Im c't-Datenschutz-Podcast nehmen sich die Hosts mit einem Experten die aktuellen datenschutzrechtlichen Baustellen von Microsoft 365 vor – wieder einmal.
In Episode 156 des c't-Datenschutz-Podcasts Auslegungssache widmen sich Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich einem Thema, das die Datenschutzwelt umtreibt wie kaum ein anderes: Microsoft 365. Zu Gast ist Kai Korte, Geschäftsführer der lexICT GmbH [1], Rechtsanwalt für IT- und Datenschutzrecht in Hannover und Lehrbeauftragter an der Hochschule Hannover.
Zunächst beleuchten die drei eine auffällige aktuelle Entwicklung: Die Zahl der Datenschutzbeschwerden hat sich bei einigen Aufsichtsbehörden nahezu verdoppelt, wie aus den neuen Tätigkeitsberichten hervorgeht. Baden-Württemberg verzeichnete 2025 einen Anstieg von rund 4000 im Jahr 2024 auf über 7600, Hamburg von 2600 auf 4200. Mehrere Behörden führen das auch auf KI-generierte Beschwerden zurück. Betroffene lassen sich offenbar per Chatbot fertige Texte erstellen und schicken diese an die Aufsicht. Die Behörden warnen, dass sie an ihre Kapazitätsgrenzen stoßen.
Rechtsanwalt Kai Korte podcastet in der Auslegungssache
Ebenfalls Thema ist ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) zum Auskunftsrecht [2]. Im Fall „Brillen Rottler“ entschied das Gericht, dass bereits ein erster Auskunftsantrag als rechtsmissbräuchlich eingestuft werden kann. Ein Mann hatte sich zum Newsletter eines Optikers angemeldet und nur 13 Tage später ein umfassendes Auskunftsersuchen gestellt. Der EuGH setzt allerdings hohe Hürden: Der Verantwortliche muss objektiv nachweisen, dass der Antragsteller gar nicht die Ziele des Datenschutzrechts verfolgt, und er muss zusätzlich eine missbräuchliche Absicht belegen. Korte warnt davor, das Urteil vorschnell zu verallgemeinern, es bleibe ein Ausnahmefall.
Minenfeld Microsoft 365
Dann steigen die drei ins Hauptthema ein: Microsoft 365. Bleich macht zunächst deutlich, wie komplex das Produktuniversum ist [3]. Hinter dem Namen verbergen sich zahlreiche Einzelprodukte – von Office-Anwendungen bis zu Teams und SharePoint. Die Preise reichen von knapp 11 Euro pro Nutzer und Monat für kleinere Unternehmen bis über 55 Euro im großen Enterprise-Paket. Viele Sicherheitsfunktionen sind nur in den teuren Varianten enthalten und Microsoft verschiebt regelmäßig Features zwischen den Paketen.
Datenschutzrechtlich bleibt Microsoft 365 ein Minenfeld. Zwar nimmt der US-Konzern am Transatlantic Data Privacy Framework teil, was den Datentransfer in die USA formal absichert. Korte weist aber darauf hin, dass der Cloud Act und weitreichende Zugriffsbefugnisse US-amerikanischer Behörden weiterhin problematisch sind. Microsoft sichert vertraglich zu, Daten europäuscher Unternehmen innerhalb der EU zu speichern -– die sogenannte EU Data Boundary. Doch Wartungszugriffe aus den USA sind weiterhin möglich und ein Microsoft-Chefjustiziar räumte öffentlich ein [4], dass man sich einem US-Herausgabebeschluss kaum widersetzen könnte.
Ein zentraler Kritikpunkt betrifft die Verarbeitung von Telemetrie- und Diagnosedaten. Microsoft sammelt im Hintergrund umfangreich Metadaten – Anmeldezeiten, Gesprächsdauern, Teilnehmerlisten, Nutzeraktivitäten. Welche Datenfelder genau erfasst werden und was damit geschieht, bleibt weitgehend intransparent. Der hessische Datenschutzbeauftragte hat Ende 2025 einen Bericht veröffentlicht, der den Einsatz von Microsoft 365 in öffentlichen Stellen unter bestimmten Bedingungen für möglich erklärt [5]. Allerdings hat er sich dabei ausschließlich auf Microsofts eigene Angaben verlassen, ohne die Datenflüsse technisch zu überprüfen.
Pragmatisch betrachtet: Einsatz ist möglich
Bleich verweist zudem auf Microsofts Zusatzprodukte Sentinel und Purview, mit denen Unternehmen das Verhalten ihrer Mitarbeiter analysieren können – bis hin zur KI-gestützten Erkennung potenzieller Whistleblower oder Datendiebe (hören Sie speziell hierzu die Episode 123 der Auslegungssache [6]). Korte räumt ein, dass Purview ein mächtiges Sicherheitswerkzeug sei, warnt aber vor dem schmalen Grat zwischen legitimer Sicherheitsüberwachung und unzulässigem Profiling von Beschäftigten.
Ob Unternehmen vor dem Einsatz von Microsoft 365 eine Datenschutz-Folgenabschätzung durchführen müssen, beantwortet Korte differenziert: Die Aufsichtsbehörden fordern das zwar, doch bei kleineren Unternehmen ohne besondere Datenkategorien sei das nicht zwingend erforderlich. Sinnvoll sei es aber allemal, sich einen Überblick über die verarbeiteten Daten zu verschaffen. Pragmatisch betrachtet könne man Microsoft 365 nutzen, solange man die Risiken kenne und die Konfiguration im Griff habe.
Am Ende bleibt die Frage nach Alternativen. Bleich weist auf Nextcloud-basierte Lösungen hin und kommt zu einem ernüchternden Ergebnis: Für die alltägliche Arbeit in größeren Unternehmen reichen diese Produkte nicht an Microsoft 365 heran. Eine neue Initiative namens „Euro-Office“ [7] von Ionos und Nextcloud soll im Sommer starten, doch ob sie den Rückstand aufholen kann, bleibt abzuwarten.
Korte ergänzt, dass auch das OpenDesk-Projekt für die öffentliche Verwaltung ein Schritt in Richtung digitale Souveränität sei. Die drei sind sich einig: Europäische Alternativen sind dringend nötig, aber noch nicht konkurrenzfähig. Die Abhängigkeit von Microsoft bleibt vorerst bestehen – und damit bleiben auch die datenschutzrechtlichen Bauchschmerzen.
Informationen, die bei normalen .NET-Projekten in der Projektdatei .csproj liegen, setzt man in File-based Apps mit einer Präprozessor-Direktive.
Das direkte Übersetzen und Starten von C#-Dateien nennt Microsoft File-based Apps [1]. Für Informationen, die üblicherweise in der .csproj-Projektdatei liegen, hat Microsoft für File-based Apps eine eigene Syntax eingeführt.
Die Syntax beginnt mit der Raute # (eine Präprozessor-Direktive in C# [2]) gefolgt von einem Doppelpunkt (aus der Sicht des C#-Compilers eine zu ignorierende Direktive):
Festlegung des SDKs: #:sdk Microsoft.NET.Sdk.Web. Bei der Angabe des SDK kann man ab Preview 6 auch die Versionsnummer nach @ angeben, beispielsweise #:sdk Aspire.AppHost.Sdk@9.3.1
Referenz auf Projekte: #:project ./ClassLib/ClassLib.csproj
Build-Eigenschaften, z. B. Versionsnummer: #:property Version=1.1.2 (vor Preview 6 noch ohne Gleichheitszeichen, sondern mit Leerzeichen als Trennung)
File-based Apps verwenden im Standard den NativeAOT-Compiler. Wenn man ihn mit #:property PublishAot=false deaktiviert, wird der Just-in-Time-Compiler verwendet.
Auf NuGet.org gibt es inzwischen zu jedem Paket eine Registerkarte „File-based Apps“ mit der passenden Syntax zur Einbindung des Pakets in eine eigenständige C#-Datei (Abb. 1).
Weitere Features von Files-based Apps sind:
Man kann eine Datei .settings.json im gleichen Ordner mit den Settings für die File-based App anlegen.
Man kann in der Datei .run.json im gleichen Ordner ein Launch-Profil für die File-based App anlegen.
Man kann dotnet build Dateiname.cs oder dotnet restore Dateiname.cs ausführen.
Man kann solche File-based Apps mit dotnet publish cs zu einer ausführbaren Datei (.EXE) übersetzen.
Innerhalb einer File-based App können Entwicklerinnen und Entwickler seit Preview 6 den Standort der Datei mit AppContext.GetData("EntryPointFileDirectoryPath") und den ganzen Pfad zur ausgeführten C#-Datei mit GetData("EntryPointFilePath") bestimmen. Das funktioniert allerdings nur mit File-based Apps, nicht in normalen, projektbasierten C#-Anwendungen.
Es gibt aber in .NET 10.0 noch keine Möglichkeit, in einer File-based App eine andere .cs-Datei direkt einzubinden. Das ist für .NET 11.0 geplant.
