Anmelden
(Bild: Noom_Studio/Shutterstock.com)
Die Open-Source-Datenbank RxDB 17 synchronisiert Daten jetzt direkt über Google Drive oder OneDrive – ein eigenes Backend brauchen Entwickler nicht mehr.
Die JavaScript-Datenbank RxDB kann ab Version 17.0.0 Daten ohne eigenes Backend synchronisieren. Außerdem führt das Projekt eine Schnittstelle für KI-Agenten ein und bringt ein schnelleres Storage-Backend für React-Native-Apps.
RxDB ist eine Open-Source-Datenbank für JavaScript und TypeScript. Sie setzt auf Storage-Backends wie IndexedDB oder SQLite auf und ist für Offline-First-Anwendungen gedacht: Apps, die lokal arbeiten und Daten bei Bedarf synchronisieren. Typische Einsatzgebiete sind Progressive Web Apps, React-Native-Apps und Electron-Anwendungen.
Das zentrale neue Feature in RxDB 17 sind zwei neue Replikations-Plugins für Google Drive und Microsoft OneDrive. Sie synchronisieren Daten direkt in den Cloud-Speicher des Nutzers, statt sie auf einem zentralen Server abzulegen. Entwickler können ihre App als statische Website auf GitHub Pages, Vercel oder Cloudflare hosten und brauchen kein eigenes Backend mehr. Die Synchronisation läuft nahezu in Echtzeit und geräteübergreifend. Mehrere Apps können auf denselben Cloud-Ordner zugreifen und so Daten teilen.
Allerdings bringt dieser Ansatz Einschränkungen mit sich. Cloud-Speicher bieten keine ACID-Garantien, und die Synchronisation unterliegt den Ratenlimits der jeweiligen Cloud-API. Nutzer müssen zudem per OAuth den Zugriff auf ihr Konto erlauben.
Mit dem neuen WebMCP-Plugin können KI-Agenten über das Web Model Context Protocol [1] direkt auf RxDB-Collections zugreifen. Bisher mussten Agenten im Browser entweder die gerenderte Seite analysieren oder die HTML-Struktur erraten – beides ist aufwendig und fehleranfällig. WebMCP stellt stattdessen eine maschinenlesbare API-Beschreibung bereit. Agenten erfahren darüber, welche Operationen verfügbar sind, und können beliebige Abfragen oder Änderungen ausführen, ohne dass Entwickler für jede Aktion ein eigenes Tool definieren müssen.
Für React-Native- und Expo-Apps bringt RxDB 17 das Expo Filesystem RxStorage mit. Es basiert auf expo-opfs und nutzt die aktuelle Expo-Filesystem-API. Laut den Entwicklern arbeitet es bei vielen Zugriffsmustern deutlich schneller als SQLite. Das Backend ist speziell für das Expo-Ökosystem optimiert und greift direkt auf das Dateisystem zu, um die Performance zu steigern.
Ferner wurde RxDB 17 gezielt für KI-gestützte Programmierung optimiert. Eine neue Datei llms.txt fasst die API in einer für Sprachmodelle geeigneten Form zusammen. ERROR-MESSAGES.md listet alle Fehlercodes mit Ursache, Lösung und Link zur Dokumentation auf. Fehlerobjekte enthalten nun die Eigenschaften cause, fix und docs, sodass ein Sprachmodell beim Debugging nicht in Sackgassen gerät. Dateien wie .aiexclude und .claudeignore reduzieren den Kontext, den KI-Tools verarbeiten müssen. TypeScript-Kommentare enthalten jetzt @example-Tags, damit Agenten die API auch ohne Dokumentation nutzen können.
Auf der Framework-Seite gibt es ein neues React-Plugin mit Hooks und Signals sowie ein Paket reactivity-angular für Angular Signals. Die bisherigen Premium-Pakete für Vue und Preact Signals wandern in den frei verfügbaren Kern. Signals tragen jetzt den konkreten Datentyp des Dokuments – also etwa Signal<number> statt Signal<any>.
Die Entwickler haben den Bulk-Insert-Pfad, das Query-Routing und interne Datenstrukturen überarbeitet. IndexedDB speichert Anhänge jetzt binär statt als JSON, was Speicherplatz spart. Mehrere Speicherlecks in OPFS und im Migrationscode wurden ebenfalls behoben.
Neun Plugins verlassen die Beta-Phase und gelten ab sofort als produktionsreif. Dazu gehören die Replikations-Plugins für Appwrite, Supabase und MongoDB, die Storage-Backends für MongoDB, das Node.js-Dateisystem und DenoKV sowie die Attachment-Replikation, das CRDT-Plugin und RxPipeline.
Die meisten Anwendungen lassen sich ohne größere Anpassungen aktualisieren. Wer allerdings OPFS RxStorage, Filesystem RxStorage unter Node.js oder IndexedDB mit Anhängen nutzt, muss seine Daten mit dem Storage Migrator migrieren. Pull-Only-Replikationen speichern keine Server-Metadaten mehr auf dem Client. Primärschlüssel und Indizes sind auf maximal 2048 Zeichen begrenzt, da zu lange Schlüssel die Performance beeinträchtigen. Einige Integrationen wie Firebase, MongoDB und NATS sind jetzt optionale Peer Dependencies und müssen manuell installiert werden. Vorgebaute dist-Dateien liefert das GitHub-Repository nicht mehr mit – Entwickler installieren RxDB über npm oder bauen lokal selbst.
Die vollständigen Release Notes [2] stehen auf der Projektseite bereit.
URL dieses Artikels:
https://www.heise.de/-11242237
Links in diesem Artikel:
[1] https://www.heise.de/news/Googles-WebMCP-macht-Websites-zu-strukturierten-Datenquellen-fuer-KI-Agenten-11177824.html
[2] https://rxdb.info/releases/17.0.0.html
[3] https://www.heise.de/ix
[4] mailto:fo@heise.de
Copyright © 2026 Heise Medien
Da soll sich einer auskennen...
(Bild: Daniel AJ Sokolov)
TikTok versucht, sich um Pflichten aus dem Gesetz über digitale Dienste (DSA) herumzuwinden. Technisch wie juristisch.
Tiktok muss seine Webseite für Nutzer in Deutschland umprogrammieren, urteilt das Oberlandesgericht Bamberg (OLG). Die aktuelle Gestaltung verstößt mehrfach gegen die als DSA (Digital Services Act, [1] auch Gesetz über digitale Dienste) bekannte EU-Verordnung. Tiktok muss es Nutzern leicht machen, die Nutzung personenbezogener Daten für die Auswahl der vorgesetzten Videos auszuschalten.
Außerdem muss die Meldung rechtswidriger Inhalte benutzerfreundlich gestaltet werden. Beides ist laut dem von der Verbraucherzentrale Bayern erstrittenen Urteil ( 3 UKl 5/25 e) [2] nicht gegeben, obwohl der DSA das in Artikel 38 respektive 16 vorschreibt.
Da der Fall grundsätzliche Bedeutung hat, es zu den relevanten Rechtsfragen aber noch keine Rechtsprechung gibt, hat das OLG in seinem erstinstanzlichen Endurteil vom 18. März die Revision zum Bundesgerichtshof zugelassen. Tiktok wird das wohl in Anspruch nehmen und hat seine Webseite bisher nicht verbessert. TikToks Anregung, bestimmte Rechtsfragen zuerst dem Europäischen Gerichtshof (EuGH) vorzulegen, hat das Gericht nicht aufgegriffen.
Im Prozess hat TikTok zunächst versucht, der Verbraucherzentrale die Berechtigung zur Klageführung abzustreiten. Der DSA diene der Wettbewerbsregulierung und nicht dem Verbraucherschutz; zudem sei ausschließlich die Europäische Kommission zur Durchsetzung befugt, und diese habe an der Webseite nichts ausgesetzt. Und überhaupt würden auch Nicht-Verbraucher die Webseite aufrufen.
Diese Argumente griffen beim OLG Bamberg nicht. Einerseits seien die für die Klage relevanten Passagen des DSA eindeutig verbraucherschützend, andererseits gebe das deutsche Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (UKlaG [3]) der Verbraucherzentrale ausdrücklich das Recht, wegen Verstößen gegen solche DSA-Passagen vor Gericht zu ziehen. Die Regelung des DSA, wonach die EU-Kommission für die Durchsetzung zuständig sei, diene der Abgrenzung gegenüber anderen Verwaltungsbehörden, schließe aber Gerichtsverfahren nach dem UKlaG nicht aus.
Nutzer haben gemäß Artikel 38 DSA [4] das Recht, TikTok zu verbieten, seinem Algorithmus ein Profil aus personenbezogenen Daten zu füttern. Diese Option hat TikTok allerdings ausnehmend gut versteckt. Nutzer müssen mit der rechten Maustaste auf ein Video oder ein beworbenes Produktbild klicken, und dann im Kontextmenü „Feed verwalten" auswählen.
(Bild: Tiktok (Screenshot))
Dieser Weg ist alles andere als naheliegend. Beim Versuch der Redaktion ist das Kontextmenü auch nur in einem von drei Webbrowsern aufgetaucht; die anderen beiden Browser zeigten ihr eigenes Kontextmenü. Und über jene TikTok-Menüs, die über die bekannten drei Punkte aufgerufen werden können, ist die Datenschutz-Option nicht zu finden. Damit sei die De-Personalisierungsfunktion auf Tiktoks Webseite zwar unmittelbar, aber nicht leicht zugänglich, was die Vorgaben des DSA verletzt.
Die Meldung rechtswidriger Inhalte gemäß DSA ist sehr wohl über das Drei-Punkte-Menü im rechten oberen Eck des jeweiligen Videos erreichbar – allerdings gut versteckt. Zunächst muss „Melden“ ausgewählt werden, was eine Reihe von Auswahlmöglichkeiten beschert. Darunter „Hass und Belästigung“, „Betrug und Schwindel“ oder „Fälschungen und geistiges Eigentum“, was ja durchaus rechtswidrige Tatbestände sind.
Doch wer meint, damit eine Meldung gemäß Artikel 16 DSA [5] erstattet zu haben, irrt. TikTok betrachtet dies lediglich als Hinweis auf einen Verstoß gegen die eigenen Richtlinien und setzt nicht die im DSA vorgesehenen Maßnahmen. Nutzer können keine Begründung hinzufügen und auch keine Kontaktdaten beifügen. Damit entfallen nicht nur die Empfangsbestätigung und Information über die Entscheidung über die Meldung, sondern TikTok wähnt sich auch haftungsfrei. Nur bei Meldungen nach Artikel 16 DSA gilt TikTok formalrechtlich als in Kenntnis gesetzt und muss gegebenenfalls Maßnahmen ergreifen.
(Bild: TikTok/Daniel AJ Sokolov (bearbeiteter Screenshot))
Nur wer in dem Menü unter den Seitenumbruch hinunterscrollt und "Widerrechtlichen Inhalt melden" auswählt, kann nähere Informationen und seine Kontaktdaten hinzufügen. Das erschließt sich aber erst, nachdem man das ausgewählt hat. „Faktisch hängt es daher häufig vom Zufall ab, welche Schaltfläche der Nutzer betätigt und demnach auch, ob er ein den Anforderungen des Art 16 DSA genügendes Meldeverfahren in die Wege leitet“, begründet der OLG sein Unterlassungsurteil. „Die Auffindung dieses Meldeverfahrens wird dem Nutzer daher durch die Ausgestaltung in einer Weise erschwert, dass sie entgegen der Vorgabe der Benutzerfreundlichkeit mit Unannehmlichkeiten verbunden ist.“
URL dieses Artikels:
https://www.heise.de/-11242574
Links in diesem Artikel:
[1] https://www.heise.de/news/50-Millionen-Mal-Recht-gegeben-Wie-der-DSA-die-Willkuer-der-Plattformen-bricht-11180177.html
[2] https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2026-N-4668?hl=true
[3] https://www.gesetze-im-internet.de/uklag/__2.html
[4] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065#art_38
[5] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065#art_16
[6] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[7] mailto:ds@heise.de
Copyright © 2026 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Hohe Speicherpreise verteuern neue Desktop-PCs. Wir liefern Tipps, worauf Sie beim Kauf von Rechnern aus zweiter Hand als günstige Alternative achten müssen.
Seit Oktober 2025 erklimmen die Preise für Arbeitsspeicher immer neue Höhen. RAM kostet derzeit rund das Vierfache im Vergleich zum Spätsommer 2025. Zudem haben sich SSDs und Grafikkarten verteuert. Das führt nicht nur bei PC-Bastlern zu Frust, sondern treibt auch die Preise für Komplettrechner nach oben. Für alle, die ausgerechnet jetzt gezwungen sind, einen neuen zu kaufen, mögen Gebraucht-PCs sowie die günstigen Mini-PCs aus China als attraktive Alternative erscheinen.
Doch nicht hinter jedem günstigen Angebot steckt ein Schnäppchen. So kursieren Second-Hand-Rechner mit Uralt-Hardware, die mit kruden Patches vermeintlich Windows-11-tauglich gemacht wurden, außerdem China-PCs ohne gültige Windows-Lizenz sowie Ladenhüter, die reif für den Elektroschrott sind.
In diesem Artikel geben wir Tipps, wie Sie bereits vor dem Kauf erkennen können, ob die Hardware zukunftssicher ist und die Windows-11-Vorgaben erfüllt. In einem Vergleichstest haben wir drei Gebraucht-PCs im c’t-Labor auf Herz und Nieren geprüft, die unter 400 Euro kosten und damit billiger sind als so manches RAM-Kit. In unserem Windows-Ratgeber lesen Sie, wie Sie unter anderem die Echtheit des installierten Windows einschätzen können. In einer FAQ beantworten wir die wichtigsten Fragen zum Thema China-PC.
URL dieses Artikels:
https://www.heise.de/-11154243
Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/Gebrauchte-PCs-als-Spar-Alternative-Eine-Kaufberatung-11154243.html
Copyright © 2026 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Plakat mit schiitischen Märtyrern, einschließlich Qasem Suleimani.
(Bild: Obaida Hitto, shutterstock)
Bagdad autorisiert Selbstverteidigung schiitischer Milizen und warnt die Kurden, auf Seiten der USA in den Krieg einzutreten. Die GIs räumen Stützpunkte.
Infolge des unprovozierten und völkerrechtswidrigen Angriffs der USA und Israels auf den Iran wurde auch der Irak zum Schauplatz [1] erneuter Konflikte mit den USA. Schiitische Milizen greifen amerikanische Einrichtungen an. Gleichzeitig versucht [2] die Zentralregierung in Bagdad, eine Beteiligung kurdischer Gruppen am Krieg zu verhindern.
