiter und eine humane Einwanderungspolitik [4] einzusetzen. Diese seien in chaotischen Phasen sogar wichtiger und nicht weniger relevant, erklärte er.
„Tu einfach das Richtige“, habe Steve Jobs seinem Nachfolger aufgetragen. „Frag nie, was ich tun würde.“ Und auch wenn Cook betont, dass er diesem Rat des Apple-Mitbegründers gefolgt sei, wird in dem Interview doch deutlich, wie sehr er sich dem Erbe von Jobs verpflichtet fühlt. Dieser sei eine Person gewesen, „wie sie einmal in tausend Jahren vorkommt“, sagt er. Und seine größte Erfindung sei nicht ein Produkt gewesen, sondern Apple selbst.
Die Dankbarkeit, die Cook ausstrahlt, begründet er mit seinem eigenen Werdegang bei Apple. Als er vor knapp 28 Jahren bei Apple angefangen habe, befand sich das Unternehmen im Überlebenskampf. Der Quartalsumsatz habe nur noch bei 1,3 bis 1,4 Milliarden US-Dollar gelegen und es sei unklar gewesen, ob man den verbliebenen Mitarbeitern im nächsten Monat noch den Lohn zahlen könnte. Frühere Weggefährten hätten ihm, der damals beim weltweit größten PC-Konzern Compaq arbeitete, davon abgeraten, zu Apple zu wechseln. Doch Cook folgte dem Ruf von Jobs trotzdem.
Heute ist Apple drei- bis viermal so groß und profitabel wie zu Beginn von Cooks Zeit als CEO. In den 15 Jahren sind rund 100.000 Mitarbeiter hinzugekommen. Doch Apple ist auch mehr und mehr ins Fadenkreuz der Regulierung geraten. Cook betont, was das Unternehmen bei verschiedenen Gelegenheiten immer wieder sagt: Zu viel Regulierung könne Innovation bremsen. Apples Erfolgsrezept seien nicht die Produkte oder Ideen alleine, sondern die Kultur und die Menschen, die das Unternehmen prägen.
Zur Kultur zählt Cook neben dem disziplinierten Blick nach vorn und dem Blicken um die Ecke vor allem den Fokus. Das berühmte Nein zu tausend Dingen, um zu einer Sache Ja zu sagen, werde weiterhin beherzigt. Außerdem seien Kollaboration und Exzellenzanspruch bei Apple weitere Prioritäten neben der Verzahnung von Hard- und Software sowie Dienstleistungen.
Die Feierlichkeiten zum 50. von Apple, auf die Cook nicht weiter einging, sollen das Unternehmen aber nicht vom Kurs abbringen. In den Laboren werde bereits an Projekten gearbeitet, die mehrere Jahre in der Zukunft liegen, ließ Cook durchblicken. Alleine die eigenen Chips, der Apple Silicon, zwinge das Unternehmen zu einer besonders langfristigen Planung. Für den Blick in den Rückspiegel bleibt da außer bei besonderen Gelegenheiten keine Zeit.
URL dieses Artikels:
https://www.heise.de/-11204581
Links in diesem Artikel:
[1] https://www.heise.de/thema/Apple
[2] https://youtu.be/xLqUXIwPGUo
[3] https://www.heise.de/news/Trump-Besuch-trotz-Gewalteskalation-Kritik-an-Apple-Chef-Tim-Cook-kocht-hoch-11157666.html
[4] https://www.heise.de/news/Nach-Minnesota-Vorfaellen-Tim-Cook-will-fuer-auslaendische-Mitarbeiter-lobbyieren-11171235.html
[5] https://www.heise.de/mac-and-i
[6] mailto:mki@heise.de
Copyright © 2026 Heise Medien
(Bild: Henk Vrieselaar/Shutterstock.com)
Niederländische Geheimdienste warnen vor Angriffen auf Militärs und Beamte, bei denen Messenger-Konten ohne technische Sicherheitslücken übernommen werden.