Folgender Code zeigt ein Beispiel einer File-based App mit zwei referenzierten NuGet-Paketen:
#!/usr/bin/env dotnet
#region Einstellungen für File-based App
// https://www.nuget.org/packages/humanizer/
#:package Humanizer@2.14.1
// https://www.nuget.org/packages/Spectre.Console/
#:package Spectre.Console@0.*
#:property LangVersion=preview
#:property Version=1.2.0
#:project ./ClassLibrary/ClassLibrary.csproj
#endregion
using Spectre.Console;
using Humanizer;
var title = "C# Script v" + System.Reflection.Assembly.GetExecutingAssembly().GetName().Version +
" mit " + System.Runtime.InteropServices.RuntimeInformation.FrameworkDescription + "\n" +
AppContext.GetData("EntryPointFilePath");
// Header
AnsiConsole.Write(
new Panel(title)
.Header("[yellow]File-based App[/]", Justify.Center)
.Border(BoxBorder.Rounded)
.BorderStyle(new Style(foreground: Color.Green))
.Padding(1, 1, 1, 1)
);
// Parameter auflisten
foreach (var arg in args)
{
Console.WriteLine($"Argument: {arg}");
}
Console.WriteLine();
// Daten
(Data net80, Data net90, Data net10) = GetData();
// Textausgabe in Wochen
var dotNet8Released = DateTimeOffset.Parse(net80.Release);
TimeSpan dotNet8Since = DateTimeOffset.Now - dotNet8Released;
Console.WriteLine($"It has been {dotNet8Since.Humanize()} since .NET {net80.Version} was released.");
var dotNet9Released = DateTimeOffset.Parse(net90.Release);
TimeSpan dotNet9Since = DateTimeOffset.Now - dotNet9Released;
Console.WriteLine($"It has been {dotNet9Since.Humanize()} since .NET {net90.Version} was released.");
var dotNet10Released = DateTimeOffset.Parse(net10.Release);
TimeSpan dotNet10Since = DateTimeOffset.Now - dotNet10Released;
Console.WriteLine($"{dotNet10Since.Humanize()} since .NET {net10.Version} release.");
Console.WriteLine();
// Zeichne Balken für die Anzahl der Tage seit der Veröffentlichung
var bar = new BarChart()
.Width(100)
.AddItem("Days since .NET 8.0 release", dotNet8Since.TotalDays, Color.Red)
.AddItem("Days since .NET 9.0 release", dotNet9Since.TotalDays, Color.Blue)
.AddItem("Days since .NET 10.0 release", dotNet10Since.TotalDays, Color.Purple);
AnsiConsole.Write(bar);
Console.WriteLine();
// Lokale Funktion
static (Data, Data, Data) GetData()
{
var net80 = new Data
{
Version = "8.0",
Release = "2023-11-14"
};
var net90 = new Data
{
Version = "9.0",
Release = "2024-11-12"
};
var net10 = new Data
{
Version = "10.0",
Release = "2025-11-11"
};
return (net80, net90, net10);
}
// Datenklasse
class Data
{
public required string Version { get; set; }
public string Release { get; set; }
}
Der Screenshot zeigt die Ausgabe beim Starten des Beispielcodes (Abb. 2).
URL dieses Artikels: https://www.heise.de/-11244587
Links in diesem Artikel: [1] https://www.heise.de/blog/Neu-in-NET-10-0-13-Kompilieren-und-Starten-einzelner-C-Dateien-11201372.html [2] https://www.dotnet-lexikon.de/Pr%C3%A4prozessor/lex/10419 [3] mailto:Spectre.Console@0.48.* [4] mailto:rme@ix.de
Ab sofort lassen die USA für Verbraucher nur noch im Inland hergestellte Router zu. Die Vorgaben des FCC sind jedoch unrealistisch und sicherheitsmäßig heikel.
Wie jüngst von der Regulierungsbehörde Federal Communications Commission (FCC) beschlossen wurde, dürfen in den USA neue Router für den Verbrauchermarkt nur noch verkauft werden, wenn sie komplett lokal entwickelt und gefertigt wurden [1]. Die Crux: Es gibt weder Produzenten noch Geräte, die diese Vorgaben erfüllen.
Bereits genehmigte Routermodelle dürfen zwar weiterhin verkauft und vorhandene Exemplare weiter genutzt werden. Sie bekommen aber nur noch bis zum 1. März 2027 Sicherheitsupdates. Als Grund für das umfassende Verbot erklärte die FCC, die ausländischen Verbraucher-Router stellten ein „inakzeptables Risiko für die nationale Sicherheit“ dar.
Made in USA
Dass die Made-in-USA-Vorgaben der FCC unrealistisch sind, zeigt sich schon beim Blick in hiesige Router für Konsumenten. So lässt etwa die Deutsche Telekom ihren Speedport-7-Router von Arcadyan mit Mediatek-Funkchips herstellen, die zugehörigen Repeater namens „WLAN-Verstärker“ mit Qualcomm-WLAN-Bausteinen dagegen bei WNC. Beide Firmen sind in Taiwan beheimatet, betreiben aber nicht nur Fabriken, sondern auch Entwicklungsbüros in China und anderen asiatischen Ländern.
Die Funkchips im Speedport-7-Router der Telekom stammen von Mediatek, gebaut wird der Router von Arcadyan, beide Firmen sind in Taiwan beheimatet, haben aber auch Fabs in China und anderen asiatischen Ländern.
(Bild: Bild: Deutsche Telekom)
In manch asiatischem Routermodell steckt eine mit heißer Nadel aus Open-Source-Quellen zusammengestrickte Firmware. Dass der Hersteller eine Backdoor in die Firmware einpflanzt, ist zwar nicht unmöglich, aber unwahrscheinlich. Denn dann benötigt die Software womöglich mehr Platz, als der ursprünglich vorgesehene billige Flash-Baustein bietet, vielleicht auch mehr RAM; beides treibt die Kosten und ist gerade angesichts der gestiegenen Speicherpreise unrealistisch.
Unsicher auch ohne Backdoor
Dabei braucht es meist gar keine Backdoor, es genügen die fast im Monatsrhythmus aufpoppenden Lücken, um das Internet mit einem per Botnet ausgelösten Distributed-Denial-of-Service weltweit empfindlich zu stören. Wenn die vorhandenen Router keine Sicherheitsupdates mehr bekommen, stehen die Scheunentore für Schädlinge weit offen. Außerdem: Welche Geheimnisse fänden sich in einem privaten Router, abgesehen von mehr oder weniger nützlichen Metadaten? Der hindurchgehende interessante Verkehr läuft schließlich, schwer knackbar, TLS-geschützt. Deshalb wäre es effizienter, dessen Quelle oder Senke – also den Server beziehungsweise das Endgerät – zu kompromittieren.
Es bleibt das Risiko, dass der private Router als Sprungbrett ins interne Netz dient. Doch auch da ist es effizienter, die Betriebssystem-Monokulturen und Apps zu unterwandern und das Login gleich mit aufzuschnappen.
Hinzu kommt: Die „Freedom-Router“ werden unweigerlich ausnutzbare Bugs haben, denn Programmierer sind Menschen und Menschen machen Fehler. Die Lücken werden womöglich sogar zahlreicher, wenn man die Firmware der KI überantwortet, weil es daheim zu wenig kompetente Entwickler gibt, um wenigstens die KI-Ergebnisse zu prüfen. Wie sich der Graben zwischen Hier-gebaut-Anspruch und Kompetenz-weit-weg überbrücken lässt, verrät die Regulierungsbehörde nicht.
Kritische Ausnahmeanträge
Unternehmen können zwar Ausnahmegenehmigungen für ihre Router beantragen, müssen dabei aber umfassend über Lieferketten und Interna informieren, etwa zu Firmenstruktur, Partnern und Joint Ventures, Eigentümern sowie Management. Sie müssen für jedes einzelne Modell alle Bestandteile des Routers samt Herkunftsland deklarieren, wo es entwickelt, gefertigt und zusammengebaut wird, woher Firmware und Software kommen und vor allem eine Rechtfertigung, warum das Gerät nicht in den USA produziert wird.
Zusätzlich muss jeder Ausnahmebewerber einen „detaillierten, zeitlich verpflichtenden Plan zur Etablierung oder Erweiterung der Produktion in den USA“ für das jeweilige Modell vorlegen, samt bereits ausgegebener und geplanter Investitionssummen, Geldquellen und exakter Zeitreihen sowie Meilensteine. Genehmigungen werden aber nur befristet erteilt.
Abgesehen von der Preisgabe wettbewerbsrelevanter Informationen bleibt fraglich, ob sich dieser Aufwand bei Routern für den Verbrauchermarkt, die in der Regel geringe Margen abwerfen, für die Anbieter überhaupt rechnet.