Etwa 60 Prozent der irakischen Bevölkerung von 42 Millionen Menschen, sind Schiiten.
Also trafen Raketen und Drohnen die US-Botschaft in Bagdad, Militärstützpunkte im ganzen Land und Hotels, in denen sich westliche Staatsbürger – und zunehmend auch [3] US-Soldaten – aufhalten.
Am 17. März überwand [4] eine Rakete die Verteidigungsanlagen der amerikanischen Botschaft in der irakischen Hauptstadt. Der Einschlag traf einen Hubschrauberlandeplatz und beschädigte Teile eines Luftabwehrsystems vom Typ C-RAM. Opfer wurden nicht gemeldet.
Zusätzlich tauchten Aufnahmen auf, die eine Drohne zeigen, wie sie über die Victory Base nahe dem internationalen Flughafen von Bagdad fliegt [5] und ein Gebäude trifft. Offensichtlich hatte Drohne auch hier die amerikanischen Verteidigungssysteme umgangen – ein Novum bei derartigen Angriffen.
Die US-Botschaft reagierte mit einer eindringlichen Warnung an alle amerikanischen Staatsbürger im Irak: "US-Bürger sollten den Irak umgehend verlassen."
Die Botschaft warnte weiter, dass Hotels, die von Ausländern genutzt werden, angegriffen worden seien. US-Amerikaner im Irak seien einem erhöhten Entführungsrisiko ausgesetzt. Auch die diplomatische Zone im Zentrum Bagdads sowie der internationale Flughafen von Erbil im kurdisch dominierten Nordirak seien wiederholt unter Beschuss geraten.
Die USA haben umgehend mit Bombardements reagiert [6]. Am 23. März trafen amerikanische Kampfjets ein regionales Hauptquartier der Popular Mobilization Forces (PMF), einer Dachorganisation überwiegend schiitischer Milizen, in der westlichen Provinz Anbar. Mindestens 15 Kämpfer wurden getötet, darunter Saad al-Baiji, der Operationskommandeur der PMF in Anbar. Etwa 30 weitere Menschen wurden verletzt.
Einen Tag zuvor, am 16. März, hatte Kataib Hezbollah, eine der mächtigsten pro-iranischen Milizen im Irak, den Tod ihres Sicherheitschefs Abu Ali al-Askari bei einem amerikanischen Luftangriff bekanntgegeben.
Der irakische Nationale Sicherheitsrat, der von Premierminister Mohammed Shia al-Sudani geleitet wird, hat den PMF unterdessen das Recht auf Selbstverteidigung zugestanden [7]. Die Entscheidung wurde von staatlichen Medien berichtet und folgte auf die tödlichen Angriffe.
Die PMF sind formal in die irakischen Sicherheitskräfte integriert, doch viele der Gruppen unter ihrem Dach pflegen enge Verbindungen zum Iran. Sie wurden 2014 gegründet, um gegen die Terrormiliz Islamischer Staat (IS) zu kämpfen, und dabei waren sie sehr erfolgreich. Seitdem haben sie ihren Einfluss im Irak kontinuierlich ausgebaut.
Heute sind sie ein großer und heterogener Verband, der aus etwa 60 bis 70 Brigaden besteht und rund 230.000 Kämpfer zählt. Ihr Jahresbudget wird auf rund 3,5 Milliarden Dollar geschätzt [8].
Am Montag erklärte der "Islamische Widerstand im Irak", amerikanische und NATO-Streitkräfte hätten ihren Abzug aus Camp Victory nahe dem Flughafen Bagdad abgeschlossen [9]. Die US-Einheiten hatten vorher um eine 24-stündige Feuerpause nachgesucht, um abziehen zu können.
Camp Victory war früher ein wichtiger US-Militärstützpunkt und wurde später in eine diplomatische Einrichtung umgewandelt. Die Anlage wurde seit Beginn des Iran-Krieges wiederholt angegriffen.
Auch Italien hat damit begonnen, Truppen aus dem Nordirak abzuziehen und einige Soldaten nach Jordanien zu verlegen. Andere westliche Länder, darunter Großbritannien und Frankreich, haben Truppen dagegen umgruppiert oder ihre Marinepräsenz in der Region verstärkt.
Während die Gewalt im Zentrum und Westen des Irak eskaliert, gerät die kurdische Regionalregierung (KRG) im Norden unter wachsenden Druck. Die irakische Zentralregierung in Bagdad hat die KRG diese Woche gewarnt [10], eine Beteiligung kurdischer Gruppen am Krieg gegen den Iran zu verhindern.
Nach Angaben irakischer, kurdischer und türkischer Beamter, die mit Middle East Eye sprachen, übermittelte Bagdad die Warnung Anfang der Woche. Die Botschaft sei klar gewesen, sagte ein irakischer Beamter: "Kurdische Gruppen dürfen sich nicht in den Iran einmischen. Wenn die KRG das nicht verhindern kann, werden irakische Bundeskräfte einrücken, um die Grenze zu sichern."
Iran hat bereits gedroht, kurdische Stützpunkte im Irak anzugreifen, sollten sie für Angriffe über die Grenze genutzt werden. Und die Türkei betrachtet bewaffnete kurdische Bewegungen in der Region schon lange als Bedrohung ihrer nationalen Sicherheit und hat wiederholt vor Versuchen gewarnt, kurdische Fraktionen in regionalen Konflikten zu mobilisieren.
Kurdische Beamte haben sich öffentlich vom Krieg distanziert und gewarnt, eine Beteiligung könne die Region ins Chaos stürzen. Qubad Talabani, stellvertretender Premierminister der KRG und Sohn des früheren irakischen Präsidenten Jalal Talabani, wies Spekulationen zurück, kurdische Kräfte würden an einem Feldzug im Iran teilnehmen.
Doch auch so bleibt die Lage für westliche Truppen im Irak schwierig genug. Es scheint, als hätten die Schiiten ihre Zwistigkeiten untereinander vorerst auf Eis gelegt. Aber alle Iraker befürchten nun, dass die USA ihr Sanktionsregime gegen den Irak wieder ausdehnen könnte.
Noch weit schlimmer für Bagdad ist jedoch die Tatsache, dass der Irak derzeit lediglich [11] 1,7 bis 1,8 Millionen Barrel Öl täglich exportiert – verglichen mit 4,3 Mio. Barrel vor dem US-israelischen Angriff auf Iran und der selektiven Sperrung der Straße von Hormus durch Teheran.
URL dieses Artikels:
https://www.heise.de/-11229848
Links in diesem Artikel:
[1] https://thecradle.co/articles/iraq-steps-forward-in-a-regional-war
[2] https://www.middleeasteye.net/news/iraq-warns-kurdish-authorities-not-get-drawn-war-iran-sources-say
[3] https://www.aa.com.tr/en/middle-east/us-forces-in-middle-east-operate-from-hotels-as-iran-strikes-bases-report/3879948
[4] https://nationalinterest.org/blog/middle-east-watch/irans-iraqi-militias-are-coming-for-us-troops
[5] https://thenewregion.com/posts/4932
[6] https://www.reuters.com/world/middle-east/two-iraqs-shiite-popular-mobilization-forces-fighters-killed-airstrikes-western-2026-03-23/
[7] https://english.alarabiya.net/News/middle-east/2026/03/24/iraq-allows-iranbacked-militia-umbrella-group-to-respond-to-attacks-on-their-positions-
[8] https://www.fpri.org/article/2026/03/militias-and-iraqs-role-in-regional-conflict/
[9] https://thekenyatimes.com/world-news/u-s-military-gets-24-hours-to-withdraw-from-foreign-base/
[10] https://www.middleeasteye.net/news/iraq-warns-kurdish-authorities-not-get-drawn-war-iran-sources-say
[11] https://www.bloomberg.com/news/articles/2026-03-08/iraq-oil-output-plunges-about-60-as-iran-war-blocks-tankers
Copyright © 2026 Heise Medien
Greiz wird zum Lehrstück: Wenn Lokaljournalismus verschwindet, entstehen gefährliche Informationslücken – die von rechten politischen Akteuren besetzt werden.
Greiz, eine Kleinstadt im thüringischen Vogtland, ist seit über 400 Jahren eine Papierstadt. Ausgerechnet hier beschloss die Funke Mediengruppe im Frühjahr 2023, in elf Gemeinden die Zustellung der gedruckten Ostthüringer Zeitung einzustellen.
Das Ergebnis: Fast die Hälfte der Abos – 47 Prozent – ging verloren, wie Netzwerk Recherche in seinem Greenhouse Report Nr. 4 "Lückenfüller – Was kommt, wenn die Lokalzeitung geht?" [1] von Thomas Schnedler und Malte Werner dokumentiert.
Was zunächst wie eine unternehmerische Entscheidung aussah, entpuppt sich laut ihrem Befund als Lehrstück über die Zukunft der Demokratie im ländlichen Raum.
Wo die Lokalzeitung verschwindet, entstehen Informationslücken – und die werden schnell gefüllt. In der Region Greiz verteilen heute kostenlose Anzeigenblätter wie Bürgerzeit aktuell und Neues Gera ihre Botschaften.
Auf den ersten Blick wirken sie wie harmlose Lokalzeitungen. Doch hier wird laut der Verfasser des Greenhouse Report Meinungsmache betrieben, da die Grenze zwischen Anzeige und redaktionellem Inhalt verschwimme. Im Bericht wird beschrieben, wie dort die Grenze zwischen Werbung, Meinung und Berichterstattung verwischt wird.
Das Neue Gera geht demnach besonders weit. Herausgeber ist Harald Frank, AfD-Fraktionsvorsitzender im Stadtrat von Gera. Die Zeitung erscheint alle zwei Wochen mit einer Auflage von 20.000 Exemplaren – fast so viel wie die Ostthüringer Zeitung im gesamten Verbreitungsgebiet noch erreicht.
Eine Trennung von Bericht und Kommentar finde nicht statt, stellt der Report fest.
Einen weiteren Schritt geht das Online-Medium Heimatbote Vogtland. Hinter der Webseite steht die Heimatstiftung Greiz-Vogtland e. V. Im Vorstand: Torsten Röder und Cornelia Tristram, beide Spitzenpolitiker der AfD in Greiz. Der Heimatbote berichte vor allem über Aktivitäten der AfD. Wer die Artikel schreibt, bleibt unklar. Viele Beiträge stammen vom Pseudonym „ChefRed01", wie Netzwerk Recherche recherchiert hat.
Expertinnen der Fachhochschule Graubünden erkennen beim Heimatboten Vogtland viele Merkmale von "Pink-Slime-Journalismus ": ähnlicher, vertrauenswürdiger Name, Intransparenz beim Besitz, unklare Autorenschaften.
"Pink Slime" bezeichnet pseudojournalistische Angebote, die sich seriös geben, aber keine journalistischen Standards einhalten.
Für viele ältere Menschen war der Wegfall der morgendlichen Zeitungslektüre ein großer Einschnitt. "Zeitunglesen, das gehört halt zum Alltag",, sagte eine ältere Dame aus Cossengrün in den Fokusgruppen-Gesprächen, die Netzwerk Recherche [2] führte.
Die Zeitung ermöglichte gesellschaftliche Teilhabe. Die Umstellung auf ein Digital-Abo schnitt viele Ältere, die den Schritt ins Digitale nicht wagen wollten oder konnten, von wichtigen Informationen ab. Ein Teilnehmer forderte ein "Recht auf analoges Leben".
Das Interesse junger Erwachsener an klassischen Lokalnachrichten ist gering. Weil in den Elternhäusern kaum noch Zeitung gelesen wird, entsteht keine Bindung. Stattdessen folgen sie Social-Media-Accounts lokaler Organisationen oder Marketing-Accounts.
Im Kampf um die Aufmerksamkeit auf Social Media ist der Lokaljournalismus nahezu chancenlos, wie auch Sonja Peteranderl in einem Beitrag für journalist.de [3] analysiert.
Die Landfrauen Langenwetzendorf beklagten in den Gesprächen, dass die Zeitung immer teurer werde – über 600 Euro pro Jahr. Für Rentner eine finanzielle Belastung. Sie wünschten sich mehr lokale Recherchen:
"Bohrt Euch da doch mal rein! Recherchiert doch mal!"
Eine Teilnehmerin einer Greizer Fokusgruppe bringt es so auf den Punkt:
"Mir fehlt bei den Artikeln teilweise dieses Erklären, woher etwas kommt. Oft wird nur davon berichtet, wie es ist, aber nicht, wie das zustande gekommen ist. Dieses Ganzheitliche, damit ich mir tatsächlich eine Meinung bilden kann."
Doch die Realität sieht anders aus. Lokalredaktionen schließen, die Zeitung wird dünner, der Themenzuschnitt weniger lokal. Der Chefredakteur der Ostthüringer Zeitung gibt an, dass laut digitalen Nutzungsdaten "sublokale Inhalte kaum Leser finden".
Das steht im Widerspruch zu den Ergebnissen der Fokusgruppen.
Die Nutzung lokaler Medien stärkt das Vertrauen in Institutionen und den gesellschaftlichen Zusammenhalt. Wo sie fehlen, befürchten Bürger weniger Transparenz und Kontrolle.
Forschende fanden Anzeichen, dass in Gebieten ohne journalistische Beobachter der Missbrauch öffentlicher Gelder steigt und die Wahlbeteiligung sinkt, wie die Wüstenradar-Studie [4] dokumentiert.
Das Interesse an lokalen Nachrichten ist grundsätzlich hoch: 84 Prozent der Deutschen sind laut Reuters Institute Digital News Report 2025 [5] interessiert. Doch die Lokalzeitung kann davon aber offenbar nicht profitieren.
Auch die kürzlich neu auf den Markt gebrachte Ostdeutsche Allgemeine hat offenbar nicht im Konzept, daran etwas zu ändern. Vielmehr laute die Grundidee [6]: Es fehle nicht an Lokaljournalismus im Osten. Was fehle, seien überregionale Geschichten aus ostdeutscher Perspektive.
Als Lösungsansätze für den Lokaljournalismus wurden zuletzt die Anerkennung der Gemeinnützigkeit für journalistische Angebote sowie eine staatliche Förderung diskutiert, wie die Heinrich-Böll-Stiftung in ihrer Studie "Demokratie beginnt im Lokalen [7]" empfiehlt.
Das Beispiel Greiz zeigt, was passiert, wenn die Lokalzeitung verschwindet. Informationslücken werden von Amtsblättern, Anzeigenblättern und Online-Medien gefüllt, die von Politikern betrieben werden.