Die Sicherheit von Messenger-Diensten wie Signal und WhatsApp basiert maßgeblich auf ihrer starken Ende-zu-Ende-Verschlüsselung. Das macht sie nun zum Ziel einer „großangelegten weltweiten“ Spionagekampagne, warnen die niederländischen Geheimdienste MIVD und AIVD, die für die Bereiche Militär sowie Inlandsschutz und Spionageabwehr zuständig sind. Russische Staatshacker versuchten derzeit weltweit, Zugriff auf die Konten von hochrangigen Würdenträgern, Militärpersonal und Regierungsbeamten zu erlangen.
Laut dem Hinweis der beiden Spionagebehörden [1] stehen auch Journalisten und andere Personen von strategischem Interesse für den russischen Staat im Fadenkreuz der Operation. Diese mache deutlich, dass die sicherste Verschlüsselung wenig bringe, wenn der Zugang zum Endgerät oder zum Nutzerkonto selbst kompromittiert werde.
Die Angreifer verwenden laut MIVD und AIVD keine technischen Schwachstellen oder Zero-Day-Exploits in der Software der Messenger. Stattdessen setzten sie auf manipulatives Social Engineering, um legitime Funktionen der Apps gegen die Nutzer zu verwenden, heißt es. Eine häufig beobachtete Methode sei die Täuschung über gefälschte Support-Chatbots. Die staatlichen Hacker gäben sich etwa als offizieller Signal-Support aus und versuchten, den Opfern Verifizierungs- oder PIN-Codes zu entlocken. Sobald ein Nutzer solche Informationen preisgibt, können die Angreifer das Konto auf einem eigenen Gerät übernehmen.
Eine weitere Taktik soll der Missbrauch der Funktion für verknüpfte Geräte sein. Dabei koppelten die Angreifer heimlich ein weiteres Gerät mit dem bestehenden Account. Dies ermögliche es ihnen, alle ein- und ausgehenden Nachrichten in Echtzeit mitzulesen, ohne dass das Opfer den Fernzugriff unmittelbar bemerke.
Die Folgen einer erfolgreichen Übernahme können gravierend sein. Die Übeltäter lesen nicht nur private Chats mit, sondern erhalten auch Zugriff auf alle Gruppenunterhaltungen, in denen das Opfer Mitglied ist. In diesen Kanälen vermuten die russischen Akteure sensible Informationen, die aufgrund des hohen Vertrauens in die App-Sicherheit dort oft unvorsichtig geteilt werden. Um der Bedrohung entgegenzuwirken, haben die niederländischen Behörden einen Leitfaden veröffentlicht [2], der Nutzer für verdächtige Anzeichen sensibilisieren soll.
Die Geheimdienste raten dazu, bei jedem Verdacht auf Unregelmäßigkeiten sofort die zuständigen IT-Sicherheitsstellen zu informieren. Die Identität verdächtiger Konten sollte über alternative Kommunikationswege wie E-Mail oder Telefon verifiziert werden. Erhärte sich ein Verdacht, müssten die betroffenen Accounts umgehend durch den Gruppenadministrator entfernt werden. Falls der Administrator selbst kompromittiert zu sein scheint, bleibt als sicherste Option nur das Verlassen der bestehenden Gruppe und die Eröffnung eines neuen, gesicherten Kommunikationskanals.
Die Spionageaktivitäten finden vor dem Hintergrund einer verschärften Internetzensur in Russland seit Beginn der Ukraine-Invasion statt. Dienste wie WhatsApp und Signal sind in Russland bereits offiziell gesperrt [3]. Zuletzt geriet auch Telegram verstärkt unter Druck. Gegen dessen Gründer Pawel Durow ermitteln russische Behörden [4] im Rahmen eines Strafverfahrens. Sie werfen ihm die Unterstützung terroristischer Aktivitäten vor, da der Messenger angeblich bei zahlreichen Straftaten als Werkzeug genutzt worden sei. Durow selbst hat Russland bereits vor Jahren verlassen, um dem wachsenden Einfluss des Staates auf seine Plattform zu entgehen.