URL dieses Artikels: https://www.heise.de/-11241349
Links in diesem Artikel: [1] https://www.heise.de/news/USA-verbieten-alle-neuen-Router-fuer-Verbraucher-11222044.html [2] https://www.heise.de/ct [3] mailto:uk@ct.de
Neu verkabelte polykristalline Solarzellen aus dem Jahr 2000 sind über zwei Jahre intensiv getestet worden. Sie wären weiter nutzbar.
Wieder aufgebaute Solarzellen arbeiten nach 25 Jahren weiter verlässlich.Bild:
UFSC
Ein Forschungsteam der Bundesuniversität von Santa Catarina, Brasilien, hat eine Solaranlage nach 23 Jahren im Betrieb demontiert, geprüft und für umfangreiche Tests auf dem Universitätsgelände wieder aufgebaut. Nicht ganz ein Drittel der Module musste wegen Beschädigungen aussortiert werden.
Im Ergebnis erreichten die übrigen Module, die von 2000 bis 2023 auf einer Insel vor der Atlantikküste Brasiliens im Einsatz waren, eine Leistung von 86,8 Prozent im Vergleich zum Originalzustand. Der Wert beruht auf Messungen, die über zwei Jahre hinweg bis 2025 durchgeführt wurden.
Weit oberhalb des garantierten Zustands
Laut der Studie, die in Solar Energy Advances veröffentlicht wurde, besagte die Herstellergarantie, dass die Module nach 20 Jahren noch bei mindestens 80 Prozent ihrer ursprünglichen Leistung hätten liegen müssen. Der jährliche Leistungsverlust durch Alterung hätte demnach bei 1,1 Prozent liegen dürfen. Er betrug laut der Messung aber im Durchschnitt nur 0,7 Prozent, bei einigen Solarmodulen sogar nur 0,4 Prozent.
Das ist umso bemerkenswerter, als dass die Photovoltaikanlage während ihres Betriebs deutlich intensiverer Bestrahlung ausgesetzt war als beispielsweise in Mitteleuropa. Die jährliche Sonnenscheindauer in Florianópolis unweit des ursprünglichen Einsatzortes ist um ein Drittel höher als in Köln. Dementsprechend mehr Betriebsstunden haben die Module hinter sich.
Weiterverwendung unwahrscheinlich
Das Forschungsteam zeigt sich zwar davon überzeugt, dass die Solaranlage problemlos noch weitere Jahre genutzt werden könnte, sieht aber viel zu starke Konkurrenz durch neue Solarmodule. Diese seien wesentlich günstiger, hätten eine deutlich höhere Leistung pro Fläche und zudem eine Herstellergarantie.
In den letzten zehn Jahren dagegen seien keine großen Leistungssprünge mehr zu beobachten gewesen, so dass die Hoffnung besteht, dass in Zukunft eine wirtschaftlich lohnende Zweitverwertung von geprüften und reparierten Solarmodulen möglich ist.
Seit der Erstbeschlagnahmung durch die US Navy im November 2019 wurde die 358 von Huthis , Hisbollah und irakischen Milizen eingesetzt und schoss nachweislich zahlreiche westliche und israelische Drohnen ab. Iran bestätigte die Existenz der Waffe erst im September 2023 und stellte Anfang 2025 den verbesserten Nachfolger 359 vor.
Die 358 ist primär eine Boden-Luft-Waffe, keine Luft-zu-Luft-Munition im klassischen Sinne. Sie wird von einfachen Schienenstartrampen am Boden abgefeuert.
Eine Rakete, die wartet
Sie besteht aus einem schlanken, raketenförmigen Flugkörper mit Canard-Konfiguration und Schmetterlingsflossen am Heck, die aerodynamisch an die russische R-27-Luft-Luft-Rakete erinnert. Das vollständige System umfasst bis zu 16 Flügel und Flossen, wobei der Bediener die Flügelkonfiguration je nach Einsatzzweck anpassen kann. Die Waffe wird in drei Teilen transportiert und im Feld montiert.
Mit einer Länge von rund 2,7 m, einem Durchmesser von 150 mm und einem Gesamtgewicht von 58 kg ist die 358 kompakt genug, um auf handelsüblichen Lkw transportiert und abgefeuert zu werden.
Der Gefechtskopf wiegt 10 kg und ist als Splitter-Sprengkopf mit einem Wirkradius von rund 30 m ausgelegt. Die Höchstgeschwindigkeit liegt bei rund 700 km/h, die Einsatzreichweite beträgt 100 km bei einer Einsatzhöhe von bis zu 8.500 m.
Die Patrouillierzeit wird je nach Quelle mit 15 bis 50 Minuten angegeben, wobei die kürzere Zahl aus unabhängiger westlicher Analyse stammt. Gestartet wird die 358 per Festbrennstoff-Booster, der nach dem Ausbrennen abgetrennt wird. Ein kleiner Turbojet übernimmt danach den Reiseflug.
Das Marschflugtriebwerk der 358 wurde vom UN-Expertenpanel für den Jemen eindeutig identifiziert: Es handelt sich um die AMT Titan, eine kommerziell erhältliche Mikro-Gasturbine der niederländischen Firma AMT Netherlands B.V. aus Geldrop bei Eindhoven.
Dieses Triebwerk wurde ursprünglich für RC-Modellflugzeuge und kleine UAV entwickelt und leistet 392 Newton Schub bei 98.000 Umdrehungen pro Minute. Es wiegt nur 3.350 Gramm und kostet rund 12.000 Euro. Es handelt sich um ein handelsübliches Produkt ? keine iranische Kopie, sondern direkt beschafftes Material.
Die Beschaffungskette wurde anhand der Seriennummern der bei den US-Navy-Beschlagnahmungen 2019 und 2020 sichergestellten Triebwerke rekonstruiert. AMT Netherlands hatte die Triebwerke an zwei Firmen in Hongkong geliefert: HSJ Electronics und Vista Automation & Communication.
Beide Unternehmen gehören derselben Person, Zhang Hongfeng. Mindestens eine der Firmen hatte einen in Iran ansässigen Mitarbeiter.
Die niederländischen Exportlizenzen untersagten ausdrücklich den Weiterverkauf oder Reexport – diese Auflage wurde ignoriert. Der Trägheitsnavigationssensor vom Typ Xsens MTi-100 stammt ebenfalls aus den Niederlanden und wurde über ähnliche Kanäle beschafft.
Die konkret nachgewiesene China- und Hongkong-Verbindung bei der 358 betrifft die Weiterleitung niederländischer Komponenten über Hongkonger Scheinfirmen, nicht die Lieferung originär chinesischer Bauteile. Das US-Finanzministerium verhängte zwischen 2023 und 2025 wiederholt Sanktionen gegen in China und Hongkong ansässige Unternehmen , die Bauteile für Irans Drohnen- und Raketenprogramme beschafft hatten – zuletzt im Februar 2025 gegen sechs Firmen in Hongkong und Shenzhen, darunter Dingtai Industrial Technology und Shenzhen Zhiyu International Trade. Diese Sanktionen betreffen jedoch das gesamte iranische UAV-Programm.
Radarloser Infrarot-Suchkopf
Das Lenksystem der 358 arbeitet vollständig ohne Radaremission – eine Eigenschaft, die sie für konventionelle SEAD-Taktiken, also die Bekämpfung feindlicher Flugabwehr, nahezu unsichtbar macht. In der Nase sitzt ein bildgebender Infrarot-Suchkopf, der Wärmesignaturen von Luftzielen autonom erfasst und verfolgt. Ergänzt wird er durch einen TV-Sensor für sichtbares Licht als Dual-Mode-Fähigkeit.
Hinter dem Nasensuchkopf befindet sich das auffälligste Merkmal der 358: ein ringförmiges Array von Sensoren um den Rumpf. Die New York Times berichtete 2020 unter Berufung auf US-Militärquellen von einem Dutzend Infrarotlinsen in einem Ring um die Rakete, die in der Lage sein sollen, die Infrarot-Gegenmaßnahmen von Koalitions-Hubschraubern zu überwinden.
Experten beschreiben 16 Laserziel-Sensoren für eine 360-Grad-Erfassung. The War Zone analysierte, dass es sich möglicherweise um zwei Reihen auf unterschiedlichen Wellenlängen handelt – eine für IR-Lenkung, eine für den Laser-Annäherungszünder.
Die 358 operiert in drei Modi: Im gelenkten Modus lokalisieren bodengestützte Wärmebildkameras oder Radare das Ziel und lenken die Rakete in den Zielbereich, wo der Infrarot-Suchkopf übernimmt. Im autonomen Modus wird die 358 in einen Luftraum mit hoher Wahrscheinlichkeit feindlicher Fluggeräte geschossen und patrouilliert in einer Acht-Formation, bis sie ein vorprogrammiertes Zielprofil erkennt. Im halbautonomen Modus kann ein Bediener über eine Telemetrieverbindung die Flugbahn in der Endphase korrigieren.
Die 358 wurde der Öffentlichkeit erstmals durch die bereits beschriebene Waffenbeschlagnahmung der US Navy bekannt . Am 25. November 2019 stoppte die USS Forrest Sherman die Dhau Al-Raheeb im Golf von Aden und beschlagnahmte zwei 358-Raketen zusammen mit Komponenten von Marschflugkörpern, Seezielflugkörperteilen und rund 13.000 Sprengkapseln.