Ältere Menschen verlieren eine wichtige Quelle zur Teilhabe. Junge Menschen informieren sich über Social Media, wobei die Unterscheidung zwischen seriösen Nachrichten und anderen Inhalten schwieriger wird. Wo kritische Berichterstattung durch PR und Propaganda ersetzt wird, fehlt die Kontrolle der Mächtigen vor Ort.
URL dieses Artikels:
https://www.heise.de/-11241746
Links in diesem Artikel:
[1] https://netzwerkrecherche.org/wir-staerken/lokaljournalismus/dialogprojekt-leben-ohne-zeitung/
[2] https://netzwerkrecherche.org/blog/leben-ohne-lokalzeitung-zwischenbericht/
[3] https://www.journalist.de/werkstatt/werkstatt-detail/tiktok-statt-lokalzeitung/
[4] https://www.wuestenradar.de/wp-content/uploads/sites/18/2024/11/Wuestenradar-2024-web.pdf
[5] https://leibniz-hbi.de/en/hbi-publications/reuters-institute-digital-news-report-2025-findings-for-germany/
[6] https://www.telepolis.de/article/Ostdeutsche-Allgemeine-Was-die-neue-Zeitung-will-und-liefern-muss-11184556.html
[7] https://www.boell.de/de/2025/09/08/demokratie-beginnt-im-lokalen
Copyright © 2026 Heise Medien
(Bild: Robert Kneschke / Shutterstock.com)
Millionen Deutsche trifft im Alter eine böse Überraschung: Die Rente ist viel niedriger als erwartet. Wir zeigen, wie groß die Lücke wirklich ist.
Nach 40 Jahren harter Arbeit freut sich Max Mustermann auf den wohlverdienten Ruhestand. Doch auf ihn wartet eine böse Überraschung: Statt der 3.000 Euro netto, die er bislang nach Hause brachte, bezieht er nur eine Rente von 1.300 Euro.
Eine herbe Enttäuschung, die leider kein Einzelfall ist. Fast alle Deutschen trifft im Alter diese Rentenlücke – aber wie groß ist sie wirklich und was steckt dahinter?
Die Rentenlücke bezeichnet die Differenz [1] zwischen dem letzten Nettoeinkommen vor dem Ruhestand und der gesetzlichen Altersrente [2], die man später erhält. Experten gehen davon aus, dass man etwa 70 bis 80 Prozent des letzten Gehalts bräuchte, um den gewohnten Lebensstandard zu halten.
Doch die Realität sieht anders aus:
Das Rentenniveau liegt aktuell bei 48 Prozent. Das heißt: Wer 45 Jahre lang zum Durchschnittslohn (aktuell [3]: 4.634 Euro brutto pro Monat oder 55.608 Euro brutto pro Jahr) gearbeitet und in die Rentenkasse eingezahlt hat, erhält 48 Prozent des Durchschnittseinkommens. Beiträge zur Kranken- und Pflegeversicherung werden hier noch abgezogen.
Schon damit ist eine Rentenlücke vorprogrammiert. Sie wird allerdings größer, etwa durch Zeiten der Erwerbslosigkeit oder Zeiten, in denen man deutlich unterhalb des Durchschnittslohns verdient hat.
Wer nun zuletzt 3.000 Euro netto verdient hat, müsste also eigentlich rund 2.400 Euro Rente bekommen, um seinen Lebensstandard zu halten – tatsächlich sind es oft nur etwa 1.200 Euro. Eine Lücke von 1.200 Euro monatlich, die es zu schließen gilt.
Laut aktuellen Daten [4] der Deutschen Rentenversicherung lagen die durchschnittlichen Bruttorenten im Bestand 2024 bei:
Betrachtet man speziell die Altersrenten bei Rentenzugang im Jahr 2024 so gelten folgende Werte:
Die oft genannte "Standardrente" nach 45 Beitragsjahren mit Durchschnittsverdienst liegt zwar höher, bleibt für viele aber unerreichbar [5]. Denn dafür müsste man 45 Jahre lang ununterbrochen in Vollzeit arbeiten und dabei stets das Durchschnittseinkommen erzielen – für die meisten Arbeitnehmer, insbesondere Frauen, ist das unrealistisch.
Ein besonders gravierendes Problem ist der "Gender Pension Gap [6]" – die geschlechtsspezifische Rentenlücke zwischen Männern und Frauen. 2024 erhielten Frauen ab 65 durchschnittlich 25,8 Prozent weniger gesetzliche Rente und Pension als Männer.
Ohne Berücksichtigung der Hinterbliebenenrenten, die hauptsächlich Frauen zugutekommen, lag der Unterschied sogar bei 36,9 Prozent.
In absoluten Zahlen bedeutet das [7]: Frauen hatten 2024 im Alter durchschnittliche Bruttoeinkünfte von 20.668 Euro im Jahr, Männer dagegen 27.850 Euro.
Die Ursachen für diese Diskrepanz sind vielfältig: Zum einen verdienen Frauen häufig schon während des Berufslebens weniger als Männer (Gender Pay Gap).
Zum anderen arbeiten sie öfter in Teilzeit oder unterbrechen ihre Erwerbstätigkeit ganz, etwa für die Kindererziehung oder Pflege von Angehörigen (Care-Arbeit). Hinzu kommt die höhere Lebenserwartung von Frauen, sodass ihre Ersparnisse länger reichen müssen.
Ein Blick auf die Unterschiede zwischen alten und neuen Bundesländern zeigt: Frauen in Ostdeutschland haben dank durchgängigerer Erwerbsbiografien tendenziell etwas höhere Renten als im Westen. Es arbeiteten in Ostdeutschland auch – relativ – weniger Frauen in Teilzeit als im westlichen Teil der Bundesrepublik. Auch Männer im Osten liegen über dem West-Niveau, allerdings auf ähnlichem Level wie die ostdeutschen Frauen.
Insgesamt sind die Renten im Osten also etwas "gerechter" verteilt, da die Erwerbsbeteiligung von Frauen zu DDR-Zeiten höher war. Doch auch 33 Jahre nach der Wiedervereinigung bleibt die Rentenlücke zwischen den Geschlechtern groß – ein gesamtdeutsches Problem.
Die Folge der niedrigen Renten ist ein wachsendes Risiko von Altersarmut. Laut [8]Statista galten 2024 in Deutschland 19,6 Prozent der über 65-Jährigen als armutsgefährdet (Frauen: 21,6 Prozent, Männer: 17,1 Prozent). Das heißt, sie müssen mit weniger als 60 Prozent des mittleren Einkommens auskommen.
Gründe dafür sind neben den erwähnten Faktoren auch die steigenden Lebenshaltungskosten, etwa für Miete, Energie und Lebensmittel. Gleichzeitig sinkt das Rentenniveau, also das Verhältnis der Rente zum Durchschnittslohn. Und nicht zuletzt muss die Rente selbst versteuert werden – Aufwendungen, die an der Kaufkraft der Senioren zehren.
Doch was können Arbeitnehmer tun, um im Alter besser dazustehen? Hier einige Tipps:
Generell gilt: Wer rechtzeitig mit der Vorsorge beginnt, kann mit kleinen Beiträgen viel erreichen. Denn über die Jahre summieren sich die Einzahlungen dank Zinseszinseffekt zu einem stattlichen Polster.
Letztlich zeigt sich: Die gesetzliche Rente allein reicht in den meisten Fällen nicht aus, um den gewohnten Lebensstandard im Alter zu sichern.
Zusätzlich verschärfen strukturelle Probleme wie der Gender Pension Gap und Ost-West-Unterschiede die Lage. Für viele Senioren, insbesondere alleinstehende Frauen, wird das Risiko von Altersarmut damit zur bitteren Realität.
Um die Rentenlücke zu schließen, führt an privater Vorsorge kein Weg vorbei. Doch dafür ist eine frühzeitige Planung entscheidend. Nur wer rechtzeitig gegensteuert, kann im Ruhestand gelassen auf die Rentenlücke blicken – und seinen wohlverdienten Lebensabend genießen.
Anmerkung der Redaktion: Der Abschnitt zur Höhe der Rentenlücke war missverständlich formuliert. Zur Erläuterung wurde noch ein Absatz eingefügt, der die Durchschnittsrente erklärt.
Der Artikel wurde zuerst am 03. September 2025 veröffentlicht. Seither ist er mehrfach überarbeitet worden, um ihn auf dem aktuellen Stand zu halten.
URL dieses Artikels:
https://www.heise.de/-10629750
Links in diesem Artikel:
[1] https://www.heise.de/tp/article/Was-ist-die-Rentenluecke-und-warum-betrifft-sie-fast-jeden-10590853.html
[2] https://www.heise.de/tp/article/Gesetzliche-Rente-Rentensystem-Rentenpunkte-und-Vorsorge-einfach-erklaert-10621605.html
[3] https://www.destatis.de/DE/Themen/Arbeit/Verdienste/Verdienste-Branche-Berufe/_inhalt.html
[4] https://www.deutsche-rentenversicherung.de/SharedDocs/Downloads/DE/Statistiken-und-Berichte/statistikpublikationen/rv_in_zahlen.pdf?__blob=publicationFile&v=3
[5] https://www.deutsche-rentenversicherung.de/SharedDocs/Downloads/DE/Statistiken-und-Berichte/statistikpublikationen/aktuelle_daten.pdf
[6] https://www.heise.de/tp/article/Rentenluecke-bei-Frauen-Warum-Altersarmut-oft-weiblich-ist-10699256.html
[7] https://www.ruv.de/altersvorsorge/gender-pension-gap
[8] https://de.statista.com/statistik/daten/studie/1447393/umfrage/armutsgefaehrdungsquote-von-senioren-nach-geschlecht/
Copyright © 2026 Heise Medien
AirPods Max 2 mit Nutzerin: Bis zum ersten echten Upgrade hat es gedauert.
(Bild: Andreas Wodrich / heise medien)
Neuer Chip, neue Funktionen – doch beim ANC und Design bleibt vieles gleich. Unser Test zeigt, wo die neuen Hörer besser sind.
Fetter Sound, starke Geräuschunterdrückung und edle Verarbeitung: Die AirPods Max [1] [1] begeisterten bei ihrem Debüt, spielten im Handel aber eher die Hintergrundmusik.
Nach über fünf Jahren bringt Apple seine teuersten Kopfhörer technisch auf den neuesten Stand – sichtbar verändert hat sich dabei fast nichts. Der Hersteller ergänzt Funktionen aus den AirPods Pro – doch machen sie bei Over-Ears wirklich einen Unterschied?
Wir haben die 580 Euro teuren Hörer (ab 560,90 €) [2] (ab 560,90 €) [2] vor Verkaufsstart getestet, die Unterschiede systematisch vermessen und im Alltag geprüft – vom Klang bis zur Latenz. Im Detail zeigt sich: Die Änderungen betreffen vor allem Software und Feinabstimmung – mit sehr unterschiedlichem Nutzen.
URL dieses Artikels:
https://www.heise.de/-11241507
Links in diesem Artikel:
[1] https://www.heise.de/tests/Luxushoerer-AirPods-Max-im-Test-5040105.html
[2] https://preisvergleich.heise.de/apple-airpods-max-2-midnight-a3760206.html?ccpid=hocid-mac-and-i&cs_id=1206858352
Copyright © 2026 Heise Medien
tvOS 26: Apple passt vorsichtig an – und streicht auch mal etwas.
(Bild: Apple)
In der jüngsten Version von tvOS schraubt Apple an den verfügbaren Apps, der Bedienung und mehr.
Wer sich in den vergangenen Tagen die neue Version 26.4 [1] des Apple-TV-Betriebssystems eingespielt hat, wird beim Neustart von tvOS bemerkt haben, dass die Icons auf dem Homescreen plötzlich verschoben sind. Apple hat diese nicht einfach zufällig an einer anderen Stelle platziert – der Grund ist ein anderer: Mehrere Apps, die es seit Jahren für die Multimediabox gab, wurden mit der Aktualisierung gestrichen. Die ab sofort fehlenden Standardprogramme sorgen nun dafür, dass die vom Nutzer installierten Apps nach vorn rutschen.
Gelöscht hat Apple zwei Programme [2]: Die jeweils als eigene App verfügbaren TV-Serien innerhalb von iTunes sowie die Filme-App für iTunes. Die (sehr) alten Anwendungen dürften seit längerem nur noch wenige Nutzer gehabt haben. Die Inhalte selbst sind aber nicht weg: So kann man Serien und Filme nun (und eigentlich schon zuvor) über die TV-Anwendung kaufen, dort zudem auch (ebenfalls seit längerem) auf erworbene oder gemietete Inhalte zugreifen.
Allerdings ist das Auffinden etwas weniger bequem als zuvor, Nutzer müssen sich also umstellen. Indirekt davon betroffen ist auch die alte iTunes-Wunschlistenfunktion [3], die Apple mit tvOS 26.4 und Co. gänzlich entfernt hat. Betroffene bekamen eine E-Mail mit ihren Daten, wenn auch reichlich unbequem als PDF-Dokument.
Neben der kleinen Streichorgie hat Apple in tvOS 26.4 auch neue Features hinzugefügt. Dazu gehört das sogenannte Genius-Browsing in der TV-App. Darüber ist es möglich, in verschiedenen Inhaltekategorien zu stöbern, um leichter passendes Serien- und Film-Material aufzufinden. Die Einträge sind personalisiert und werden regelmäßig aktualisiert.
Neu ist auch die Möglichkeit, Textgröße und Erscheinungsbild von Untertiteln in der TV-App zu konfigurieren, ohne dass man die Einstellungen öffnen müsste. Verwenden Apps Apples Standard-Player, ist dies dort ebenfalls möglich. Schließlich gibt es in tvOS 26.4 einen Bugfix für Unterbrechungen bei der Tonwiedergabe, wenn unterschiedliche Formate verwendet werden oder man die Wiedergabe anhält. Dazu sollte man unter den HDMI-Wiedergabeoptionen „kontinuierliche Audioausgabe“ anklicken.
URL dieses Artikels:
https://www.heise.de/-11226501
Links in diesem Artikel:
[1] https://www.heise.de/news/iOS-26-4-ist-da-Diese-Neuerungen-bringen-die-Apple-Updates-11223122.html
[2] https://www.heise.de/news/tvOS-26-4-Beta-Audio-Verbesserungen-und-iTunes-Apps-verschwinden-11181605.html
[3] https://www.heise.de/news/iTunes-Wunschliste-Apple-loescht-das-Feature-jetzt-ganz-11173723.html
[4] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[5] https://www.heise.de/mac-and-i
[6] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
Siri auf verschiedenen Geräten: Seit bald zwei Jahren verspricht Apple eine kontextsensitive Assistentin, die Umsetzung fehlt.