Die gleichzeitige Verfolgung von Plattformbetreibern im Inland und die gezielten Angriffe auf ausländische Nutzerkonten verdeutlichen die Doppelstrategie des Kreml: Er will die Kontrolle über den digitalen Informationsraum sowohl defensiv als auch offensiv sichern.
URL dieses Artikels:
https://www.heise.de/-11204731
Links in diesem Artikel:
[1] https://www.aivd.nl/actueel/nieuws/2026/03/09/rusland-voert-cybercampagne-uit-tegen-signal--en-whatsapp-accounts
[2] https://www.aivd.nl/documenten/2026/03/09/cyberadvies.-phishing-via-chatapps-signal-en-whatsapp
[3] https://www.heise.de/news/Zugriff-nur-noch-per-VPN-Russland-blockiert-jetzt-auch-WhatsApp-komplett-11175277.html
[4] https://www.heise.de/news/Terror-Unterstuetzung-Russland-ermittelt-gegen-Telegram-Gruender-11189928.html
[5] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[6] mailto:nie@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Die NIS2-Registrierungsfrist ist verstrichen, doch viele Unternehmen haben sich noch nicht angemeldet. Darum stockt die Umsetzung der Security-Richtlinie.
Vom viel zu früh verstorbenen Science-Fiction-Autor Douglas Adams stammt das Zitat: „Ich liebe Deadlines. Ich mag dieses Rauschen, das sie im Vorbeiflug erzeugen.“ Tausende deutsche Unternehmen hatten wohl eher die Rauschunterdrückung aktiviert, als am 6. März 2026 die Registrierungsfrist für NIS2-Einrichtungen verstrichen ist: Bis zu diesem Datum, drei Monate nach Inkrafttreten des zugrundeliegenden Gesetzes, sollten sich alle „wichtigen“ und „besonders wichtigen“ Einrichtungen beim gemeinsamen Portal der Bundesämter für Sicherheit in der Informationstechnik (BSI) und für Bevölkerungsschutz und Katastrophenhilfe (BBK) angemeldet haben. Etwa 11.500 Behörden, Unternehmen und andere kritische Einrichtungen sind jetzt registriert – von der Feststellung einer lückenlosen Pflichterfüllung der ungefähr 30.000 zu registrierenden Unternehmen ist man also weit entfernt.
Woran mag es liegen, dass so wenige bisher die Registrierung geschafft haben? Ist das Verfahren zur Registrierung vielleicht zu kompliziert? Das zumindest hört man gelegentlich von denen, die es schon versucht haben, im Ablauf aber stecken geblieben sind. Bei der Einrichtung des für die Teilnahme an der BSI-Plattform erforderlichen Unternehmenskontos wird schon zu Beginn der Nachweis einer Vertretungsberechtigung verlangt – logisch, aber dazu muss zunächst ein ELSTER-Organisationszertifikat beantragt werden, das per Post ans Unternehmen versandt wird. Kein Problem, aber sicher zeitaufwändiger, als viele es sich vorgestellt haben. Dabei hat die Behörde sich sogar besonders viel Mühe gegeben, den Weg in die Registrierung zu ebnen: Eine Schritt-für-Schritt-Anleitung, die das BSI am Portaleingang bereitstellt, lässt kaum Fragen offen.
Wenn dann der Zugang zum Portal erfolgreich eingerichtet ist, verlangt die Registrierung allerdings auch Angaben, die vielleicht nicht sofort zur Hand sind – der öffentliche IP-Adressraum zum Beispiel, der zu den obligatorischen Basisinformationen für jedes registrierte Unternehmen gehört. Sinn der Sache ist es, dem BSI ein Monitoring von ungewöhnlichem Datenverkehr und auch Portscans zu ermöglichen, um unabhängig von der firmeninternen Überwachung des Netzwerks von der Behörde Warnhinweise über potenzielle Vorfälle zu erhalten. Für Anbieter digitaler Dienste sind diese Angaben auch auf die IP-Adressen in ihrem Kundensegment auszudehnen, nicht nur auf den Adressraum der eigenen Einrichtung.