Centcom bezeichnete die 358 als einzigartig iranisches Design – im Gegensatz zu anderen iranischen Waffen, die russische oder chinesische Vorbilder kopieren. Am 9. Februar 2020 sicherte die USS Normandy drei zusätzliche 358-Raketen von einer weiteren Dhau.
Die Huthis bezeichnen die 358 als Saqr, arabisch für Falke, und haben sie zur wichtigsten Flugabwehrwaffe ihres Arsenals entwickelt. Operative Feldtests begannen vermutlich bereits 2016 bis 2017. Im Juni 2021 wurde erstmals verifizierbar ein US-Scan-Eagle-UAV über dem Distrikt Serwah in der Provinz Marib abgeschossen. Am 14. Januar 2022 traf eine 358 eine chinesische Wing Loong II der Saudis.
Am 8. November 2023 wurde eine MQ-9 Reaper vor der jemenitischen Küste abgeschossen. Seitdem haben die Huthis nach eigenen Angaben über 20 MQ-9 Reaper abgeschossen, wobei unabhängige Quellen mindestens 14 bestätigte Verluste seit 2022 nennen. Die Huthis paradierten die Saqr-1 erstmals am 21. September 2022 in Sanaa und stellten 2023 die leicht modifizierte Variante Saqr-2 vor .
Im Libanon setzte die Hisbollah die 358 ab Oktober 2023 gegen israelische Drohnen an der Nordgrenze ein. Am 25. Oktober 2023 wurde eine 358 gegen ein israelisches UAV abgefeuert und von einem US-Patriot-System abgefangen. Am 18. November 2023 veröffentlichte die Hisbollah das Video eines Treffers auf eine Hermes 450. Im April 2024 zerstörten 358-Raketen zwei israelische Drohnen vom Typ Hermes 900 und Hermes 450 .
Das Alleinstellungsmerkmal der 358 liegt in ihrer Rolle als patrouillierende Flugabwehrwaffe. Nahezu alle anderen Loitering Munitions weltweit – Switchblade, Harop, Shahed-136, Lancet – greifen Bodenziele an. Die 358 greift nach oben an.
Der Shahed-136 wiegt mit rund 200 kg fast das Vierfache und ist für Bodenangriffe mit einer Einwegreichweite von bis zu 2.000 km ausgelegt, aber mit nur 185 km/h viel zu langsam, um Luftziele zu bekämpfen. Der US-amerikanische Switchblade 600 ist mit 22,7 kg deutlich leichter und für Panzerbekämpfung konzipiert, kann aber keine Luftziele angreifen.
Der israelische IAI Harop mit 135 kg und bis zu 1.000 km Reichweite ist auf Radarbekämpfung spezialisiert und greift ebenfalls nur Bodenziele an. Die 358 ist mit rund 700 km/h schneller als alle genannten Vergleichssysteme, weil sie bewegliche Luftziele abfangen muss. Ihre Patrouillierzeiten sind deutlich geringer als bei klassischen Loitering Munitions, und ihr Einsatz kann – im Gegensatz zu Switchblade und Harop – nicht abgebrochen und auf ein neues Ziel umgelenkt werden.
Im September 2023 besuchte der russische Verteidigungsminister Sergei Schoigu Teheran und wurde von IRGC-Luftwaffen-Kommandeur Brigadegeneral Amir-Ali Hajizadeh persönlich durch eine IRGC-Waffenausstellung geführt, bei der die 358 erstmals offiziell vom Iran vorgestellt wurde. Laut Defense Express hat der Iran die 358 Russland 2023 aktiv angeboten, Russland lehnte jedoch ab.
Der Einsatz einer 358 wurde in der Ukraine nicht dokumentiert. Im Gegensatz dazu lieferte der Iran nachweislich Tausende Shahed-136 sowie im September 2024 Fath-360-Kurzstreckenraketen an Russland.
Was kommt als Nächstes? – Der Nachfolger 359
Offizielle Kostenangaben zur 358 existieren nicht. Analytische Schätzungen reichen von unter 50.000 bis zu 120.000 US-Dollar. Die Kosten-Asymmetrie – eine 358 für vielleicht 30.000 bis 50.000 US-Dollar gegen einen MQ-9 Reaper für 32 Millionen US-Dollar – zeigt Irans Strategie billiger, aber nützlicher Waffen. Die modulare Bauweise mit kommerziellen Komponenten deutet auf relativ einfache Skalierbarkeit hin. Ob die USA mittlerweile Irans Fähigkeit, die Drohne in Massen zu bauen, dezimiert haben, ist nicht bekannt.
Die wichtigste Entwicklung seither ist die Vorstellung der 359-Rakete – eines vergrößerten Nachfolgers mit 150 km Reichweite, bis zu 1.000 km/h Geschwindigkeit, über 9.000 m Einsatzhöhe und einem wahrscheinlich iranisch produzierten Toloue-10-Turbojet. Die entscheidende Neuerung: Die 359 kann per Fallschirm geborgen und wiederverwendet werden. Sie soll AWACS, Luftbetankungsflugzeuge und höher fliegende Drohnen bekämpfen. Erstmals auf iranischem Boden wurde die 359 am 8. Januar 2025 während der Großübung Great Prophet 19 abgefeuert . Ob sie im aktuellen Krieg eingesetzt wurde, ist unbekannt.
Die 358 hat drei grundlegende Veränderungen bewirkt, die über ihren unmittelbaren taktischen Nutzen hinausgehen. Sie hat nicht-staatlichen Akteuren erstmals eine glaubwürdige Flugabwehrfähigkeit gegeben, die zuvor Staaten mit komplexer Radarinfrastruktur vorbehalten war. Sie hat die Verwundbarkeit westlicher Drohnen schlagartig offengelegt. Und sie zeigt, wie kommerzielle Off-the-Shelf-Technologie – eine niederländische Modellflug-Gasturbine, ein niederländischer Trägheitssensor, einfache IR-Sensoren – zu einer kampferprobten Waffe kombiniert werden kann, die Milliarden-Dollar-Systeme bedroht.
Defense Express argumentierte im Januar 2026, dass die Ukraine das 358-Konzept studieren solle, um russische Jet-Drohnen zu bekämpfen. Die 358 mag als Nischenwaffe begonnen haben – doch sie hat das Potenzial, eine neue Waffenkategorie zu definieren.
Bei Amazon gibt es die neueste Generation des Fire TV Omni QLED-TVs im Bestpreis-Angebot, so dass 55 Zoll unter 500 Euro kosten.
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
Amazon bietet den 55 Zoll großen Fire TV Omni QLED-TV aktuell zum Tiefstpreis an.Bild:
Erzeugt mit Dall-E; Amazon
Neben den Fire TV Sticks gibt es direkt von Amazon auch smarte Fernseher, die quasi einen Fire TV Stick direkt eingebaut haben. Schließlich setzen diese Fernseher auf das gleiche Betriebssystem. Das Top-Modell hört dabei auf die Bezeichnung Fire TV Omni. Diesen Smart-TV gibt es wahlweise mit LED-Hintergrundbeleuchtung oder als Mini-LED-TV. Rund um Ostern verkauft Amazon den aktuellen Fire TV Omni QLED mit 55 Zoll für weniger als 500 Euro. Doch das Angebot gilt nur für kurze Zeit.
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
. Dabei handelt es sich um ein befristetes Angebot, welches bis zum 9. April 2026 gültig ist. Wie ein Blick in den Amazon-Preisverlauf zeigt, gab es diesen Smart-TV in Deutschlands beliebtester Bildschirmgröße noch nie günstiger bei Amazon. Laut PCGH-Preisvergleich stellt dieser Preis zugleich auch den Tiefstpreis dar; es gab den Fernseher noch nie günstiger.
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
Was hat der Fire TV Omni QLED-TV zu bieten?
Im Gegensatz zum Mini-LED-TV F700 bietet der QLED-TV F602D nur eine Bildschirmwiederholrate von 60 Hz statt 144 Hz. Falls auf dem smarten Fernseher jedoch keine Spiele gespielt werden, genügt auch 60 Hz für Filme und Fernsehsendungen. Für eine möglichst gute Farbdarstellung setzt der Fire TV Omni QLED auf die Quantum-Dots-Technologie. Dabei sind Quantum Dots (Quantenpunkte) winzige Nanokristalle, nur wenige Nanometer groß, die in Rot oder Grün leuchten, wenn sie mit Licht bestrahlt werden. Die blaue Farbe wird mittels LED-Hintergrundbeleuchtung realisiert. Durch die Nanokristall-Folie wird der LCD-Bildschirm mit natürlicheren Farben aufgewertet.