(Bild: Apple)
Die erste Beta von iOS 26.5 ist da, von einer verbesserten Sprachassistenz zeigt sich aber weiter nichts. In China ging Apple unterdessen zu forsch vor.
Erneut schlechte Nachrichten aus und für Apples KI-Abteilung [1]: Die Einführung von Apple Intelligence in China [2] ist ohne Lizenz aus Peking verfrüht an den Start gegangen – und die lange erwartete kontextsensitive Siri ist weiterhin nicht am Start.
Apple Intelligence, seit Herbst 2024 in den USA verfügbar und seit Frühjahr 2025 auch in Europa, ist nach wie vor nicht für den chinesischen Markt freigegeben. Doch das hinderte ein Apple-Team nicht, das Feature ohne große Ankündigung dennoch freizugeben. Dabei soll es sich laut Bloomberg [3] um einen Fehler handeln.
Zwar sei die Technik „seit Monaten“ startbereit, doch fehlt es nach wie vor an der Zulassung durch die chinesische Regierung. Dennoch stellten User in dieser Woche fest, dass sie Apple Intelligence kurzzeitig auch in China aktivieren konnten. Mittlerweile hat Apple den Schalter samt entsprechender Dokumentation wieder entfernt, was glücklicherweise online geht. Der Konzern benötigt für die Umsetzung einen chinesischen Partner. Zu den Kandidaten zählt unter anderem der Internetriese Alibaba [4].
Bereits im Sommer 2024 hatte Apple auf der Entwicklerkonferenz WWDC im Rahmen der Vorstellung von Apple Intelligence [5] mitgeteilt, dass man im Herbst des Jahres eine verbesserte Siri auf den Markt bringen wolle. Die wurde dann sogar im amerikanischen Fernsehen [6] beworben: Eine Assistenz, die unter anderem den Kontext des Nutzers versteht und sich beispielsweise an vergangene Chats oder Termine erinnert. Umgesetzt wurden diese Features hingegen nie, obwohl Apple im Sommer 2025 betonte, es handelte sich nicht um heiße Luft [7]. Eine Umsetzung mit iOS 26.4, die eigentlich erwartet worden war, fand dann jedoch nicht statt [8]. Nun liegt seit gestern Abend die erste Beta von iOS 26.5 vor – und sie enthält keine neue SIri. Ob Apple sie sich für spätere Betas vorbehält, bleibt unklar.
Denkbar ist allerdings, dass der Konzern nun ganz auf eine Umsetzung neuer Siri-Features erst mit iOS 27 [9] denkt. Für dieses Update ist offenbar erstmals die Integration eines Google-Gemini-basierten Chatbots [10] angedacht. Für iOS 26, das mittlerweile in einem fortgeschrittenen Entwicklungszyklus ist, war neben der kontextsensitiven Siri auch das Auslesen von Bildschirminhalten und das Steuern von Apps vorgesehen.
URL dieses Artikels:
https://www.heise.de/-11241315
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Vom-KI-Pionier-zum-Schlusslicht-Warum-Apple-Intelligence-da-steht-wo-es-steht-11186699.html
[2] https://www.heise.de/news/Apple-Intelligence-in-China-Ab-Mitte-des-Jahres-und-mit-Zensur-10282676.html
[3] https://x.com/markgurman/status/2038701276699967554
[4] https://www.heise.de/news/Apple-Intelligence-Weiter-warten-auf-China-10635495.html
[5] https://www.heise.de/ratgeber/22-Tipps-zu-iOS-18-4-Apple-Intelligence-auf-iPhones-in-Deutschland-10329236.html
[6] https://www.heise.de/news/Werbung-fuer-verschobenes-Siri-Feature-Apple-in-den-USA-verklagt-10323999.html
[7] https://www.heise.de/news/Apple-Softwarechef-Kontextsensitive-Siri-war-keine-Vaporware-10440967.html
[8] https://www.heise.de/news/Apple-nimmt-zu-neuerlicher-Siri-Verzoegerung-Stellung-11175571.html
[9] https://www.heise.de/news/iOS-27-Apple-erwaegt-Siri-App-und-Siri-fragen-Knopf-11224654.html
[10] https://www.heise.de/news/Kuenstliche-Intelligenz-von-Apple-Siri-als-echter-Chatbot-und-KI-zum-Anpinnen-11150015.html
[11] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[12] https://www.heise.de/mac-and-i
[13] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
In Teil zwei erzählt uns der vietnamesische Hacker, wie er zum Datenhändler wurde und dann für das falsche Verbrechen im Gefängnis gelandet ist.
Dies ist der zweite Teil von „Hieu - vom Darknet zum Datendealer", der wilden Geschichte des Hackers Hieu. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „HIEU“ [1].
Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert [2] werden.
JACK (Intro): Im ersten Teil lernt Hieu in Vietnam das Darknet kennen [3] und entwickelt sich schnell zu einem äußerst begabten Hacker. Zunächst ist er euphorisch und geradezu idealistisch unterwegs, er lernt online andere Hacker kennen, eignet sich Wissen über diese geheime und faszinierende Welt an und teilt sein Wissen auch gerne. Doch bald schon entdeckt er einfache Wege, um an Kreditkarten und damit an echtes Geld zu kommen. Sein Einstieg in die Kriminalität. Als sich das Kreditkartengeschäft als zu riskant entpuppt, entdeckt er den lukrativen Handel mit Identitäten von US-Bürgern für sich. Fortan entert er die Seiten von Datenhändlern, um dort Identitäten zu stehlen und sie dann weiterzuverkaufen.
HIEU: In den Jahren von 2010 bis 2012 hab ich etwas mehr als drei Millionen US-Identitäten verkauft.
JACK: Okay, wenn ich das mal eben nachrechne ....drei Millionen Suchen, vierzehn Cent pro Suche; das sind 420.000 Dollar, die er insgesamt an den Datenhändler "Court Ventures" gezahlt hat. Ne Menge Geld, die Court Ventures an ihm verdient hat. Das war für ihn in Ordnung, denn er machte ja ... über 2,5 Millionen Dollar Gewinn. Unglaublich.
HIEU: Im Jahr 2011 habe ich die Schule abgebrochen. Ich habe nicht mehr studiert und die Universität nicht abgeschlossen, weil ich dachte, Mann, ich verdiene eine Menge Geld. Jeden Monat verdiente ich bis zu 120.000 Dollar.
JACK: Wofür hast du das Geld ausgegeben, das du bekommen hast?
HIEU: Damals war ich zu jung, zu dumm. Ich habe viel Geld für dumme Sachen ausgegeben, für Fünf-Sterne-Hotels und Business Class. Ich habe viel Geld für dumme Dinge ausgegeben, und ich habe viel Geld für Autos und Luxusartikel verschwendet.
JACK: Was für ein Auto hattest du?
HIEU: Ich hatte drei verschiedene Autos, zwei Sportwagen. Einer davon war ein BMW, das Cabrio, und ein anderer war ein komplett getuntes Auto, so ein vollkommen individualisiertes, dass ich nicht einmal weiß, was für ein Auto das war, aber ich erinnere mich, ich habe das Auto bei einem Wettbewerb für gut getunete Autos angemeldet und auch einen Preis gewonnen. Weißt du, ich habe so viel Geld für dieses Auto ausgegeben, es umgebaut und getuned. Das andere Auto, das ich hatte, war ein Luxusauto, ein Lexus.
JACK: Was haben deine Eltern gedacht, wo das all das Geld herkommt?
HIEU: Ich habe sie angelogen; ich habe ihnen erzählt, ich arbeite für eine internationale Bank in den USA, und sie haben mich angeheuert, um das System zu schützen und auch ihre Website zu bauen. Weißt du, all solche Lügen. Wenn ich Leute in meinem Alter traf, sogar Leute, die ich auf der Straße traf und sie mich fragten, warum ich so reich bin. Ich habe sie angelogen, weil meine Familie keine wohlhabende Familie war. Sie haben alles für mich getan. Deshalb. Also habe ich irgendwie – ich hab alle mit verschiedenen Geschichten belogen, weißt Du? Dann war irgendwie auch sehr anstrengend.
JACK: Die Leute, die deine Seite benutzt haben – weißt du, warum sie da andere Leute gesucht und dafür Geld gezahlt haben? Was war der Sinn dahinter?
HIEU: Gute Frage. Die Antwort darauf ist, dass ich mir damals nicht viel Gedanken darüber gemacht habe, wie sie diese Informationen nutzten. Alles, was ich weiß, ist, dass sie sie vielleicht benutzten, um sich als jemand auszugeben oder um die Authentifizierung von Kreditkartentransaktionen zu umgehen, was auch immer. Das war alles, was ich wusste.
JACK: Jahrelang ging das so. Er konnte vieles davon automatisieren, so dass er nur ein paar Stunden pro Woche arbeiten musste, um alles am Laufen zu halten. Das Leben lief großartig für ihn.
HIEU: Schließlich wurde Court Venture von Experian übernommen.
JACK: Durchaus interessant. Experian kaufte im Dezember 2011 Court Ventures. Experian ist eine der drei großen Kreditauskunfteien in den USA. Sie erstellen für jeden erwachsenen US-Bürger eine Kreditwürdigkeitsprüfung. Vermieter und Kreditinstitute prüfen also eure Kreditwürdigkeit, bevor sie mit euch Geschäfte machen. Experian war so begeistert von den Daten, die Court Ventures über Menschen hatte, dass sie das Unternehmen einfach komplett kauften. Ich konnte nicht herausfinden, wie hoch der Kaufpreis für die Daten von 200 Millionen US-Bürgern war, aber ich stelle mir vor, es waren mehrere Millionen Dollar. Nachdem Experian Court Ventures gekauft hatte, kontaktierte der Secret Service Experian und meinte „Die Firma, die ihr da gerade gekauft habt, tja, wir haben Grund zu der Annahme, dass sie Daten an jemanden weitergeben, der sie illegal an Kriminelle weiterverkauft.“ Experian war schockiert, Court Ventures hatte ihnen das im Kaufvertrag nicht gesagt. Experian löschte dann Hieus Konto und kooperierte mit dem Secret Service. Nebenbei verklagten sie Court Ventures, weil die nicht früher Maßnahmen ergriffen hatten. Und der Secret Service, der hatte nun Hieu im Visier.
HIEU: Eine der gerichtlichen Anfragen vom US Secret Service betraf den Status meines Kontos, des gefälschten Kontos. Schließlich sperrten sie mein Konto bei Court Venture.
JACK: Sie sperrten sein Konto vollständig, aber dafür hatte er ja einen Notfallplan. Er hatte ein zweites Konto, nicht eines, das er erstellt hatte, sondern eines, dessen Passwort er gestohlen hatte, das Konto also von jemand anderem. Das konnte er nutzen, um weiterhin Suchen durchzuführen. Aber er hatte nicht mehr den API-Zugang, mit dem er das automatisieren konnte.
HIEU: Das gehörte auch zu einem der US-Datenhändler. Es hieß ussearchingfor.com oder so ähnlich. Ich erinnere mich nicht mehr. Es ist ein langer Name. Aber wie auch immer, von dieser Firma bekam ich eines der Konten durch einen Phishing-Angriff, und das nutzte ich, um manuell Identitäten für all die Leute zu suchen, die den Dienst noch brauchten.
JACK: Er wollte unbedingt wieder eine API-Verbindung zu Court Ventures. Diese manuelle Suche kostete einfach viel zu viel Zeit, er schrieb ihnen dann E-Mails: „Hey, warum habt ihr meine API-Verbindung abgeschaltet? Ich brauche die zurück.“ Was er nicht wusste, war, dass der Secret Service bereits gegen ihn ermittelte und es dann deren Mitarbeiter waren, die auf seine E-Mails antworteten.
HIEU: Sie dachten sich eine Geschichte aus, dass sie mir eine gute API-Verbindung nicht nur zu den US-Identitätsdaten, sondern auch zu den britischen Identitätsdaten anbieten würden. Ich dachte: „Wow, das ist ein gutes Geschäftsangebot, zu gut, um wahr zu sein“, aber zu dieser Zeit war ich einfach vom Geld geblendet. Ich sagte: „Okay, das sieht gut aus.“ Aber ich hatte das Gefühl, dass etwas Verdächtiges vor sich ging, etwas stimmte nicht.
JACK: Es gab anscheinend noch'n anderen Typen, der dasselbe tat wie Hieu, ebenfalls Daten von Datenhändlern weiterverkaufen. Er tat das von Großbritannien aus, der Secret Service erwischte ihn aber, woraufhin der Typ dann dem Secret Service half, andere Leute zu kriegen, die dasselbe taten. Die dann kommende Kommunikation war es, die ihm, vor allem im Nachhinein, seltsam vorkam. Hieu hatte dann nämlich, ohne sein Wissen, sowohl mit dem Secret Service zu tun, einem Agenten namens Matt O'Neill, als auch mit dem Mann aus Großbritannien namens Mark, der beim Weiterverkauf von Identitäten erwischt worden war.
HIEU: Sein Name ist Mark. Er kommunizierte weiterhin mit mir per E-Mail und rief mich sogar an – ich erinnere mich, damals über Skype. Sie sagten, sie wollten, dass ich in die USA fliege, auch nach Australien, nach Hawaii. Ich sagte: „Nein, da will ich nicht hin.“ Aber Matt O’Neill und Mark arbeiteten zusammen und lockten mich nach Guam.
JACK: Sie meinten zu ihm, wenn er sie in Guam treffen würde, könnten sie ihm alles ohne Probleme geben, was er für seinen API-Zugang bräuchte. Sie dachten sich ne passende Geschichte dazu aus, warum sie ihn dafür persönlich treffen müssten, die ging in etwa so, dass der oberste Boss ihn unbedingt treffen möchte, denn er ist ja einer der besten Kunden, und dann könnten sie feierlich und gemeinsam den neuen Vertrag direkt vor Ort unterzeichnen.
HIEU: Dann können wir eine große Party schmeißen, weißt du? Wir können zusammen Spaß haben und dann kannst du zurück nach Vietnam fliegen. Alles gut.
JACK: Hieu ist dann einverstanden und beschließt, tatsächlich nach Guam zu fliegen, das in der Nähe von Südostasien liegt. Es ist wohl für sie die nächstgelegene Option, denkt er, und es scheint sicher zu sein.