Auch wenn die Registrierung selbst also nicht ganz trivial ist, sind es bei vielen Unternehmen gar nicht die formalen Voraussetzungen, die sie an einer termingerechten Anmeldung hindern. Woran es offensichtlich mangelt, ist eher die Erkenntnis – oder Anerkennung – der eigenen Betroffenheit. Aus zahllosen Gesprächen mit Geschäftsführungen, IT-Leitungen und anderen Entscheidungsträgern ist bekannt, dass viele immer noch verunsichert sind, welche Kriterien bezüglich der NIS2-Relevanz ihrer spezifischen Geschäftstätigkeit gelten. Und nicht nur das: Selbst größere Unternehmensgruppen unterschätzen, dass beispielsweise eine separate Konzerngesellschaft mit den ausgelagerten IT-Diensten für die übrigen Gruppenunternehmen auch für sich allein betrachtet unter die Regulierung fallen kann. Hierbei handelt es sich nämlich um einen sogenannten Managed Services Provider, sofern die Schwellen der Mitarbeiteranzahl oder Umsätze überschritten sind.
Tatsächlich gibt es Grenzfälle, bei denen es ohne Rechtsgutachten kaum gelingt, die wichtigste Frage zu beantworten: Sind wir als Unternehmen im Anwendungsbereich des Gesetzes oder nicht? Wenn im verarbeitenden Gewerbe etwa unklar bleibt, ob die in der NIS2-Richtlinie der EU aufgeführten – und im deutschen BSI-Gesetz Wort für Wort identischen – Produkt- und Dienstleistungskategorien den eigenen Betrieb zutreffend beschreiben, ist eine gewisse Ratlosigkeit verständlich. Unter diesen Bedingungen aber auf die Registrierung zu verzichten oder erst einmal abzuwarten, ist nicht zu empfehlen.
Umgekehrt gibt es auch Unternehmen, die sich freiwillig und vorsorglich registriert haben – trotz begründeter Zweifel, ob sie überhaupt dazu verpflichtet wären. Auf diese Weise entgehen sie jedenfalls eventuellen Bußgeldern, die schon bei unterlassener Registrierung bis zu einer halben Million Euro betragen können. Unwahrscheinlich, dass die Behörde gleich zu Beginn der neuen Regulierung massenhaft Ordnungswidrigkeiten ahnden wird, aber die Einhaltung geltender Gesetze einfach solange zu verweigern, bis dann wirklich Sanktionen drohen, wäre doch mehr als heikel.
Grundsätzlich ist die Bereitschaft zur Umsetzung von Maßnahmen zur Stärkung der Informationssicherheit aber vorhanden, auch wenn sie Geld kosten. Seit dem Beginn des russischen Angriffskriegs auf die Ukraine sind auch in Deutschland die Investitionen in die Cybersicherheit rasant gestiegen. Folgt man Umfrageergebnissen, wie sie zum Beispiel der Bitkom-Verband oder Schwarz Digit Research zusammengetragen haben, ist der Anteil der IT-Sicherheitsausgaben mittlerweile doppelt so hoch wie damals. Prozentual zum Gesamtbetrag der IT-Budgets in den befragten Unternehmen lagen sie 2022 im Schnitt noch bei neun, heute 18 Prozent. 41 Prozent der Unternehmen liegen sogar über der magischen „Cyber-Quote“, die der ehemalige BSI-Präsident Arne Schönbohm vor Jahren als Richtschnur für – O-Ton – „jedes Digitalisierungsprojekt“ verkündete: Zwanzig Prozent der Ausgaben sollten demnach mindestens für die Cybersicherheit bereitgestellt werden.