Mit Full-Array-Local-Dimming und Dolby Vision
Die 55 Zoll große Variante des Fire TV Omni QLED kommt mit Full-Array-Local-Dimming daher, also einem LED-Backlight, das über die gesamte Breite des Bildschirms verteilt ist, statt nur an den Bildschirmrändern verbaut zu sein. Durch mehr Dimmingzonen kann der Prozessor die LED-Hintergrundbeleuchtung graduell steuern, so dass ein besseres Kontrastverhältnis sichtbar wird. Zudem werden so auch der erweiterte Farbraum HDR10 sowie Dolby Vision möglich.
Mit Fire TV
Wie es der Name bereits andeutet, setzt der Fire TV Omni QLED F602D auf das Betriebssystem Fire OS, wobei hier (noch) die auf Android-basierende Version installiert ist.
Als Anschlüsse stehen 3x HDMI 2.0 und 1x HDMI 2.1 inklusive eARC parat. Zudem gibt es einen digitalen, optischen Audioanschluss und 1x USB 3.0.
Mögliche Alternative
Noch günstiger als der Amazon Fire TV Omni QLED F602D ist der TCL 55T6C des chinesischen Herstellers TCL. Die Baureihe T6C setzt ebenfalls auf Fire OS als Betriebssystem und kommt laut eigenen Angaben ebenfalls mit Quantum Dots daher. Diese sind aber offenbar nicht verbaut, zumindest legt dies eine Klage von Samsung nahe, die sich auf bestimmte TCL-Modelle bezieht.
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
kostet bei Amazon im aktuellen Angebot nur 339 Euro. Doch dieses Angebot gilt nur noch bis zum Ostersonntag, den 5. April 2026. Laut dem Preistracker Keepa gab es diesen smarten Fernseher in diesem Kalenderjahr noch nie günstiger bei Amazon. Selbst der historische Amazon-Tiefstpreis ist bis auf einen Euro Unterschied erreicht.
Preis, Daten und Fakten zum Amazon Fire TV Omni QLED-TV F602D
Mit dem F602D bietet Amazon einen Fire TV Omni QLED-Fernseher an, der quasi einen Fire TV Stick integriert hat.
Dank FALD-Backlight und Quantum Dots soll die Farbdarstellung besser als bei einem herkömmlichen LED-TV sein.
Forscher entdecken: Fröhliche Songs senken Reiseübelkeit um 57 Prozent. Doch eine Musikrichtung macht alles noch schlimmer.
Endlich in den lang ersehnten Urlaub [1]starten – und dann das: Kaum schaukelt das Schiff auf den Wellen oder schlängelt sich das Auto durch die Serpentinen, meldet sich die Reisekrankheit. Übelkeit, Erbrechen, Schwindel und Kopfschmerzen können die schönste Reise vermiesen. Doch es gibt eine einfache Lösung – Musik gegen Reisekrankheit.
Was ist Reisekrankheit (Kinetose) und welche Symptome gibt es?
Rund ein Drittel aller Menschen ist besonders anfällig für die Beschwerden, die Mediziner als Kinetose bezeichnen. Reisekrankheit entsteht, wenn widersprüchliche Sinneseindrücke das Gleichgewichtsorgan im Innenohr überfordern.
Besonders bei längeren Autofahrten, Flügen oder Bootsreisen kommt es häufig zu Reiseübelkeit.
Typische Reisekrankheitssymptome sind Übelkeit, Erbrechen, Schwindel beim Autofahren, Blässe und Kopfschmerzen. Auch Kreislaufprobleme können auftreten. Frauen sind häufiger betroffen, vermutlich aufgrund hormoneller Einflüsse. Selbst Tiere leiden darunter: Hunde hecheln oft, wenn sie Auto fahren müssen. Obwohl die Beschwerden meist harmlos sind, stellen sie für die Betroffenen eine erhebliche Belastung dar.
Gleichgewichtsorgan gerät durcheinander
Reisekrankheit entsteht, wenn widersprüchliche Sinneseindrücke das Gleichgewichtsorgan im Innenohr überfordern.
Ob bei einer holprigen Busfahrt, einem Flug durch Turbulenzen oder einem 3D-Kinobesuch [2]: Wenn die Augen eine Bewegung wahrnehmen, die der Körper nicht spürt, kommt es zum Konflikt. Die Folge sind die typischen Symptome wie Übelkeit, Erbrechen, Blässe und Schwindel. Auch Kopfschmerzen und Kreislaufprobleme können auftreten.
Besonders häufig trifft es Frauen, was vermutlich mit hormonellen Einflüssen zusammenhängt. Selbst Tiere bleiben nicht verschont: Hunde hecheln oft, wenn sie Auto fahren müssen. Zwar ist die Reisekrankheit in der Regel harmlos, doch für die Betroffenen ist sie eine echte Belastung.
Forscher testen Musik im Fahrsimulator
Umso erfreulicher ist es, dass Wissenschaftler der Southwest University in China nun eine vielversprechende Behandlungsmöglichkeit gefunden haben: Musik. In ihrer Studie [3] brachten sie Probanden mithilfe eines Fahrsimulators gezielt in einen Zustand der Reisekrankheit. Anschließend bekamen verschiedene Gruppen unterschiedliche Musikstile zu hören.
Das erstaunliche Ergebnis [4]: Fröhliche Melodien linderten das Unwohlsein am effektivsten. Die Beschwerden gingen um ganze 57 Prozent zurück. Fast genauso gut wirkte sanfte Musik mit einer Verbesserung von rund 56 Prozent. Auch leidenschaftliche Klänge zeigten einen moderaten Effekt und reduzierten die Symptome um circa 48 Prozent.
Überraschenderweise erwies sich traurige Musik sogar als kontraproduktiv: Die schwermütigen Töne halfen weniger als gar keine Beschallung. Eine mögliche Erklärung: Fröhliche Musik lenkt von den Beschwerden ab und aktiviert das Belohnungssystem im Gehirn.
Sanfte Klänge wirken entspannend und bauen Stress [5] ab, der die Symptome verstärken kann. Traurige Lieder scheinen dagegen negative Gefühle zu triggern und das Unwohlsein noch zu fördern.
Gehirnaktivität verändert sich
Mithilfe von EEG-Messungen [6] stellten die Forscher zudem fest, dass sich die Gehirnaktivität [7] im Hinterhauptslappen verändert, wenn Patienten unter Reisekrankheit leiden. Parallel zur Linderung der Symptome normalisierte sich auch die Hirnaktivität wieder.
Musik hat somit einige Vorteile gegenüber Medikamenten: Sie ist kostengünstig, nebenwirkungsfrei und lässt sich ganz individuell anpassen. Zwar basiert die aktuelle Studie auf einer recht kleinen Probandenzahl und fand im Simulator statt. Doch die chinesischen Wissenschaftler planen bereits weitere Untersuchungen unter realen Bedingungen.
Fröhliche Klänge für den Urlaub
Wer nicht auf die nächsten Forschungsergebnisse warten will, kann die Erkenntnisse schon jetzt für sich nutzen. Die Experten raten Reisenden, die unter Seekrankheit oder anderen Formen der Kinetose leiden, unterwegs fröhliche oder sanfte Musik zu hören. So lassen sich die Beschwerden auf einfache Weise selbst lindern.
Dank Kopfhörern und Smartphone [8] ist die musikalische Behandlung in Bus, Bahn, Flugzeug und auf dem Schiff jederzeit möglich. Mit den richtigen Klängen im Ohr steht dem erholsamen Urlaub nichts mehr im Weg. Die ungeliebte Reisekrankheit könnte damit endlich der Vergangenheit angehören.
Der Artikel erschien auf Telepolis erstmals am 4. September 2025.
URL dieses Artikels: https://www.heise.de/-10631900
Links in diesem Artikel: [1] https://www.heise.de/tp/article/Leisure-Sickness-Das-unterschaetzte-Phaenomen-der-Urlaubskrankheit-10488579.html [2] https://www.netdoktor.de/krankheiten/reisekrankheit/ [3] https://www.frontiersin.org/journals/human-neuroscience/articles/10.3389/fnhum.2025.1636109/full [4] https://www.eurekalert.org/news-releases/1095350 [5] https://www.heise.de/tp/article/Selbstgemachter-Druck-Warum-immer-mehr-Deutsche-unter-Stress-im-Job-leiden-9864694.html [6] https://www.heise.de/tp/article/Hirn-Test-koennte-sexuelle-Nebenwirkungen-von-Antidepressiva-vorhersagen-10759555.html [7] https://www.heise.de/tp/article/Gedankenlesen-ist-keine-Science-Fiction-mehr-10596905.html [8] https://www.heise.de/tp/article/Zwei-Stunden-taeglich-Japans-Antwort-auf-die-Handy-Sucht-11080269.html
Indem die USA das Nadelöhr in ihrer eigenen Hemisphäre unter Kontrolle bringen, schwächen sie die Argumente für freie Seefahrt in der Straße von Hormus.