HIEU: Ich habe keine Nachforschungen über Guam angestellt. Ich dachte, es ist nur eine Insel. Kümmert niemanden. Ich habe gehört, dass auch einige Vietnamesen dort leben. Vielleicht ist es in Ordnung. Wenn es ein Problem gibt, werde ich mit meinen Leuten reden und um Hilfe bitten. Dann kaufte ich ein Ticket und flog mit meiner Schwester nach Guam, weil mein Englisch damals nicht so gut war, und ich ging mit ihr zusammen dorthin. In dem Moment, als ich am internationalen Flughafen landete, eskortierten sie mich zum US-Zollamt. In diesem Moment, in genau diesem Moment, spürte ich, Mann, irgendwas ist hier faul. Dann sagten sie mir: „Setz dich, Hieu. Wir wollen kurz mit dir reden.“ Ich war so nervös. Ich zitterte, Mann. Es war ein Schock. Ich dachte mir, irgendetwas stimmt hier nicht.
HIEU: Sie legten einen Stapel Papier hin – ich erinnere mich, vielleicht 25 Zentimeter dick, sehr dicke Ordner, und sie sagten mir: „Wir wissen über dich Bescheid. Wir wissen alles über dich, vielleicht mehr, als deine Familie über dich weiß.“ [Musik] In diesem Moment dachte ich, Mann, es ist vorbei, es ist vorbei, und das war's. Ich fühlte mich, als wäre ich gerade noch auf dem Gipfel der Welt, und jetzt lebte ich in der Hölle. Das war's. Sie schickten mich danach ins Gefängnis in Guam, und sie schickten meine Schwester zurück nach Vietnam. Ich sagte dem Staatsanwalt und dem Agenten des US Secret Service: „Meine Schwester hat damit nichts zu tun. Es geht nur um mich.“ Also ließen sie meine Schwester frei, und ich blieb etwas mehr als zwei Monate im Gefängnis in Guam, und dann schickten sie mich zurück aufs Festland, das US-Festland, in viele verschiedene Gefängnisse. Sie schickten mich nach Hawaii, nach Los Angeles, Nevada, sie schickten mich nach Oklahoma, New Jersey, dann nach New York und dann nach New Hampshire.
JACK: Dort sollte sein Fall verhandelt werden, das war dann also sein vorerst letzter Halt. Er saß da während des gesamten Rechtsstreits im Gefängnis. Offenbar fand sein Prozess vor allem deshalb dort statt, weil der zuständige US-Staatsanwalt in New Hampshire wohnte. Zu seiner Festnahme hat er rückblickend ein paar Theorien. Erstens ginge die hauptsächlich auf auf Brian Krebs zurück, ein Cybersicherheitsjournalist, der einen Artikel darüber schrieb, wie Kriminelle im Darknet nach Leuten suchen können, und Hieus Website wird darin aufgeführt. Hieu glaubt, dass der Secret Service da wahrscheinlich zum ersten Mal von seiner Website erfahren hat.
Zweitens hat er bei seiner Website wohl'n paar Fehler gemacht. In der ersten Woche nutzte er einen Hosting-Anbieter, registrierte sich jedoch unter seinem richtigen Namen. Später änderte er die Registrierung auf einen anonymen Namen, aber die früheren Einträge sind weiterhin sichtbar. Dann hatte er noch seine persönliche E-Mail-Adresse als Kontaktdaten auf der Website angegeben.
Durch diese Fehler hätte man Hieu leicht aufspüren können. Ich glaube auch, dass der Secret Service wahrscheinlich seine Website genutzt, einige Suchanfragen zu Personen durchgeführt und dann versucht hat, diese mit den Protokollen von Court Ventures abzugleichen, um genau herauszufinden, welchen Nutzer Hieu für seine Website verwendet hat.
Aber eigentlich war er sich die ganze Zeit nicht wirklich sicher, warum er verhaftet wurde. Er bezahlte die Suchen vollständig. Wo ist hier der Betrug? Wo das Verbrechen? Wofür die Leute seine Seite nutzten erfuhr er erst nach seiner Verhaftung, sagt Hieu.
HIEU: Das Bundesgericht hat mir gesagt, dass die Informationen, die ich gestohlen und an andere Leute verkauft habe, die wurden für Steuererklärungen verwendet. Das war mir Neu. Das wusste ich nicht, Steuererklärungen. Dann habe ich herausgefunden, was eine Steuererklärung ist, und es ist sehr ernst.
JACK: Die Leute gingen auf Hieus Seite, um jemanden nachzuschlagen, alle seine Daten zu bekommen und dann zu versuchen, die Steuern für diese Person einzureichen. In den USA wird das ganze Jahr über Steuern an den Staat gezahlt, und normalerweise zu viel, sodass die Leute dann zu einem bestimmten Zeitpunkt ne hohe Rückerstattung bekommen. Viele Amerikaner erhalten also jedes Jahr einen Scheck über 'n paar tausend Dollar, weil sie zu viel Steuern gezahlt haben. Kriminelle wissen das, also reichen sie Steuererklärungen für andere Leute ein und geben dort an, dass sie berechtigt seien eine Rückerstattung von, sagen wir, 2.000 Dollar zu erhalten.
Dann bearbeitet die IRS, die Steuerbehörde, die Steuererklärung, schaut sie sich an, meint, dass sie legitim aussieht und schickt dieser Person einen Scheck über z.B. 2.000 Dollar.
Als die echte Person dann ihre Steuern einreichen will, sagt die IRS: „Oh, nein, nein, nein, Sie haben das schon ausgefüllt, und wir haben Ihnen bereits einen Scheck geschickt.“ Und plötzlich tauchen ne Menge US-Amerikaner auf, die sagen: „Nein,nein, habe ich überhaupt noch nicht getan. Ich will mein Geld!“
Ja, das Ganze entpuppte sich als ne ziemlich große Sache. Und der Secret Service untersuchte es dann, weil Hieus Personensuchmaschine daran beteiligt war, Kriminellen zu helfen, viele US-amerikanische Bürger zu betrügen. Anscheinend gab es in New Hampshire allerhand Leute, denen jemand ihren Steuerrückerstattungsscheck gestohlen hatte.
HIEU: Weißt du, ich hatte so viele Informationen, und dann wurden daraus Tausende und Abertausende von Opfern in New Hampshire.
JACK: Okay, da ist das jenes Wort - Opfer. Wir haben ein Opfer gefunden, die Menschen in New Hampshire, die ihre Steuerrückerstattungen nicht bekommen haben. Ja, na klar, sie sind Opfer von Identitätsdiebstahl. Aber normalerweise sieht die IRS das auch so und gibt ihnen dann ihr Geld - was im Grunde bedeutet, dass zwei Rückerstattungsschecks für die selbe Person ausgestellt werden. Das macht die IRS zum Opfer. Aber dann könnte man sagen, nein, der eigentliche Geschädigte ist der US-Steuerzahler, denn das ist Geld, das einfach verloren ist. Und es macht mich irre, wie viel Geld die IRS jedes Jahr auf diese Art verliert. Jedes einzelne Jahr gibt die IRS Milliarden von Dollar an Kriminelle aus, die Betrug mit Steuerrückerstattungen begehen.
Was waren deine Anklagepunkte? ich habe immer noch keine Ahnung, wessen du eigentlich schuldig bist.
HIEU: Ja; eigentlich kannst du das alles in den US-Gerichtsakten nachlesen.
JACK: Okay, gut, das mach ich hiermit: Er wird hier in drei Punkten angeklagt. Alle drei sind Verstöße gegen den Computer Fraud and Abuse Act, kurz CFAA - das wichtigste US-Bundesgesetz gegen Cyberkriminalität.
Der erste Punkt besagt konkret, dass er einen Datenhändler auf unerlaubte Weise genutzt hat. Es verstößt gegen deren Nutzungsbedingungen, nach denen es nicht erlaubt ist, a) die Daten zu denen man Zugang erhält, weiterzuverkaufen und b) sich als jemand anderes auszugeben, um ein Konto zu erhalten, und das hat er getan. Er hat eindeutig gegen die Nutzungsbedingungen verstoßen, und laut Secret Service wird er dafür ins Gefängnis müssen, wegen unbefugten Zugriffs, was vermutlich bedeutet, dass er sich als autorisierter Nutzer ausgegeben hat, was gegen die Nutzungsbedingungen verstößt.
Wisst ihr eigentlich, dass wir alle und ständig gegen die Nutzungsbedingungen von Webseiten verstoßen? Wenn Ihr beispielsweise jemandem euern Spotify- oder Netflix-Login verwenden lasst, ist das derselbe Verstoß, nämlich unbefugter Zugriff. Hieu wird wegen solcher Dinge angeklagt.
Beim zweiten Punkt heißt es hier: dass er durch die Verletzung seines Zugriffsrechts persönlich Geld verdient hat, und der dritte Punkt ist, dass es sich dabei um mehr als 5.000 Dollar handelte.
Alle drei Punkte sind also Verstöße gegen den CFAA, und es macht mich wahnsinnig, dass es ein Bundesverbrechen ist, wenn man gegen die Nutzungsbedingungen einer Website verstößt. Ich verstehe nicht, warum es nicht einfach ne zivilrechtliche Angelegenheit ist - ein Problem zwischen einem Nutzer und der Website. Warum ist es ein Bundesverbrechen? Ich meine, die Website hat Grund, den Zugang zu entziehen, zu sperren und sogar wegen Verstoßes gegen ihre Nutzungsbedingungen zu klagen - aber ne Gefängnisstrafe? Das geht meiner Meinung nach zu weit. Aber so ist es nun einmal. Es ist ein Bundesverbrechen, gegen die Nutzungsbedingungen einer Website zu verstoßen.
Ich würde meine Pflicht vernachlässigen, wenn ich in diesem Zusammenhang nicht Aaron Swartz erwähnen würde. Aaron war Student am MIT und hatte als solcher über eine Plattform namens JSTOR Zugang zu wissenschaftlichen Forschungsarbeiten.
Er dachte, diese Informationen seien so wertvoll für die Welt, dass er sie heruntergeladen hat und kostenlos veröffentlichte. Die Welt sollte von dieser akademischen Forschung wissen, nicht exklusiv die Universitätsstudenten. Aber JSTOR war stinksauer. Sie riefen die Bundesbehörden wegen Aaron an, weil er gegen ihre Nutzungsbedingungen verstoßen hatte, und das Justizministerium klagte ihn in dreizehn Fällen an, und ihm drohten 35 Jahre Gefängnis. Sie sagten ihm, ey, wenn du'n Deal eingehst, kommst du wahrscheinlich nur sechs Monate im Gefängnis sitzen. Aber Aaron wollte absolut kein Verbrechen in seiner Akte haben, ein Verbrechen wegen Verstoßes gegen die Nutzungsbedingungen und er lehnte ab. Der Druck wurde schließlich zu groß für Aaron und er nahm sich das Leben.
Danach sagten die Politiker: „Moment mal, warum steht im CFAA, dass unbefugter Zugriff auf eine Website ein Bundesverbrechen ist? Menschen sterben deswegen. Es sollte kein Bundesverbrechen sein, bloß weil man gegen die Nutzungsbedingungen einer Website verstoßen hat.“ Also wurde „Aaron's Law“ vorgeschlagen, das eine Änderung des CFAA fordert, um eben zu verhindern, dass das ein Bundesverbrechen ist. Leider wurde das Gesetz nicht verabschiedet. Merkt ihr, dass ich den CFAA hasse? Ich bin darüber so verärgert, weil zum einen diese Datenhändler Daten über uns ohne unsere Erlaubnis sammeln - sie sollten als diejenigen bezeichnet werden, die illegale Dinge tun. Zum anderen verkaufen sie diese Daten für vierzehn Cent pro Abfrage. Hieu, du verkaufst sie…
HIEU: Sehr billig.
JACK: …für einen Dollar pro Abfrage. Ja, also…
HIEU: Richtig.
JACK: Das Einzige, was hier stattfindet ist, dass du einen Aufpreis berechnest und mehr Menschen Zugang verschaffst. Es sind dabei ja nichtmal wirklich gestohlene Daten. Man bezahlt tatsächlich für die Daten, während man sie nutzt, und na klar, der unbefugte Zugriff ist ein Verstoß gegen den CFAA, und ich kann nachvollziehen, dass das gesagt wird, aber ich bin frustriert darüber, weil du hast in den USA ja keine Geldwäsche betrieben. Wenn sie also behaupten, du hättest dort Geldwäsche betrieben, ist das einfach nicht wahr. Du hast das in...
HIEU: Ich weiß.
JACK: …Vietnam getan. Ich bin nur frustriert in deinem Namen.
HIEU: Richtig. Ich weiß, aber die Sache ist, wie sie ist. So hat es funktioniert. Auch der Schadensbetrag, den sie in meinem Fall angesetzt haben, ist sehr hoch, über 60 Millionen US-Dollar.
JACK: Die Staatsanwälte sagten also, er habe einen Schaden von 60 Millionen Dollar verursacht. Natürlich erklärten sie dabei nicht, wie sie überhaupt auf diese Zahl kommen. Es ist ja auch quasi unmöglich, drei Millionen Suchanfragen auf Hieus Seite durchzugehen und diese dann mit den Identitätsdiebstahlsverbrechen zu verbinden, die bei diesen Personen stattfanden, und dann daraus den erzielten Geldbetrag zu errechnen.
Wie auch immer, all das war ja aus zweiter Hand. Nichts von dem gestohlenen Steuergeld hat Hieu erbeutet. Sie haben wahrscheinlich einfach eine Zahl erfunden, obwohl er nicht derjenige ist, der den Identitätsdiebstahl und den Steuerbetrug begangen hat. Es ist also absolut ärgerlich, dass behauptet wird, er sei für all den Schaden verantwortlich. Ja, Hieu ist ein Krimineller. Er ist hier der Bösewicht, okay?, ich versuche nicht zu sagen, dass er hätte davonkommen sollen. Er hat das Gesetz gebrochen, absolut.
Was ich nur sage ist, dass es das falsche Gesetz ist, um ihn anzuklagen, und ich hasse es, wenn der CFAA derartig verwendet wird. Sie versuchten zu argumentieren, er sei auch wegen Geldwäsche in Schwierigkeiten, aber er hat ja keine seiner Geldwäscheaktivitäten in den USA durchgeführt. Ich bin mir nicht sicher, ob das überhaupt durchgeht.