Wenn trotz dieser auskömmlichen Investitionsbereitschaft immer noch viele Unternehmen angeben, sie seien noch nicht so weit, ist die Zurückhaltung nicht leicht zu rechtfertigen. Vom Zeitpunkt der Verabschiedung der europäischen Cybersicherheitsrichtlinie im Dezember 2022 bis zum Inkrafttreten des deutschen Umsetzungsgesetzes im Dezember 2025 hätte es genügend Gelegenheit gegeben, sich mit den Auswirkungen auf das eigene Unternehmen zu beschäftigen. Welche Sektoren und Unternehmenskennzahlen Grundlage für die Zuerkennung des Status als NIS2-Verpflichteten sind, worin diese Pflichten im Einzelnen bestehen und welche konkreten Maßnahmen als Mindestsicherheitsanforderungen im Raum stehen, das alles ist seit mehr als drei Jahren bekannt.
Im Bereich der gleichzeitig mit der NIS2 und der Partnerrichtlinie CER in Kraft getretenen EU-Verordnung für den Finanzsektor, genannt DORA [1], zeigte sich schon Anfang 2025, dass die Umsetzung sehr viel schneller vonstatten geht, wenn regulierte Institutionen von ihrer Aufsichtsbehörde hart in die Pflicht genommen werden. Seit über einem Jahr sind alle relevanten IT-Dienstleister der Banken und anderer Finanzinstitute gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) benannt und mit Angaben über die Umsetzung von Cyber-Risikomaßnahmen versehen. Zur mittlerweile flächendeckenden Compliance im Sinne dieser Regulierung hat sicher beigetragen, dass die BaFin ihre Aufsichtsfunktionen im Bedarfsfall oder bei begründetem Verdacht der Nicht-Umsetzung wichtiger Maßnahmen auf die Zulieferer ausdehnen kann. Ein Besuch der Aufseher kann also auch beim ausgelagerten, unabhängigen IT-Betrieb erfolgen, nicht nur bei der Bank, für die er tätig ist.
Wenn wenigstens die Registrierung dann endlich erfolgt ist, wird es für viele der 30.000 direkt regulierten, aber auch die schätzungsweise 70.000 nur mittelbar von den Vorschriften aus der NIS2 betroffenen Einrichtungen höchste Zeit, sich mit der Implementierung der technischen und organisatorischen Compliance zu beschäftigen. Der berühmte Katalog der zehn Mindestsicherheitsanforderungen aus § 30 (2) BSI-Gesetz enthält keine radikalen Neuerungen oder unzumutbare Auflagen für die Informationssicherheit der Unternehmen – das meiste davon ist seit Jahren als geübte Praxis in vielen IT-Abteilungen und den übrigen Organisationseinheiten längst der Normalfall. Von ein paar expliziten Zusätzen wie Multi-Faktor-Authentisierung oder Notfallkommunikation abgesehen, basiert die Zehn-Punkte-Liste der vorgeschriebenen Risikomanagementmaßnahmen ganz überwiegend auf internationalen Standards. Das steht zwar nicht explizit in Richtlinie oder Gesetz, weil kommerzielle Normen nicht unmittelbar Gegenstand der Gesetzgebung sein dürfen. De facto sind aber drei Viertel der in den zehn Punkten zusammengefassten Vorgaben identisch mit dem Informationssicherheitsmanagementsystem aus ISO 27001 – auch als Basis des BSI IT-Grundschutz-Kompendiums [2], das dieselbe Norm anders umsetzt.
Allen, die noch zögern, die Vorgaben zur Registrierungs- und Meldepflicht und zur Umsetzung der Cybersicherheitsmaßnahmen zu erfüllen, kann man nur daran erinnern, dass die Einhaltung von Gesetzen zum Wesenskern jeder unternehmerischen Tätigkeit gehört. Wer die NIS2 ignoriert oder ihre Umsetzung im eigenen Unternehmen verschleppt, kann rechtlich und materiell in größte Probleme geraten.