Seit 46 Jahren stilisieren sich die Vereinigten Staaten zum ultimativen Garanten der maritimen Freiheit, und nirgendwo wurde diese Haltung strikter durchgesetzt als im Persischen Golf [1]. Heute, da die Straße von Hormus für dollarisierte Handelsströme [2] geschlossen ist, bekräftigt das Außenministerium weiterhin die orthodoxe Forderung [3], dass Iran die Meerenge offen und mautfrei hält:
"Die Iraner drohen damit, in der Straße von Hormus ein dauerhaftes System einzurichten, bei dem sie entscheiden, wer internationale Wasserwege passieren darf", sagte Außenminister Marco Rubio. "Das werden wir niemals zulassen."
Diese Erwartung wurde historisch durch das moralische Gewicht des Völkerrechts gestützt. Doch unter Präsident Donald Trump hat sich dieser Boden unter unseren Füßen verschoben.
"Das werden wir niemals zulassen."
Die regelbasierte internationale Ordnung [4], ein System, das die USA nach dem Zweiten Weltkrieg maßgeblich aufgebaut und verteidigt haben, beruhte auf der Überzeugung, dass globale maritime und handelsbezogene Normen grundlegend sind und gleichermaßen für Schwache wie für Starke gelten.
Im Nahen Osten führten die Erinnerungen an die Suezkrise [5], kombiniert mit der Bedrohung durch sowjetischen Einfluss im Persischen Golf, zur Schaffung der Carter-Doktrin [6], um diesen Rahmen aufrechtzuerhalten.
Die Tankerkriege [7] der 1980er Jahre stellten diese Doktrin auf die Probe, doch die USA und der Irak gingen als Sieger hervor, und nach einigen Jahren internationaler Auseinandersetzungen wurde 1994 schließlich das UN-"Seerechtsübereinkommen [8]" eingeführt. Die USA sind dem zugrunde liegenden Abkommen zwar nie beigetreten, doch frühere Regierungen haben es als Teil des Völkergewohnheitsrechts anerkannt.
Die USA sind dem Seerechtsübereinkommen nie beigetreten
Unter Trump jedoch werden bestehende internationale Vereinbarungen beiseitegeschoben [10], sobald sie seine politischen Impulse einschränken. Wenn die USA der Welt signalisieren, dass ihre Nullsummen-Wirtschaftsinteressen über dem Völkerrecht stehen, nehmen Länder wie Iran dies zur Kenntnis [11].
Sie wissen, dass die USA die Rhetorik des Völkerrechts im Persischen Golf nicht glaubwürdig instrumentalisieren können, während sie es zugleich in der westlichen Hemisphäre untergraben [12].
In jüngsten Anhörungen im Kongress bestätigte ein Vertreter des Verteidigungsministeriums offen, dass die USA mit panamaischen Behörden koordiniert [13] haben, um chinesische Unternehmen vom Panamakanal fernzuhalten, und damit "einen großen Sieg für den ungehinderten US-Handel und einen strategischen Erfolg für die Vereinigten Staaten" erzielt hätten.
Sündenfall Panama
Aus Sorge über die strategischen Auswirkungen von Pekings kommerzieller Präsenz in Amerika wandte sich Washington nicht an internationale Gerichte. Stattdessen berief es sich auf die Donroe-Doktrin [14], reklamierte ein einseitiges Recht, ausländischen Einfluss zurückzudrängen und die Kontrolle über eine globale maritime Engstelle zu übernehmen – allein weil sie im "Hinterhof" Amerikas liegt.
Man könnte argumentieren, dass die Logik des Pentagons aus defensiver Sicht [15] nachvollziehbar ist. Doch die diplomatische Heuchelei ist eklatant. Amerika unter Trump hat faktisch Eigentumsansprüche und exklusive Kontrolle über regionale Schifffahrtsinfrastruktur geltend gemacht, um einen geopolitischen Rivalen auszuschließen – unter rechtlichen Vorwänden [16], die, milde gesagt, äußerst dünn sind.
Dünne rechtliche Vorwände
Wenn Washington es für gerechtfertigt hält, chinesisch betriebene Häfen in Balboa und Colón [17] zu "säubern", um seine eigene Hemisphäre zu sichern – nach welchem kohärenten rechtlichen oder moralischen Maßstab kann es dann von Teheran verlangen, den Persischen Golf als internationales Gemeingut zu behandeln?
Die Folgen dieser Heuchelei werden sich nicht auf den Nahen Osten beschränken [18]. Indem Washington den Präzedenzfall schafft, dass globale Engstellen als regionale Vermögenswerte verwaltet werden können, liefert es Peking eine Blaupause für den Indopazifik.
Man betrachte die Straße von Malakka, die enge Wasserstraße, durch die etwa ein Drittel des weltweiten Schiffsverkehrs und der Großteil von Chinas Energieimporten [19] fließen. Seit Jahren weisen die USA Chinas territoriale Ansprüche im Südchinesischen Meer entschieden zurück [20] und bestehen darauf, dass das Völkerrecht die Freiheit der Navigation durch diese lebenswichtigen asiatischen Handelsrouten garantiert.
Blaupause für Peking
Doch wenn die regelbasierte Ordnung durch ein System ersetzt wird, in dem die jeweils nächstgelegene Regionalmacht die Bedingungen des maritimen Zugangs diktiert, hat China allen Anreiz [21], den Panama-Präzedenzfall auf seinen eigenen „Hinterhof“ anzuwenden.
Die 1980 verkündete Carter-Doktrin [24] erklärte, dass die USA militärische Gewalt einsetzen würden, um ihre nationalen Interessen im Persischen Golf zu verteidigen, und als Garant für den freien Ölfluss in die Weltwirtschaft auftreten. Dies ermöglichte es Ländern wie Kuwait, den Vereinigten Arabischen Emiraten und Katar, zu bedeutenden Akteuren aufzusteigen [25], und verschaffte Ländern wie China die günstigen Energieimporte, die sie zur Industrialisierung [26] benötigten.
Die Carter-Doktrin ist gescheitert
Doch diese Ära ist nun vorbei, und ihr Ende scheint erstaunlicherweise das Ergebnis amerikanischen Handelns zu sein.
Letztlich scheiterte sie, weil Trump es vorzog, ein Nullsummenspiel des Territorialismus zu betreiben, statt internationale Führung über das UN-System auszuüben.
Amerika muss sich der multipolaren Realität stellen
Amerika muss sich der von ihm selbst geschaffenen multipolaren Realität [31] stellen. Da Trump eine neue globale Norm etabliert hat, in der globale Engstellen wie der Panamakanal als Außenposten behandelt werden, die überwacht und "gesäubert" werden und Zöll entrichten, muss sich die internationale Gemeinschaft [32] darauf einstellen, dass Iran dieselbe Logik [33] auf die Straße von Hormus anwendet.
Die USA haben ihren Weg in Panama und Iran gewählt – und nun muss der Rest der Welt mit den Konsequenzen im Persischen Golf leben.
Logan McMillen schreibt außenpolitische Analysen aus der Perspektive der kritischen politischen Ökonomie und Geographie, mit Schwerpunkt Lateinamerika. Seine Arbeiten erschienen unter anderem bei Foreign Policy in Focus und dem North American Congress on Latin America.
Die Metalle stecken in Motoren, Magneten und Displays – doch die Trennung ist teurer als der Abbau. Könnte Recycling helfen?
Kürzlich hat Mr. Trump seinen fettesten Flugzeugträger nach Venezuela geschickt, um – offiziell – Drogenexporte in die USA zu unterbinden. Womöglich gibt es noch andere Gründe, denn ungefähr zeitgleich verhängte China eine Exportbeschränkung für Seltene Erden (die aber inzwischen wieder ausgesetzt ist).
Offiziell gibt es keine nennenswerten Vorkommen Seltener Erden in Venezuela, aber ein paar andere für Technologie wichtige Elemente wie Tantal. Und hörte man nicht kürzlich von einer deutschen Firma, die ihre Fertigung drosseln musste, weil die chinesischen Beschränkungen völlig überraschend auch Europa betrafen?
Höchste Zeit, einen genaueren Blick auf die geheimnisvollen Metalle zu werfen, die teils dermaßen kryptische Namen tragen, dass sie lieber nur unter dem Sammelbegriff "Seltene Erden" (engl.: Rare Earth Elements, REE) verhandelt werden.
Blick ins Periodensystem
Das Koordinatensystem der Chemie ist das Periodensystem der Elemente [1]: Es verzeichnet alle chemischen Elemente, sortiert nach Eigenschaften wie Kernladungszahl (oder Ordnungszahl) und chemischen Eigenschaften. Die Seltenen Erden stehen in der 3. Nebengruppe und in der Reihe der Lanthanoiden. Insgesamt handelt es sich um 17 Elemente mit Namen wie Scandium (Ordnungszahl 21), Yttrium (39), Cer (58) oder Neodym (60).
Eines sind diese Elemente aber nicht (bis auf den radioaktiv zerfallenden Vertreter Prometium (61)): selten.