Aber keine der Anklagen bezog sich auf die Kreditkarten, die er gestohlen oder geleert hatte, all die Seiten, in die er damals eingedrungen war. Es gibt nichts über all die Konzertkarten, die er gekauft und dann im Grunde all diese Leute betrogen hat. Das sind einfache Anklagen, die man ihm hätte anhängen können, aber sie fehlen hier komplett. Es gibt ein Gesetz gegen Identitätsdiebstahl, aber es wäre schon urkomisch, wenn sie ihn dafür anklagen würden, da das ja das ganze Geschäftsmodell von Datenhändlern ist, oder?
Jeden Tag arbeiten sie daran, so viele Identitäten wie möglich zu sammeln, ohne jedermanns Erlaubnis!, und sie dann zu verkaufen. Nicht nur das; er hat die Identitäten nicht gestohlen. Er hat für sie bezahlt. Der Diebstahlsaspekt wäre also auch fraglich.
Meiner Meinung nach wäre das Verbrechen, für das sie ihn wohl hätten anklagen können, dass er wissentlich Kriminellen bei der Begehung von Straftaten geholfen hat. Also Beihilfe und Anstiftung und Verschwörung, so etwas in der Art. Hieu wusste, dass seine Seite von Kriminellen genutzt wurde, und sie waren seine Lieblingskunden, weil sie für Unmengen von Suchen bezahlten. Er bediente sie also, machte es ihnen einfacher und besser, seine Seite zu nutzen. Während er also selbst keinen Steuerbetrug beging, half er vielen Leuten dabei. Aber er wurde nicht wegen Beihilfe und Anstiftung angeklagt.
Er wurde angeklagt, weil er die Nutzungsbedingungen eines Datenhändlers verletzt hatte, indem er sich als jemand anderes ausgab, um dort ein Konto zu bekommen. Aber das Ding ist, die Bundesbehörden hätten es viel schwerer gehabt zu beweisen, dass seine Website für kriminelle Zwecke bestimmt war, verglichen mit einem einfachen CFAA-Verstoß, für den man jemanden leicht verurteilen kann. Wie ich ja schon sagte, wir verstoßen alle den ganzen Tag, jeden Tag gegen den CFAA.
Ich glaube, die Bundesbehörden haben ihn mit dem falschen Verbrechen angeklagt, weil es für sie ein fast garantierter Sieg war - anstatt ihn mit dem richtigen Verbrechen anzuklagen und dann Schwierigkeiten zu haben, Sachen zu finden, die das beweisen. Übrigens, während die Bundesbehörden sagten, er habe einen Schaden von 60 Millionen Dollar verursacht, hat niemand eine Entschädigung gefordert. Keiner der Datenhändler sagte, er habe ihnen Schaden zugefügt.
Wenn er also all diesen Schaden angerichtet hat, findet das Opfer und bringt es in den Fall mit ein. Denn wenn ich mir die Anklageschrift anschaue, fällt doch auf, dass es keinen einzigen Firmennamen oder Opfernnamen darin gibt. Natürlich nicht, denn die Datenhändler wollen sich vor euch verstecken. Das Einzige, was dort aufgeführt ist, ist „Firma A“, mit Hauptsitz in New Jersey, und es hieß, er habe eine SQL-Injection bei Firma A durchgeführt. Nun, mit ein wenig Recherche ist es ziemlich einfach herauszufinden, dass der Datenhändler in New Jersey, von dem sie sprechen, USInfoSearch ist, von dem Hieu tatsächlich Anmeldedaten gestohlen und die Seite genutzt hat, wenn auch nicht sehr viel. Es war so ein kleiner Ausrutscher in seiner Geschichte, dass es kaum erwähnenswert ist, und doch ist das die Firma, die sagte, er habe unbefugten Zugriff erhalten.
Aber passt auf, hier kommt jetzt der ganze Zusammenhang:
Court Ventures war Partner von USInfoSearch. Wenn du ein bezahlter Court-Ventures-Nutzer warst und jemanden nachgeschlagen hast, hatten sie eine Verbindung zu USInfoSearch, also bekamst du auch von denen Ergebnisse. Ich verbinde hier nur die Punkte, aber das klingt für mich so, als ob Court Ventures Datenhändlerinformationen weiterverkaufte, die sie von USInfoSearch erhalten hatten. Bestimmt haben sie bei jedem Deal mit USInfoSearch diese Daten zu einem höheren Preis an ihre eigenen Kunden verkauft. Versteht ihr meinen Punkt. Diese Geschichte ist ziemlich bizarr. Man könnte also sagen, diese in der Anklageschrift genannte Firma, USInfoSearch, war das Backend und lieferte Daten an Court Ventures, und es ist USInfoSearch, von dem die US-Regierung sagt, Hieu habe unbefugten Zugriff darauf gehabt und von diesem Zugriff profitiert.
Die Opfer, das sollen ja die Leute gewesen sein, deren Steuerüberschuss oder was auch immer gestohlen wurde, aber eigentlich sind die Opfer doch die, von denen du gestohlen hast, oder? Also LocatePLUS, MicroBilt und Court…
HIEU: Richtig, Court Venture.
JACK: …Das sind doch die, die du ausgeraubt oder angegriffen hast, und ich echt erstaunt – waren sie überhaupt Teil des Falls? Waren sie da und haben gegen dich ausgesagt oder lieferten Beweise?
HIEU: Nein, nein. Ich habe niemanden von diesen Firmen gesehen.
JACK: Ja, aber ich kann's nicht – ich frage mich – hattest du'n guten Anwalt?
HIEU: Ich habe für den Anwalt bezahlt. Ich habe fast mehr als – ich glaube, bis zu 700.000 Dollar ausgegeben.
JACK: Wow.
HIEU: Ja, für den Anwalt.
JACK: Der Anwalt hätte hier doch kämpfen müssen - ich mein, 60 Millionen Dollar angeblicher Schaden, obwohl das erfunden ist. Er hat die Informationen nur an jemand anderen weitergegeben, und jemand anderes hat den Schaden angerichtet. Er hat nie einen Steuerbetrug begangen. Man kann also nicht sagen, dass er derjenige ist, der Steuerbetrug begangen hat. Es ist, als ob ich dir ein Feuerzeug verkaufe und du nimmst dieses Feuerzeug und brennst damit ein Gebäude nieder. Ich bin nicht in Schwierigkeiten, weil ich dir das Feuerzeug verkauft habe. Die Person, die das Gebäude niedergebrannt hat, ist es.
HIEU: Das stimmt. Aber weißt du, damals haben mir viele Leute dasselbe gesagt. Ich hätte keinen Anwalt engagieren sollen. Ich hätte das Geld behalten sollen.
JACK: Ja.
HIEU: Aber weißt du, meine Familie war so besorgt und sie schauten im Internet nach; oh ja, das ist ein guter Anwalt, gute Bewertung, Fünf-Sterne-Bewertung, internationaler Anwalt, was auch immer, in New Hampshire, ein Profi. Ja, so war das. Ich erinnere mich, jedes Mal, wenn die Anwälte und sein Team mich trafen – jedes Mal kostete es mich 5.000 bis 10.000 US-Dollar. Eine E-Mail, die ich ihm oder dem Anwaltsteam schickte, kostete mich 200 oder 300 US-Dollar pro E-Mail.
JACK: Ich weiß, Anwälte sind so teuer.
HIEU: Ich weiß, sehr teuer. Wie gewonnen, so zerronnen. Also beschwere ich mich nicht wirklich darüber, denn am Ende des Tages ist es irgendwie schmutziges Geld.
JACK: Eine andere Sache, die mich an der ganzen Sache wirklich stört, ist, dass weder MicroBilt, LocatePLUS noch Court Ventures ihren Opfern jemals mitgeteilt haben, dass es einen Datenbank-Einbruch gab.
HIEU: Nein, sie haben nie etwas gesagt – selbst bis heute, ich suche nach ihnen und sie haben nie etwas darüber erwähnt, obwohl es ihnen wirklich passiert ist.
JACK: Entschuldigung, aber: Was sind das für Dreckskerle. Ich habe einfach kein Mitgefühl mit diesen Datenhändlern. Ich hasse sie echt. Sie nehmen meine Daten ohne meine Zustimmung. Ich kann mich nichtmal abmelden, wenn ich wollte. Und sie schützen sie nicht, und wenn sie bei einem Datenleck verloren gehen, haben sie nicht einmal den Anstand, mir zu sagen, dass meine Daten, die sie über mich gesammelt haben, abhandengekommen sind.
Hieu versuchte verzweifelt, seinen Anwalt dazu zu bringen, ihm zu helfen. Aber die Sache ist so, dass es eine 99%ige Verurteilungsrate gibt, wenn die Bundesbehörden dich mit einem CFAA-Verstoß belangen. In all den Fällen, in denen die Bundesbehörden jemanden eines CFAA-Verstoßes beschuldigten, konnte ich nur zwei oder drei Fälle finden, in denen der Angeklagte tatsächlich gewann. Der Rest waren Leute, die sich schuldig bekannten oder im Prozess für schuldig befunden wurden, und so waren die Chancen, dass Hieu davonkam, gleich null. Er versuchte, dagegen anzukämpfen, aber alles, was sie versuchten, wurde von den Gerichten immer wieder abgelehnt. Nach ein paar Jahren des Kampfes wurde Hieu müde und sein Geld wurde knapp.
HIEU: Meine Anwälte erklärten mir, dass ich den Prozess verlieren könnte. Ich könnte bis zu fünfundvierzig Jahre im Bundesgefängnis bekommen.
JACK: Fünfundvierzig Jahre?
HIEU: Ich hatte solche – richtig; ich hatte solche Angst. Alle Anklagepunkte zusammen – nicht nur aus New Hampshire, sondern auch aus New Jersey. Ich hatte also zwei Strafanzeigen aus New Hampshire und New Jersey. Sie wurden alle zusammengelegt, und sie sagten, das sind bis zu fünfundvierzig Jahre, wenn ich verliere. Meine Familie und ich hatten also solche Angst. Also haben wir uns auf einen Deal eingelassen und, ja, ich habe mich im Sommer 2015 schuldig bekannt.
JACK: Schuldig, schuldig, einen Schaden von 60 Millionen Dollar verursacht zu haben. Als dein Urteil anstand oder während des Deals, hast du da mal angeboten, das eingenommene Geld abzugeben, um die Strafe zu reduzieren? Wie lief das ab?
HIEU: Oh, ja. Meine Familie fragte sie auch – sie wollten das ganze Geld zurückgeben, aber sie sagten, nein, das brauchen sie nicht.
JACK: Wirklich?
HIEU: Ja. Sie brauchen kein Geld. Sie brauchen kein Vermögen. Sie brauchen nichts. So war das. Aber die Sache ist, weißt du, ich habe viel Geld für Anwälte ausgegeben, auch während meiner Haft, für Essen und Medikamente und solche Sachen.
JACK: Sie haben also nichts von deinem Geld, deinem Eigentum, deinen Autos oder irgendetwas genommen?
HIEU: Nein, nein. Das war ihnen egal. Es ist, als ob sie das nicht brauchen.
JACK: Sie wollen nur dich.
HIEU: Sie wollen nur mich.
JACK: Nachdem er sich schuldig bekannt hatte, wurde er zu dreizehn Jahren Gefängnis verurteilt, dreizehn Jahre für den unbefugten Zugriff auf Daten von Datenhändlern. An diesem Punkt frage ich mich, was wäre, wenn Hieu, anstatt auf die Daten von Datenhändlern zuzugreifen, um sie zu verkaufen, einfach sein eigenes Datenhändlergeschäft aufgebaut hätte, das für jedermann zugänglich ist? Wäre das illegal? Wenn Hieu zum Beispiel alle Daten aus dem Telefonbuch, alle Gerichts- und Bezirksakten kopiert und LinkedIn-Daten gesammelt hätte, um vollständige Profile von Millionen von Menschen zu erstellen – das sind alles öffentliche Informationen, oder? Das wäre für ihn nicht besonders schwer gewesen, denn er ist ein cleverer Kerl. Gibt es Gesetze, die er brechen würde, wenn er diese Daten verkaufen würde? Ich frage mich wohl, ob es Gesetze gibt, denen Datenhändler folgen müssen? Hm.
Okay, das hab ich nachschlagen. Grundsätzlich ja, es gibt Gesetze für Datenhändler, oft reguliert durch die einzelnen Bundesstaaten. Der Kern der Gesetze ist, dass Datenhändler nachweisen müssen, dass sie ihre Daten nicht an Kriminelle verkaufen.
Ähhh: Denkt an all die gefährlichen Haushaltsgegenstände, die wir wahrscheinlich alle haben - Teppichmesser, Hämmer, Streichhölzer, Feuerzeuge, Benzin, Bleichmittel. Das sind alles Dinge, die viel Schaden und Zerstörung anrichten können, oder? Doch wenn man sie kauft, überprüft der Laden nicht eure Absicht. Sie sagen nicht: „Hey, was hast du mit dem Teppichmesser vor? Du musst uns beweisen, dass du es für etwas Gutes verwenden wirst.“ Doch genau so behandeln Datenhändler ihre Kunden. Ihre Kunden müssen nachweisen, dass sie einen legitimen Grund haben, ihre Daten zu durchsuchen, und sie stehen auf der genehmigten Liste der „guten“ Leute.
Anscheinend reicht es für Datenhändler nicht aus, nur zu sagen: „Hey, ihr dürft das nicht für böswillige Absichten verwenden.“ Sie müssen jeden einzelnen Benutzer überprüfen, um zu verhindern, dass einer von ihnen die Daten böswillig verwendet. Die genehmigte Liste umfasst also Leute wie Strafverfolgungsbehörden, Vermarkter, Ermittler, Kreditagenturen, solche Leute. Diese Unterscheidung ist für mich sehr faszinierend. Datenhändler sind legal, aber nur, wenn sie ihre Daten an eine exklusive Gruppe von Leuten verkaufen. Das gefällt mir kein kleines bisschen. Dass es ein Geschäft gibt, das meine persönlichen Informationen kauft und verkauft, ist widerlich. Sucht euch einen besseren Job, okay? Aber mir gefällt auch nicht, dass sie ihre Daten nur an eine bestimmte Gruppe von Leuten verkaufen.
Nur Leute in einem exklusiven Club können meine Daten nachschlagen, ein Club, in den ich nicht reingelassen werde. Der Grund, warum Staaten Datenhändler regulieren, ist, dass wir alle mit Betrügern, Identitätsdieben und Stalkern überflutet würden, wenn jeder diese Datenbanken durchsuchen könnte. Aber für mich ist das nicht das Problem. Für mich ist das Problem, erstens, dass ich nicht einmal weiß, wie viele Daten diese Datenhändler über mich haben, und zweitens, dass ich nicht einmal weiß, wer meine Daten hat.