URL dieses Artikels:
https://www.heise.de/-11204285
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/DORA-Neue-Regulierung-fuer-mehr-Resilienz-in-der-Finanzbranche-9624238.html
[2] https://www.heise.de/hintergrund/IT-Grundschutz-Kompendium-2023-Neue-Bausteine-fuer-Outsourcing-7541630.html
[3] https://www.heise.de/ix
[4] mailto:fo@heise.de
Copyright © 2026 Heise Medien
(Bild: Volla)
Die Nutzung von Banking- und Bezahl-Apps auf Android-Smartphones mit Custom-ROMs ist ein Problem: Das will ein europäisches Industriekonsortium nun ändern.
Sicher mit einem Android-Smartphone bezahlen, ganz ohne Google-Dienste: Das ist der Plan, den das neu gegründete Industriekonsortium unter Führung der deutschen Volla Systeme GmbH entwickelt. Es handelt sich dabei um eine quelloffene Alternative zu Google Play Integrity. Bislang entscheidet die proprietäre Schnittstelle auf Android-Smartphones mit Google-Play-Diensten darüber, ob Banking-, Behörden- oder Wallet-Apps auf einem Smartphone laufen dürfen.
Hindernisse und Tipps beim Bezahlen mit einem Android [1]-Smartphone ohne offizielle Google-Dienste hat c’t in einem umfangreichen Artikel beleuchtet [2]. Einige der genannten Probleme will das europäische Industriekonsortium nun beheben. Dafür entwickelt die Gruppe, der neben Volla auch Murena, die das Custom-ROM /e/OS [3] entwickeln, Iodé [4] aus Frankreich und Apostrophy (Punkt) [5]aus der Schweiz angehören, ein sogenanntes „UnifiedAttestation“ für Google-freie mobile Betriebssysteme, überwiegend auf Basis des Android Open Source Projects (AOSP).
Laut Volla haben zudem ein europäischer und ein führender Hersteller aus Asien sowie Europäische Stiftungen wie die deutsche UBports-Stiftung Interesse zur Unterstützung angemeldet. Überdies würden Entwickler und Herausgeber staatlicher Apps aus Skandinavien prüfen, das neue Verfahren als „First Mover“ einzusetzen.
„Mit UnifiedAttestation [6] schaffen wir ein transparentes und vertrauenswürdiges Verfahren für die Sicherheitsprüfung, auf das Entwickler und Herausgeber von Apps gleichermaßen vertrauen können. Damit beseitigen wir die letzte Hürde für die Verwendung alternativer mobiler Betriebssysteme“, sagt Dr. Jörg Wurzer, Geschäftsführer der Volla Systeme GmbH und Initiator des Konsortiums. Ziel sei es, sich von der Kontrolle eines einzelnen US-Konzerns zu befreien – hin zu mehr digitaler Souveränität, heißt es.
Volla erläutert in seiner Ankündigung, dass Google mit Play Integrity [7] App-Entwicklern eine Schnittstelle bereitstellt, die prüft, ob eine App auf einem Gerät mit bestimmten Sicherheitsanforderungen ausgeführt wird. Dies betrifft vor allem Anwendungen aus „sensiblen Bereichen wie Identitätsnachweis, Banking oder digitale Wallets – einschließlich Apps von Regierungen und öffentlichen Verwaltungen“.
Das Unternehmen kritisiert, dass die Zertifizierung ausschließlich für Googles eigenes, proprietäres „Stock Android“ angeboten wird, nicht jedoch für Android-Versionen ohne Google-Dienste wie etwa /e/OS oder ähnliche Custom-ROMs. „Da dieses eng mit Google-Diensten und Google-Rechenzentren verflochten ist, entsteht ein strukturelles Abhängigkeitsverhältnis – und für alternative Betriebssysteme ein faktisches Ausschlusskriterium“, so das Unternehmen.
Aus Sicht des Konsortiums ergebe sich daraus zudem ein „sicherheitstechnisches Paradox“, denn „die Prüfung der Vertrauenswürdigkeit erfolgt durch genau jene Instanz, deren Ökosystem gleichzeitig vermieden werden soll“.