Tatsächlich kommen Metalle wie Cer oder Neodym weltweit häufiger vor als Kupfer, Gold oder Platin. Aber sie befinden sich nicht in vergleichbaren Lagerstätten, wo man sie mehr oder weniger leicht einsammeln kann, sondern sie sind in bestimmten Mineralien und Gesteinen nur in kleinen Mengen vorhanden, dafür aber sehr gleichmäßig verteilt.
Diese gleichmäßige Verteilung hängt damit zusammen, dass die meisten Seltenen Erden sehr ähnliche chemische Eigenschaften haben. Die äußeren Schalen ihrer Elektronenhüllen sind nämlich gleich besetzt, nur die innere 4f-Schale zeigt Unterschiede.
Anders ausgedrückt: Das Zeug ist überall, aber meist so wenig, dass es sich nicht lohnt, es aus dem Boden zu holen. Denn es ist technisch überaus aufwändig, die kaum zu unterscheidenden Metalle voneinander zu trennen. Das Rohmaterial muss mit Säure aufgeschlossen und bei hohen Temperaturen eingeschmolzen werden und durch Lösungsmittel getrennt werden.
Das kostet alles Unmengen Energie und erzeugt giftigen Schlamm, womöglich schlimmer als bei der Gewinnung von Lithium, die ja gerne als fadenscheiniges Argument gegen Elektromobilität herhalten muss. Seltene Erden stecken aber nicht nur in Elektroautos, sonden in allen möglichen technischen Geräten.
Scandium(-iodid) findet sich beispielsweise in Hochleistungs-Quecksilberdampflampen, weil das erzeugte Farbspektrum dem des Sonnenlichts ähnelt.
Yttrium, das seinen Namen von der Grube Ytterby in Schweden hat, in der es im 18. Jahrhundert zuerst entdeckt wurde, kommt als chemische Verbindung in Bildröhren und Leuchtstofflampen vor. Das radioaktive Isotop 90Y kommt in der Nuklearmedzin gegen bestimmte Karzinomarten zum Einsatz.
Lanthan erhöht den Brechungsindex von Glas und findet sich daher in Linsen von Kameras oder Brillen.
Aus Neodym, Eisen und Bor lassen sich sehr starke Permanentmagnete herstellen. Anders ausgedrückt: Bei gleicher Stärke kann ein Neodym-Magnet viel kleiner sein als einer aus Eisen. Deshalb steckt Neodym in Mikromotoren und damit in Festplatten, aber auch in größeren Elektromotoren (womit wir wieder bei E-Autos [2] wären) oder in Generatoren in Windkraftanlagen. Die Bedeutung für die Energiewende ist deshalb vor allem bei Neodym groß.
Auch Praseodym findet hauptsächlich in Magneten Anwendung. Starke Magnete werden nicht zuletzt in Mini-Kopfhörern und In-Ears gebraucht.
Europiumverbindungen wurden früher für die roten blauen Pixel von Röhrenbildschirmen benutzt, heute ist der Stoff nur noch in Plasmabildschirmen relevant.
Promethium, das seltenste Metall der Seltenen Erden, ist radioaktiv und erzeugt in Radionuklidbatterien Strom in Satelliten. Es lässt sich künstlich herstellen als Zerfallsprodukt anderer radioaktiver Stoffe, spielt aber im Vergleich keine große Rolle.
Größere Vorkommen
Die rentabelsten Lagerstätten mit Seltenen Erden befinden sich in der inneren Mongolei [3], die zu China gehört. "Rentabel" heißt übersetzt: Billige, leicht verfügbare Arbeitskräfte und laxe Umweltschutzbestimmungen. Die Idee, die Abfälle einfach am Stadtrand zwischen ein paar Feldern in einen großen Schlammteich zu kippen, würde hierzulande jedenfalls wenig Freunde finden.
Zwar gibt es auch in Deutschland eine kleine Lagerstätte (in Sachsen), bloß wäre die Förderung unter hiesigen Umständen nicht rentabel.
Weitere Lagerstätten gibt es in Myanmar (Dysprosium, Terbium) und in Australien. Auch in Grönland [4] gibt es große Vorkommen, womit wir wieder bei geopolitischen Ansagen eines gewissen Mr. Trump wären. Die nächstgrößte Lagerstätte gibt es in Schweden.
Um auf Venezuela zurückzukommen: Offizielle Angaben zu Lagerstätten gibt es nicht, bekannt ist aber, dass danach gesucht wurde. Reiche Vorkommen gibt es vom Mineral Coltan, aus dem Tantal gewonnen wird, das für Kondensatoren und damit ebenfalls für die Mikroelektronik [5] wichtig ist. Die wirtschaftliche Bedeutung von Tantal ähnelt also jener der Seltenen Erden, auch wenn es nicht dazu zählt.
China als Vorreiter [6] förderte vor zehn Jahren noch quasi alleine Seltene Erden, inzwischen aber nur noch etwa die Hälfte der Weltproduktion, da viele der genannten anderen Länder ebenfalls aktiv geworden sind.
Noch unerschlossene Lagerstätten gibt es im Pazifik, in Vietnam – und eine exorbitant große in Nordkorea. Diese allerdings hat seit einer einzigen Erwähnung im Jahr 2013 keine Schlagzeilen mehr gemacht.
Auf Satellitenbildern sieht man nur ein paar Schutthaufen, und im Netz finden sich keine vertrauenswürdigen Hinweise auf eine Firma namens "SRE Minerals Limited", die seinerzeit behauptete, an der Förderung beteiligt zu sein. Vermutlich hält auch Mr. Trump diese Meldung für eine Ente, sonst hätte er seinen Flugzeugträger womöglich nach Pjönjang geschickt.
Normalerweise sind Seltene Erden relativ leicht verfügbar. Einen Stapel extra starker Neodym-Magnete bekommen Sie für ein paar Euro im nächstbesten Online-Shop. Das Problem ist eher eines der Lieferketten: Wenn eine Firma all ihre Rohstoffe vom einem einzigen Lieferanten (sagen wir in China) bezieht und dieser von einem Tag auf den anderen aus politischen Gründen nicht mehr zur Verfügung steht, braucht es einen Plan B.
Wenn der fehlt, kann es eben zu Engpässen kommen. Einen ganz ähnlichen Fall kennen wir alle übrigens vom Beginn des russischen Angriffskrieges, als plötzlich russisches Gas und ukrainisches Getreide ausblieben. Einseitige Abhängigkeiten sind nicht krisensicher.
Alternativlos?
Die vielen Anwendungsfälle zeigen, dass Seltene Erden ganz schön wichtig sind. Verzichten kann man auf sie nicht. Einige Gramm lassen sich sicher einsparen, indem man sich nicht alle zwei oder drei Jahre ein neues Handy oder In-Ears kauft.
Aus Altgeräten [7] lassen sich manche Stoffe durch Recycling wieder hervorholen – wenn auch unter ähnlich hohem Energieaufwand wie beim Abbau in der Natur.
Im Gegensatz zu natürlichen Ressourcen verfügt Europa über Altgeräte im Überfluss. Logisch, dass die EU im Rahmen des kürzlich angekündigten Plans RESourceEU [8] auch diese Option in Betracht zieht.
Tatsächlich wird bereits in Deutschland Neodym aus alten Magneten gewonnen – das Problem ist nur, dass das recycelte Neodym wegen der teuren Prozedur nicht konkurrenzfähig ist. Also bestellt die Industrie natürlich weiter in China.
Methoden der Bio-Metallurgie, die auf Mikroorganismen setzt und umweltschonender sein dürften, sind noch Forschungsgegenstand und weit entfernt von industriellem Einsatz. Bioreaktoren, in die man alte Handys wirft und die handliche Blöcke Seltener Erden auswerfen, sind also noch Science Fiction.
Dieser Artikel erschien erstmals am 7. November 2025 auf Telepolis.
URL dieses Artikels: https://www.heise.de/-11069046
Links in diesem Artikel: [1] https://de.wikipedia.org/wiki/Periodensystem [2] https://www.heise.de/tp/article/Batterien-aus-Europa-500-Euro-Aufpreis-als-Preis-der-Unabhaengigkeit-11197269.html [3] https://www.google.com/maps/place/40%C2%B037'32.9%22N+109%C2%B040'10.1%22E/@40.6392149,109.6741149,5931m/data=!3m1!1e3!4m5!3m4!1s0x0:0x975c59ed390d391!8m2!3d40.6258056!4d109.6694722 [4] https://www.heise.de/tp/article/Mit-Seltenen-Erden-in-die-groenlaendische-Unabhaengigkeit-3394687.html [5] https://www.heise.de/tp/article/Chip-Produktion-in-Gefahr-USA-ohne-Plan-B-fuer-seltene-Mineralien-10223316.html [6] https://www.heise.de/tp/article/China-Auf-dem-Weg-zur-technologischen-Grossmacht-9545339.html [7] https://www.heise.de/tp/article/Schaetze-im-Schrott-Neue-Verfahren-machen-Goldrecycling-lukrativ-11152780.html [8] https://germany.representation.ec.europa.eu/news/eu-kommissionsprasidentin-von-der-leyen-europa-unabhangiger-machen-zugang-zu-kritischen-rohstoffen-2025-10-27_de
McCartney-Auftritt im Apple Park: Mitarbeiter erfreut.