Wenn ich irgendwie den Stich und den Schmerz jedes Mal spüren könnte, wenn meine Privatsphäre verloren geht, würde ich meine Privatsphäre viel ernster nehmen. Ich weiß also, dass es wahrscheinlich Apps auf meinem Handy gibt, die gerade Echtzeit-Standortdaten an einen Datenhändler senden, und wenn jemand diese Daten nehmen und sehen würde, wo ich bin, und zu meinem Haus käme und an meine Tür klopfte, würde ich natürlich nicht aufmachen, weil ich nie meine Tür aufmache.
Aber ich stelle mir nur vor, wie sie ununterbrochen an die Tür hämmern, so nach dem Motto: „Hey, Jack, ich weiß, dass du zu Hause bist. Mach die Tür auf. Dein Telefon sendet mir gerade Echtzeit-Standortdaten.“ Ich würde sofort denken: „Warte, welche App sendet dir meine Standortdaten?“ Ich glaube, ein beängstigender Moment wie dieser würde mich absolut dazu zwingen, Apps zu deinstallieren, die mich verfolgen.
Meine gewagte These ist also, dass Stalker hier nicht das Problem sind. Es ist die obsessive Sammlung meiner Daten, die das Problem ist. Wenn sich Datenhändler öffnen und jedem erlauben würden, ihre Seite zu durchsuchen, wären wir alle viel privater und sicherer, weil wir alle riesige Schritte unternehmen würden, um unsere Privatsphäre viel ernster zu schützen.
Natürlich sagen die Datenhändler, dass sie unsere Privatsphäre ernst nehmen und Sicherheit ihre oberste Priorität ist. Ja, nun, bis sie es eben nicht mehr ist. Hieu ist ganz allein in vier verschiedene Datenhändler eingedrungen, und es sah nicht so aus, als wäre es für ihn so schwer gewesen. Es gibt eine Nachricht nach der anderen über gehackte Datenhändler. Der größte Fall war, als Equifax gehackt wurde. Wenn die Datenhändler so besorgt wären, dass ihre Daten in die falschen Hände wie Betrüger und Stalker geraten, dann sollen sie sie gar nicht erst sammeln. Denn wenn ich eines aus über 160 Folgen über Hacking gelernt habe, dann ist es, dass man irgendwann bei der Sicherung seines Netzwerks und seiner Daten scheitern wird. Es gibt keinen sicheren Weg, meine persönlichen Daten zu sammeln und zu speichern, geschweige denn zu verkaufen.
Die Regulierungsbehörden denken, dass die Verpflichtung der Datenhändler, jeden Benutzer zu überprüfen, Kriminelle daran hindert, auf die Daten zuzugreifen, aber offensichtlich greifen Kriminelle dennoch auf die Daten zu. Seit wann halten sich Kriminelle an Vorschriften? Also, alles, was die Vorschriften wirklich tun, ist, Leute wie euch und mich, normale Bürger, daran zu hindern, zu sehen, was da drin steht. Es gibt so wenige Leute, die wirklich verstehen, was in dieser Welt der Datenhändler vor sich geht, da sie gerne in den Schatten des Internets operieren und hart daran arbeiten, alle anderen im Dunkeln zu lassen.
Jack beschreibt hier die Situation in den USA. Ich bin Holger Bleich und schreibe für die c't unter anderem über das Thema Datenschutz. In der EU soll der Datenhandel mit der Datenschutzgrundverordnung, der DSGVO geregelt werden. Ein Schlupfloch, das sich darin bietet und das Datenhändler gerne nutzen, ist das sogenannte „berechtigte Interesse“. Laut DSGVO dürfen Unternehmen Daten sammeln, wenn sie dafür einen, so wörtlich, „guten Grund“ haben. Den dürfen die Unternehmen praktischerweise selbst beurteilen. Auf diesem Wege werden fleißig Daten gesammelt, die in Paketen gebündelt dann auf Marktplätzen landen und z.B. für Bewegungsprofile genutzt werden. Wer in den Cookie-Bannern auf „Alle akzeptieren“ klickt, erteilt stillschweigend die Zustimmung dafür.
Holger Bleich ist Co-Host des c't Datenschutzpodcasts "Auslegungssache [4]".
JACK: Hieu wurde 2015 verurteilt, was bedeutete, dass er 2026 rauskommen würde, da er zu diesem Zeitpunkt bereits zwei Jahre im Gefängnis verbracht hatte.
Dort im Gefängnis von New Hampshire lernte er Englisch und bildete sich auch in anderen Bereichen fort. Die Polizei fragte ihn, ob er seine Geschichte nicht mit anderen teilten könnte, um denen beizubringen, wie das Darknet funktioniert und all das, und: Hieu kooperierte, er erzählte seine Geschichte und tat alles, um sich selbst zu rehabilitieren und früher rauszukommen. Während er im Gefängnis saß, erreichte ihn aber eine Nachricht, die ihn wirklich niederschmetterte. Die Liberty-Reserve-Website wurde von den Bundesbehörden beschlagnahmt und der Besitzer gefasst.
HIEU: Ich habe in den Nachrichten gehört, dass er gefasst wurde.
JACK: Hieu hatte immer noch n eMenge Geld auf seinem Liberty-Reserve-Konto. Aber als die Seite beschlagnahmt wurde, beschlagnahmten sie auch das Geld. Wie viel hast du da verloren?
HIEU: Ich hatte dort etwas mehr als 300.000 Dollar gespart.
JACK: Wow.
HIEU: Weißt du, ich dachte, Mann, ich werde nach Hause gehen und dieses Geld holen. Aber in dem Moment, als ich das während meiner Haftzeit 2014 oder '15 in den Nachrichten hörte, dachte ich, Mann, es ist vorbei. Kein Geld mehr.
JACK: So verbüßte er weiterhin seine Haftstrafe und hielt sich aus Schwierigkeiten heraus. Wegen guter Führung wurde er vorzeitig entlassen. Nachdem er sieben Jahre im Gefängnis verbracht hatte, ließen sie ihn 2020 frei. Es gab viele Komplikationen, mitten in einer Pandemie aus dem Gefängnis zu kommen, also dauerte es acht Monate, bis er nach seiner Freilassung nach Hause kam. Aber schließlich schaffte er es zurück nach Vietnam.
Als du 2020 nach Hause kamst, hattest du noch Geld von all dem übrig?
HIEU: Ich hatte noch etwas mehr als 50.000 US-Dollar und eine Wohnung.
JACK: Als er nach Hause kam, bekam er einen Job bei der vietnamesischen Regierung, um bei der nationalen Cyberabwehr zu helfen.
HIEU: Das sogenannte NCSC, das Nationale Zentrum für Cybersicherheit, dort habe ich vier Jahre lang gearbeitet. Ich habe das NCSC erst vor fünf Monaten verlassen, weil die Regierung die Behörde umstrukturiert hat, und deshalb habe ich das NCSC verlassen. Momentan konzentriere ich mich hauptsächlich auf die Untersuchung von Cyberkriminalität. Ich liebe es, Cyberkriminelle zu jagen, technisch gesehen. Von dem Tag, an dem ich nach Hause kam, bis heute habe ich der Strafverfolgung in Vietnam und auch in anderen Ländern geholfen, mehr als zweihundert Cyberkriminelle zu verhaften.
JACK: Hieu sagt, er genießt es geradezu, Opfern von Betrug und Identitätsdiebstahl zu helfen, indem er sie z.B. über ihre Möglichkeiten aufklärt, und dabei hilft, die Kontrolle über ihr Leben zurückzugewinnen und das Gesetz zu nutzen. Tatsächlich klingt es für mich so, als ob Hieu ein ziemlich schlechtes Gewissen gegenüber den Leuten hat, die durch seinen Dienst betrogen wurden.
HIEU: Ich habe das Gefühl, dass ich den Leuten viel schulde, hauptsächlich den Leuten in den USA. Ich habe so viele Menschen verletzt und geschädigt, und ich schäme mich irgendwie immer noch dafür.
JACK: Hieu möchte also klarstellen, dass es ihm für jeden leidtut, dessen Identität gestohlen wurde und der durch seine Website Geld verloren hat. Es tut ihm wirklich leid, er hat sich mehrmals öffentlich entschuldigt und möchte versuchen, alles zu tun, um das Unrecht, das er getan hat, wiedergutzumachen, weshalb er jetzt Opfern hilft und mit der Strafverfolgung zusammenarbeitet, um Cyberkriminelle in seinem Heimatland zu fassen.
JACK (Outro): Vielen Dank an Hieu Minh Ngo, dass er uns diese unglaubliche wilde Geschichte erzählt hat. Ich musste beim Erstellen mehrmals innehalten und nachdenken, ich liebe eine Geschichte, die mich so tief ins Grübeln bringt, und ich hoffe, das tat sie auch bei euch. Ich habe kürzlich ein Buch über Datenhändler gelesen, das extrem aufschlussreich war, es heißt „Means of Control“ von Byron Tau. Schaut es euch an. Ihr werdet die Welt danach nicht mehr mit denselben Augen sehen.
URL dieses Artikels:
https://www.heise.de/-11200418
Links in diesem Artikel:
[1] https://darknetdiaries.com/episode/162/
[2] https://darknet-diaries-deutsch.podigee.io/
[3] https://www.heise.de/news/Darknet-Diaries-Deutsch-Hieu-vom-Darknet-zum-Datendealer-Teil-1-11196882.html
[4] https://www.heise.de/thema/auslegungssache
[5] mailto:igr@heise.de
Copyright © 2026 Heise Medien
Anthropic steht auf einem Smartphone, im HIntergrund Claude.
(Bild: Stockinq/Shutterstock.com)
Der Quellcode von Anthropics CLI-Tool Claude Code wurde versehentlich über eine Source-Map im npm-Registry öffentlich zugänglich.
Der Quellcode von Anthropics CLI-Tool Claude Code ist am 31. März 2026 anscheinend unbeabsichtigt öffentlich zugänglich geworden. Auslöser war nach übereinstimmenden Berichten eine mitveröffentlichte Source-Map-Datei im npm-Registry. Der Sicherheitsexperte Chaofan Shou machte über X [1] auf den Fund aufmerksam, kurz darauf tauchte ein vollständiger Snapshot des Codes in einem öffentlichen GitHub-Repository auf.
Der gespiegelte Code umfasst laut Repository rund 1900 Dateien mit über 512.000 Zeilen. Claude Code [2] ist ein Kommandozeilenwerkzeug, mit dem Entwickler über natürliche Sprache auf Anthropics KI-Modelle zugreifen und typische Aufgaben wie das Bearbeiten von Dateien oder das Ausführen von Befehlen erledigen können.
Source Maps dienen eigentlich dazu, komprimierten oder gebündelten Code auf die ursprünglichen Quelldateien zurückzuführen. Gelangen sie jedoch in veröffentlichte Pakete, können sie den Zugriff auf den Originalcode ermöglichen. In diesem Fall verwies die Datei offenbar auf unminifizierte TypeScript-Quellen, die sich herunterladen ließen.
Als wahrscheinliche Ursache gilt eine fehlerhafte Paketkonfiguration bei der Veröffentlichung über npm. Anthropic reagierte schnell: Die betroffene Paketversion wurde bereits aus dem npm-Registry entfernt und durch eine bereinigte Version ohne Source-Maps ersetzt. Eine offizielle Stellungnahme des Unternehmens lag zum Zeitpunkt der Veröffentlichung dieser Meldung nicht vor.
Ein erster Blick in das Material zeigt eine modular aufgebaute Codebasis. Das Tool nutzt demnach die JavaScript-Laufzeitumgebung Bun und setzt für die Terminaloberfläche auf React in Kombination mit der Ink-Bibliothek. Zudem enthält der Code unter anderem ein Befehlssystem, eine Schnittstelle zu Entwicklungsumgebungen sowie Mechanismen zur Steuerung von Berechtigungen.
Die Verbreitung erfolgte zunächst über soziale Netzwerke und Entwicklerforen auf Reddit [3]. Parallel entstand auf GitHub das Repository [4], das den Code zu Analysezwecken spiegelt und ausdrücklich als Forschungs- und Lehrmaterial einordnet.
URL dieses Artikels:
https://www.heise.de/-11241752
Links in diesem Artikel:
[1] https://x.com/Fried_rice/status/2038894956459290963
[2] https://www.heise.de/hintergrund/Drei-KI-Coding-Assistenten-fuer-Visual-Studio-Code-im-Ueberblick-11137834.html
[3] https://www.reddit.com/r/LocalLLaMA/comments/1s8ijfb/claude_code_source_code_has_been_leaked_via_a_map/
[4] https://github.com/instructkr/claude-code
[5] https://www.heise.de/ix
[6] mailto:fo@heise.de
Copyright © 2026 Heise Medien
(Bild: smolaw / Shutterstock.com)
Entfernungsanordnungen für terroristische Inhalte werden wieder seltener – die Zahl der BKA-Hinweise an Hostinganbieter steigt dennoch rapide an.
245 Mal hat das Bundeskriminalamt (BKA) im vergangenen Jahr sogenannte Entfernungsanordnungen nach der Terrorist-Content-Online-Verordnung (TCO-VO) der EU erlassen, etwa die Hälfte des 2024er-Wertes. Nur 0,8 Prozent der Anordnungen wurden dabei nicht von den Anbietern umgesetzt. 203 der 245 Entfernungsanordnungen gingen dabei an nichtdeutsche Hostingdienstleister. Das geht aus dem heute veröffentlichten Transparenzbericht für das Jahr 2025 zur Durchsetzung der TCO-Verordnung hervor. Die TCO-Verordnung gilt als eines der schärfsten Schwerter, selbst Telegram folgt laut BKA den Entfernungsanforderungen [1].
Gegen sechs Anordnungen wurde beim BKA Widerspruch eingereicht – der in allen sechs Fällen auch erfolgreich war. Das Terroristische-Online-Inhalte-Bekämpfungs-Gesetz (TOIBG) weist die Zuständigkeit für das Vorgehen gegen terroristische Inhalte dem BKA zu. Nach Erhalt einer formellen Entfernungsanordnung müssen die Hostinganbieter rund um die Uhr binnen einer Stunde die beanstandeten Inhalte unerreichbar stellen.