Die Alternative zu Google Play Integrity in Form der UnifiedAttestation soll dem Plan des Konsortiums zufolge modular aufgebaut und quelloffen entwickelt werden. Ähnlich wie Googles frei verwendbares AOSP (Android Open Source Project) soll es mit einer liberalen Apache-2.0-Lizenz veröffentlicht werden.
(Bild: Volla)
Weiter erklärt das Konsortium, dass UnifiedAttestation aus drei zentralen Elementen bestehen soll. Zum einen soll es ein „Betriebssystem-Dienst“ sein, der mit wenigen Zeilen Code in Apps integriert werden kann. Apps könnten darüber eine Anfrage stellen, ob das jeweilige Betriebssystem definierte Sicherheitsanforderungen erfülle. Zudem soll ein Validierungsdienst dezentral betrieben werden. Dieser prüfe dann, ob das Zertifikat eines Betriebssystems auf dem jeweiligen Gerät gültig ist. Das dritte Element ist eine offene Test-Suite. Diese soll zur „Prüfung und Zertifizierung eines Betriebssystems für ein konkretes Gerätemodell“ dienen.
Geplant sei darüber hinaus ein Peer-Review-Verfahren, mit dem die Mitglieder des Konsortiums ihre Betriebssysteme sowie Smartphone- oder Tablet-Modelle gegenseitig prüfen und zertifizieren. „Dadurch soll Transparenz geschaffen und Vertrauen durch Nachvollziehbarkeit ersetzt werden“.
„Wir wollen Vertrauen nicht zentralisieren, sondern transparent und öffentlich überprüfbar organisieren. Wenn Unternehmen die Produkte der Konkurrenz prüfen, können wir jenes Vertrauen stärken“, erklärt Dr. Wurzer. Ziel des Konsortiums ist es zudem, die neue Industrieinitiative als offenes Kooperationsformat unter dem Dach der Eclipse Foundation, der größten Open-Source-Foundation in Europa, zu etablieren. Erste Gespräche dazu hätten bereits begonnen.
URL dieses Artikels:
https://www.heise.de/-11204008
Links in diesem Artikel:
[1] https://www.heise.de/thema/Android
[2] https://www.heise.de/ratgeber/Wie-Banking-und-mobiles-Bezahlen-mit-Custom-ROMs-funktionieren-10640893.html
[3] https://www.heise.de/ratgeber/Ohne-Google-mit-Cloud-Einsteigerfreundliches-Custom-ROM-e-OS-im-Test-11149287.html
[4] https://www.heise.de/ratgeber/Raus-aus-der-Updatefalle-Wie-Lineage-und-iode-alte-Smartphones-retten-11149297.html
[5] https://www.heise.de/news/Punkt-MC03-Android-Smartphone-Made-in-Europe-ohne-Google-mit-Abo-11128698.html
[6] https://uattest.net/
[7] https://developer.android.com/google/play/integrity?hl=de
[8] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[9] mailto:afl@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Die frisch erschienene Version 25.12.0 von OpenWrt unterstützt mehr Geräte und setzt auf einen neuen Paketmanager.
Das OpenWrt-Projekt hat die Version 25.12.0 der Open-Source-Router-Firmware veröffentlicht. Besonders stechen darin die zahlreichen unterstützten Geräte und der Wechsel auf eine neue Paketverwaltung hervor.
In den Release-Notes liefert OpenWrt [1] einen Überblick über die Änderungen. Als wichtigen Punkt vorneweg nennen die Entwickler, dass das Upgrade von OpenWrt 24.10 auf 25.12 in vielen Fällen vom sysupgrade-Werkzeug unterstützt wird, das versucht, die Konfiguration mitzumigrieren. Dennoch sollten Upgrade-Willige zuvor ein Backup ihrer Konfiguration anlegen, raten die OpenWrt-Programmierer. An OpenWrt [2] 25.12.0 haben die Entwickler über ein Jahr lang gearbeitet und kommen auf mehr als 4700 Quellcode-Commits seit Fassung 24.10. Der Codename „Dave’s Guitar“ soll der Erinnerung des im April 2025 verstorbenen Dave Täht dienen.