Aus dem europäischen Ausland wurden 28 Entfernungsanordnungen über das BKA an deutsche Hostingdienstleister weitergeleitet – dabei richteten sich 24 davon gegen einen einzigen Anbieter. Gegen diesen hatte die für die Einhaltung der allgemeinen TCO-Regeln durch Anbieter zuständige Bundesnetzagentur nach eigener Darstellung bereits zuvor ein Bußgeldverfahren eingeleitet, weil dieser nur unzureichende Maßnahmen gegen terroristische Inhalte in seinem Zuständigkeitsbereich vorgenommen haben soll.
Anders als nach dem bekannteren Digital Services Act (DSA) ist mit der TCO-Verordnung unmittelbar die Entfernung von Inhalten geregelt [2], nicht die Prüfung durch Anbieter auf mögliche Rechtswidrigkeit. Sie können allerdings ausländische Anordnungen durch das BKA nachlaufend prüfen lassen und gegebenenfalls vor Gericht gehen. Andersherum müssen Hostingdienste wie etwa Social-Media-Plattformen jedoch die zuständigen Behörden in ihrem Mitgliedsstaat informieren, wenn sie etwa über Nutzermeldungen auf Inhalte aufmerksam werden, die unter die TCO-Verordnung fallen. So kann aus einer DSA-Meldung ein TCO-Vorgang werden.
Nicht in der TCO-Verordnung angelegt und auch im TOIBG nicht weiter spezifiziert ist dabei eine andere BKA-Vorgehensweise: Die Bundesnetzagentur weist aus, dass das BKA 2025 insgesamt 29.792 Mal unverbindlich an Hostingdienste sogenannte Löschersuche geschickt hat. Diese können auch terroristische, in jedem Fall aber aus BKA-Sicht strafrechtlich relevante Inhalte meinen. Bei diesem Weg steigt die Zahl seit Jahren steil an: Die sogenannten „Referrals“ vom BKA lagen 2023 noch bei 7240, 2024 waren es schon 17.045. Den nachdrücklichen Bitten aus Wiesbaden wurde 2025 in gut neun von zehn Fällen durch die Anbieter entsprochen.
URL dieses Artikels:
https://www.heise.de/-11241665
Links in diesem Artikel:
[1] https://www.heise.de/news/Telegram-Zusammenarbeit-mit-deutschen-Behoerden-variiert-stark-9853047.html
[2] https://www.heise.de/news/Anti-Terror-Verordnung-Scharfer-Protest-gegen-neue-Zensurbefugnisse-6032514.html
[3] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[4] mailto:dahe@heise.de
Copyright © 2026 Heise Medien
Anthropic steht auf einem Smartphone, im HIntergrund Claude.
(Bild: Stockinq/Shutterstock.com)
Der Quellcode von Anthropics CLI-Tool Claude Code wurde versehentlich über eine Source-Map im npm-Registry öffentlich zugänglich.
Der Quellcode von Anthropics CLI-Tool Claude Code ist am 31. März 2026 anscheinend unbeabsichtigt öffentlich zugänglich geworden. Auslöser war nach übereinstimmenden Berichten eine mitveröffentlichte Source-Map-Datei im npm-Registry. Der Sicherheitsexperte Chaofan Shou machte über X [1] auf den Fund aufmerksam, kurz darauf tauchte ein vollständiger Snapshot des Codes in einem öffentlichen GitHub-Repository auf.
Der gespiegelte Code umfasst laut Repository rund 1900 Dateien mit über 512.000 Zeilen. Claude Code [2] ist ein Kommandozeilenwerkzeug, mit dem Entwickler über natürliche Sprache auf Anthropics KI-Modelle zugreifen und typische Aufgaben wie das Bearbeiten von Dateien oder das Ausführen von Befehlen erledigen können.
Source Maps dienen eigentlich dazu, komprimierten oder gebündelten Code auf die ursprünglichen Quelldateien zurückzuführen. Gelangen sie jedoch in veröffentlichte Pakete, können sie den Zugriff auf den Originalcode ermöglichen. In diesem Fall verwies die Datei offenbar auf unminifizierte TypeScript-Quellen, die sich herunterladen ließen.
Als wahrscheinliche Ursache gilt eine fehlerhafte Paketkonfiguration bei der Veröffentlichung über npm. Anthropic reagierte schnell: Die betroffene Paketversion wurde bereits aus dem npm-Registry entfernt und durch eine bereinigte Version ohne Source-Maps ersetzt. Eine offizielle Stellungnahme des Unternehmens lag zum Zeitpunkt der Veröffentlichung dieser Meldung nicht vor.
Ein erster Blick in das Material zeigt eine modular aufgebaute Codebasis. Das Tool nutzt demnach die JavaScript-Laufzeitumgebung Bun und setzt für die Terminaloberfläche auf React in Kombination mit der Ink-Bibliothek. Zudem enthält der Code unter anderem ein Befehlssystem, eine Schnittstelle zu Entwicklungsumgebungen sowie Mechanismen zur Steuerung von Berechtigungen.
Die Verbreitung erfolgte zunächst über soziale Netzwerke und Entwicklerforen auf Reddit [3]. Parallel entstand auf GitHub das Repository [4], das den Code zu Analysezwecken spiegelt und ausdrücklich als Forschungs- und Lehrmaterial einordnet.
URL dieses Artikels:
https://www.heise.de/-11241752
Links in diesem Artikel:
[1] https://x.com/Fried_rice/status/2038894956459290963
[2] https://www.heise.de/hintergrund/Drei-KI-Coding-Assistenten-fuer-Visual-Studio-Code-im-Ueberblick-11137834.html
[3] https://www.reddit.com/r/LocalLLaMA/comments/1s8ijfb/claude_code_source_code_has_been_leaked_via_a_map/
[4] https://github.com/instructkr/claude-code
[5] https://www.heise.de/ix
[6] mailto:fo@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Neovim 0.12 bringt einen nativen Plugin-Manager und macht Schluss mit „Press ENTER“. Ziel ist ein Out-of-the-box-Editor.
Neovim ist in Version 0.12 erschienen. Unter dem Motto „The year of Nvim OOTB“ (Out of the box) baut das Release den Funktionsumfang des Open-Source-Editors aus. Die wichtigsten Neuerungen: ein nativer Plugin-Manager und das Ende störender UI-Blockaden.
Neovim ist ein Fork des Texteditors Vim. Das Projekt hat zum Ziel, die historische Codebasis zu modernisieren, und setzt auf eine asynchrone Architektur sowie eine API-getriebene Erweiterbarkeit. Als Konfigurations- und Skriptsprache dient Lua.
Die zentrale Neuerung ist der in den Core integrierte, minimalistische Plugin-Manager vim.pack. Bislang mussten Nutzer für fast jedes Setup externe Paketmanager wie packer oder lazy.nvim per Skript herunterladen und initialisieren – das sogenannte Bootstrapping. Mit vim.pack genügt eine deklarative Lua-Konfiguration, um Erweiterungen direkt von GitHub zu laden und zu verwalten. Externe Manager bleiben nur noch für komplexe Setups nötig, etwa mit umfangreichem Lazy-Loading.
Außerdem ersetzt Neovim 0.12 die berüchtigte „Press ENTER“-Meldung durch eine experimentelle Nachrichten-UI. Die neue Oberfläche (vim._extui) ersetzt rund 3000 Zeilen alten C-Code und muss manuell aktiviert werden:
FreshRSS require('vim._extui').enable({})Ohne Aktivierung bleibt das alte Verhalten erhalten – Nutzer können es aber über :set cmdheight=0 deaktivieren. In der neuen UI werden lange Nachrichten standardmäßig in der Kommandozeile mit einem Überlauf-Indikator (...) angezeigt. Bei cmdheight=0 oder expliziter Konfiguration (msg.pos = 'box') erscheinen sie stattdessen in einem Floating Window unten rechts.
Wer die vollständige Nachrichten-Historie oder lange Listen – etwa geöffnete Puffer via :ls – einsehen möchte, öffnet über das Tastenkürzel g< künftig ein reguläres, interaktives Editor-Fenster. Es ersetzt den bisherigen starren Pager. Die neue UI nutzt den Tree-sitter-Parser für Vimscript, um die Kommandozeile farblich hervorzuheben – etwa für Befehle und Argumente. Dieses Feature ist jedoch nur aktiv, wenn vim._extui eingeschaltet ist.
Hinzu kommen zwei neue Befehle: :restart startet den Editor-Prozess mitsamt Konfiguration neu, ohne dass die Terminal-Session geschlossen werden muss. :connect vereinfacht das Anbinden externer GUIs oder Headless-Instanzen über RPC.
Unter der Haube überarbeitet Neovim aktuell das System für Remote-Plugins. Diese Erweiterungen laufen in externen Sprachen wie Python oder Node.js und kommunizieren über MessagePack-RPC mit dem Editor. Bisher erforderte ihre Installation einen manuellen Registrierungsschritt: Der Befehl :UpdateRemotePlugins aktualisierte eine Manifest-Datei – ein fehleranfälliger Zwischenschritt. Für Version 0.13 plant das Projekt, Lua als nativen Plugin-Host einzusetzen – :UpdateRemotePlugins soll dann entfallen.
Alle Informationen zu Neovim 0.12 und zu den geplanten Updates finden sich auf der Webseite des Projekts [1] und in den Release Notes auf GitHub [2].
URL dieses Artikels:
https://www.heise.de/-11241207
Links in diesem Artikel:
[1] https://neovim.io/roadmap/
[2] https://github.com/neovim/neovim/commit/fc7e5cf6c93fef08effc183087a2c8cc9bf0d75a
[3] https://www.heise.de/ix
[4] mailto:fo@heise.de
Copyright © 2026 Heise Medien
(Bild: Besjunior / Shutterstock.com)
Google veröffentlicht ADK 1.0 für Java und erweitert sein Framework für KI-Agenten um Tools, Plugin-System und Zusammenarbeit zwischen Agenten.
Google hat das Agent Development Kit (ADK) für Java in Version 1.0.0 veröffentlicht und macht sein Framework für KI-Agenten damit erstmals auch für die weit verbreitete Java-Plattform verfügbar. Das Open-Source-Projekt, das ursprünglich in Python startete, wächst damit zu einem mehrsprachigen Ökosystem heran – neben Java unterstützt es auch Go und TypeScript.
Das ADK [1] richtet sich an Entwicklerinnen und Entwickler, die KI-Agenten bauen wollen, die nicht nur Texte generieren, sondern aktiv mit ihrer Umgebung interagieren. Solche Agenten kombinieren Large Language Models (LLMs) mit Tools, Zustandsverwaltung und externen Datenquellen.
Zu den wichtigsten Neuerungen zählen zusätzliche Tools für den Zugriff auf externe Informationen. So bindet etwa das GoogleMapsTool Ortsdaten direkt ein, während das UrlContextTool Webseiteninhalte automatisch abruft und zusammenfasst. Mit Code-Executoren können Agenten zudem eigenen Code lokal (Docker) oder in der Cloud ausführen.
Neu ist auch eine zentrale App-Struktur mit Plug-in-System. Damit lassen sich Funktionen wie Logging, Kontextfilterung oder globale Verhaltensregeln einmal definieren und auf alle Agenten anwenden.
(Bild: Google for Developers Blog [2])
Für längere Interaktionen führt ADK ein Context-Management ein, das ältere Gesprächsteile zusammenfasst, um Token-Limits und Kosten zu kontrollieren. Gleichzeitig unterstützt das Framework Human-in-the-Loop-Szenarien: Agenten können Aktionen pausieren und eine Freigabe einholen.
Hinzu kommen Bausteine für Sitzungs- und Langzeitspeicher sowie Unterstützung für das Agent2Agent-Protokoll, über das Agenten framework-übergreifend miteinander kommunizieren.
Nähere Informationen bietet der Beitrag auf dem Blog Google for Developers [3] sowie die Dokumentation zum Tool [4].
URL dieses Artikels:
https://www.heise.de/-11241104
Links in diesem Artikel:
[1] https://google.github.io/adk-docs/
[2] https://developers.googleblog.com/announcing-adk-for-java-100-building-the-future-of-ai-agents-in-java/
[3] https://developers.googleblog.com/announcing-adk-for-java-100-building-the-future-of-ai-agents-in-java/
[4] https://google.github.io/adk-docs
[5] mailto:mdo@ix.de
Copyright © 2026 Heise Medien
Langsame Websites nerven Nutzer und ausgerechnet das populäre CMS WordPress ist nicht für schnellen Seitenaufbau bekannt. Vinyl Cache schafft Abhilfe.
Ein Internetbenutzer, insbesondere wenn er über eine Suchmaschine nach Informationen fahndet, hat in etwa die Aufmerksamkeitsspanne eines Eichhörnchens auf bewusstseinserweiternden Drogen. Ein kleiner Reiz und er springt zum nächsten Ast. Das ist herausfordernd für Seitenbetreiber: Lädt eine Website zu lange, sind Nutzer schneller weg, bevor der Webserver alle Inhalte ausgeliefert hat.
Schnelle Absprünge wiederum bekommt auch Google mit und die Seite sinkt in der Gunst der Suchmaschine. Gerade WordPress ist von Haus aus nicht für überragende Geschwindigkeit bekannt. Ansätze, um WordPress-Seiten zu beschleunigen, gibt es mehrere. Meistens greifen sie per Plug-in tief in die WordPress-Instanz ein.
Ein anderer Weg: Man stellt WordPress den Cache-Server Vinyl zur Seite, der fertig gerenderte HTML-Seiten im RAM vorhält, und degradiert WordPress zum Zulieferer für den Cache. Wir versprechen nicht zu viel: Durch den Umbau, den wir in diesem Artikel beschreiben, werden Sie Ihre WordPress-Seite nicht wiedererkennen. Ganz nebenbei erfahren Sie, wie Sie Ihre Website mit dem Werkzeug k6 systematisch unter Last testen.
URL dieses Artikels:
https://www.heise.de/-11212955
Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/Rasante-WordPress-Seiten-mit-Vinyl-Cache-11212955.html
[2] https://www.heise.de/ratgeber/WordPress-absichern-So-einfach-geht-s-10465922.html
[3] https://www.heise.de/ratgeber/Einfach-bloggen-auch-ohne-WordPress-9666591.html
[4] https://www.heise.de/ratgeber/Fuer-jeden-Zweck-WordPress-mit-Plug-ins-erweitern-6228401.html
[5] https://www.heise.de/ratgeber/WordPress-Themes-Worauf-kommt-es-an-6228345.html
[6] https://www.heise.de/ratgeber/Eigene-Website-bauen-Erste-Schritte-mit-WordPress-6224616.html
[7] https://www.heise.de/ratgeber/WordPress-Sicherheit-fuer-Einsteiger-Die-fuenf-wichtigsten-Massnahmen-6154540.html
Copyright © 2026 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