Der Paketmanager wechselt vom alten opkg zu apk (Alpine Package Keeper). Wichtigster Grund dafür ist, dass das OpenWrt-opkg nicht mehr unterstützt und apk weiterhin gepflegt wird. Nur wenige Paketnamen haben sich geändert. Ein Cheatsheet soll beim Umsteigen [3] hilfreiche Informationen liefern. Außerdem liefert OpenWrt nun eine webbasierte „attended.sysupgrade“-LuCI-App (ASU) mit. Auf Geräten mit größerem Flash-Speicher installiert OpenWrt außerdem das Kommandozeilen-Tool „owut“ (OpenWrt Upgrade Tool) standardmäßig mit. ASU soll auf neue OpenWrt-Versionen aktualisieren und Firmware-Images automatisch mit allen derzeit installierten Paketen zusammenbauen können. Dabei erhält es die Systemkonfiguration und erlaubt die Integration zusätzlicher installierter Pakete direkt in das SquashFS-Dateisystem. Das soll Upgrades deutlich vereinfachen: Mit nur wenigen Klicks in LuCI und nach kurzer Wartezeit steht ein angepasstes Firmware-Abbild bereit, das ohne weitere manuelle Eingriffe installiert wird.
Außerdem speichert OpenWrt in einem RAM-basierten Dateisystem den Befehlsverlauf der Shell. Der steht damit auch nach neuen Logins bereit. Das erspart unnötige Schreibzugriffe auf den Flash-Speicher, der nur eine begrenzte Zahl an Schreibzyklen verkraftet. Das lässt sich jedoch umstellen, sodass auch persistente Speicherung auf dem Flash-Speicher möglich ist. Das erhöht jedoch die Schreibzyklen und wirkt sich auf die Flash-Lebensdauer aus, warnen die Entwickler.
Hardwareseitig gibt es mehr Unterstützung für Realtek-Ziele, dort insbesondere mehr Switch-SoCs mit 10-GBit-Support. Das qualcommax-Ziel unterstützt zwei weitere SoCs. Neu dabei ist ein siflower-Build-Target und neue Sub-Targets für Allwinner-F1C100/200s-SoCs. Ebenfalls neu dabei ist der Microchip LAN969x-Switch-Chipsatz. Insgesamt kommt OpenWrt nun auf mehr als 2200 unterstützte Geräte. Seit OpenWrt 24.10 sind 180 neu dazugekommen.
Die Software ist ebenfalls aktueller: Der Linux-Kernel 6.12.71 kommt für alle Build-Targets zum Einsatz, außerdem sind die Stände von glibc 2.41, gcc 14.3.0, binutils 2.44 dabei. Als zentrale Komponenten sind nun die Fassungen busybox 1.37.0, dropbear 2025.89 und dnsmasq 2.91 Bestandteil von OpenWrt. OpenWrt 24.10 erreicht mit dem Release von OpenWrt 25.12.0 in sechs Monaten das Support-Ende, also gibt es dafür nach September 2026 keine Sicherheitsupdates mehr. Nutzer sollten daher die Zeit nutzen und zeitnah auf die neue Version aktualisieren.
Ende Oktober musste das OpenWrt-Projekt Sicherheitslücken schließen [4]. Die haben Angreifern etwa das Einschleusen und Ausführen von Schadcode oder das Ausweiten ihrer Rechte im System ermöglicht.
Siehe auch:
URL dieses Artikels:
https://www.heise.de/-11204136
Links in diesem Artikel:
[1] https://openwrt.org/releases/25.12/notes-25.12.0
[2] https://www.heise.de/thema/OpenWRT
[3] https://openwrt.org/docs/guide-user/additional-software/opkg-to-apk-cheatsheet
[4] https://www.heise.de/news/OpenWRT-Updates-schliessen-Sicherheitsluecken-in-Router-Betriebssystem-10811056.html
[5] https://www.heise.de/download/product/openwrt-59994?wt_mc=intern.red.download.tickermeldung.ho.link.link
[6] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
FreshRSS