(Bild: Apple)
Am 1. April wurde Apple ein halbes Jahrhundert alt. Der Konzern feierte intern und extern auf unterschiedliche Art.
Apple hat am Mittwoch den Abschluss seines 50. Firmenjubiläums [1] gefeiert. Dazu gab es ein großes Konzert samt Feuerwerk im Apple Park in Cupertino [2], zu dem der iPhone-Hersteller den Ex-Beatle Paul McCartney samt Band eingeladen hatte. Die „Special Performance“ richtete sich vor allem an die Mitarbeiter des Konzerns, wobei auch einige Pressevertreter vor Ort gewesen sein sollen. Das Event fand unter dem Regenbogen in der Mitte des Apple-„Ufos“ statt. McCartney teilte mit, langjähriger Apple-Nutzer zu sein, so habe er Songfragmente für sein letztes Solo-Album mit der Sprachmemos-App aufgezeichnet.
NASDAQ-Glocke geläutet
Am 1. April hatte Apple-Chef Tim Cook zuvor vor ausgewählten Mitarbeitern in Cupertino zu früher kalifornischer Stunde die virtuelle NASDAQ-Eröffnungsglocke läuten [3] dürfen. Auf dem Apple-Gelände gab es zudem eine Ausstellung des Konzerns [4] mit Produkten und Prototypen aus dem vergangenen halben Jahrhundert, die CEO Tim Cook später einem Wall-Street-Journal-Reporter präsentierte [5]. Darunter war auch die Apple Watch, die Cook zur Vorstellung trug, frühe iPhone- und iPad-Prototypen und Apples erster Patentantrag für den Apple II. Er habe die Ausstellungsstücke teils selbst nicht gekannt, sagte der Manager. Das Wall Street Journal übergab ihm im Gegenzug die erste Erwähnung Apples aus dem Archiv der Zeitung von 1978 sowie einen Artikel, in dem Cooks Eintritt bei Apple als Operations-Chef im Jahr 1998 beschrieben wurde. Er war damals von Compaq gekommen.
Den Feierlichkeiten in Cupertino waren mehrere Events auf der ganzen Welt vorausgegangen, bei denen Apple in oder vor seinen Ladengeschäften kostenlose Konzerte mit bekannten Künstlern abhielt. Das wohl spektakulärste fand mit Alicia Keys im Grand Central Terminal [6] in New York statt, wo der iPhone-Produzent einen Store in der Haupthalle betreibt. Außerdem gab es Interviews mit Künstlern und Kreativen, vor dem Store in Shanghai eine Modenschau und in Australien und Indien Kunstinstallationen, die der Konzern bestellt hatte. Cook selbst veröffentlichte auf YouTube eine Rückschau von 2026 bis 1976 mit zahlreichen ausgewählten Produkten [7]. Das Video läuft rückwärts zur Musik aus der „Think different“-Kampagne [8]. Auf Apple.com [9] ist ebenfalls eine Rückschau zu sehen.
Apple mag nicht zurückschauen
Mitarbeiter bekamen T-Shirts, Anstecker und ein Poster [10] im klassischen Regenbogen-Design. Apple-Chef Tim Cook hatte zuvor in einem Interview [11] gesagt, Apple habe zuerst „einen neuen Muskel“ für die Erinnerung und Archivarbeit trainieren müssen. Dem Konzern liege es fern, nach hinten zu blicken, es gehe immer nur um das nächste Produkt.
Neben dem 50. Geburtstag von Apple selbst wurde in diesem Jahr auch das 25. Jubiläum der Veröffentlichung von Mac OS X [12] gefeiert. Apple selbst beteiligte sich daran aber nicht. Mit dem Unix-basierten Betriebssystem legte Apple den Grundstein für die Entwicklung aller zentralen Produkte vom Mac über das iPhone bis zur Apple Watch.
URL dieses Artikels: https://www.heise.de/-11243820
Amazon treibt den Ausbau seines Satellitengeschäfts voran.
(Bild: bluestork / Shutterstock.com)
Amazon erwägt laut Bericht den Kauf des Satellitenbetreibers Globalstar, um seine Satellitenpläne zu beschleunigen.
Amazon könnte seine Position im Satellitenmarkt durch einen milliardenschweren Zukauf ausbauen. Laut der Financial Times laufen derzeit Gespräche über eine Übernahme von Globalstar. Nach längeren Verhandlungen wird demnach weiterhin über komplexe Aspekte eines möglichen Deals gerungen. Ein Abschluss sei noch nicht erzielt worden, und die Gespräche könnten sich noch entwickeln oder scheitern, berichtet die Wirtschaftszeitung [1] unter Berufung auf mit der Angelegenheit vertraute Personen.
Ein Hindernis in den Gesprächen ist laut den Quellen Apples 20-prozentige Beteiligung an Globalstar [2], da sie zusätzliche Verhandlungen zwischen Amazon und Apple erforderlich macht. Ende 2024 investierte Apple insgesamt 1,5 Milliarden US-Dollar in das Unternehmen. Der Großteil der Summe floss als Vorauszahlung in den Ausbau einer neuen Satelliteninfrastruktur. Gleichzeitig hat sich Apple Zugriff auf etwa 85 Prozent der Netzkapazität gesichert, die vor allem für satellitengestützte iPhone-Funktionen [3] genutzt wird.
Schon im Oktober berichtete Bloomberg [4], dass Globalstar einen Verkauf prüft und erste Gespräche mit möglichen Interessenten geführt hat, darunter auch SpaceX. Die anhaltenden Spekulationen spiegeln sich in der Kursentwicklung wider: Die Aktie des Unternehmens hat in den vergangenen Monaten stetig zugelegt und erreichte am Mittwoch eine Marktkapitalisierung von knapp 9 Milliarden US-Dollar.
Globalstar: Kleiner Anbieter im wachsenden Markt
Globalstar ist ein US-Satellitenkommunikationsanbieter mit einem eigenen Netz aus Satelliten in niedriger Erdumlaufbahn. Das Unternehmen bietet Telefonie- und Datendienste an und bedient Privatkunden ebenso wie Unternehmen und staatliche Stellen. Mit rund 50 Satelliten zählt Globalstar im Vergleich zu Starlink zu den kleineren Anbietern. 2025 erzielte das Unternehmen einen Umsatz von 273 Millionen US-Dollar.
Der Markt für Satelliteninternet wächst, weil Unternehmen und Staaten ihre Konnektivität unabhängiger und robuster aufstellen wollen. LEO-Satelliten (Low Earth Orbit) gelten dabei als wichtige Technologie, da sie geringere Latenzen als klassische geostationäre Systeme ermöglichen. Starlink hat das Interesse an solchen Netzen zusätzlich befeuert und gezeigt, dass sie sich in großem Maßstab skalieren lassen. Der Marktführer verfügt inzwischen über rund 10.000 Satelliten im Orbit und zählt laut eigenen Angaben weltweit rund 10 Millionen aktive Kunden. Laut Reuters [5] entfallen inzwischen 50 bis 80 Prozent der SpaceX-Erlöse auf Starlink.
Amazon baut parallel ein eigenes Satellitennetz unter dem Namen Leo [6] (ehemals „Project Kuiper“) auf. Bislang sind etwas mehr als 180 Satelliten im Orbit und bis Mitte des Jahres will Amazon die Zahl auf etwa 700 erhöhen. Langfristig ist eine deutlich größere Konstellation von rund 3.200 Satelliten geplant.
URL dieses Artikels: https://www.heise.de/-11244697
Links in diesem Artikel: [1] https://www.ft.com/content/abace066-fe93-4ff0-8378-d3c3eb49519c?syn-25a6b1a6=1 [2] https://www.heise.de/news/Satelliten-fuer-iPhones-Globalstar-gibt-Startschuss-fuer-den-Bau-neuer-Generation-10277044.html [3] https://www.heise.de/news/Bericht-Neue-Satellitenfunktionen-fuer-das-iPhone-in-Planung-11071650.html [4] https://www.bloomberg.com/news/articles/2025-10-30/globalstar-draws-spacex-interest-in-sale-process [5] https://www.reuters.com/business/aerospace-defense/spacexs-business-finances-rockets-satellite-communications-budding-ai-2026-04-01/ [6] https://www.heise.de/news/Amazon-will-Satellitenproduktion-und-Startkadenz-fuer-Leo-steigern-11223074.html [7] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner [8] mailto:tobe@heise.de
Aus Sorge vor gezielter digitaler Spionage hat die EU-Kommission ihre ranghöchsten Beamten angewiesen, eine zentrale Signal-Gruppe umgehend aufzulösen.
Die EU-Kommission geht härter gegen digitale Spionage vor. Sie hat ihre ranghöchsten Beamten angewiesen, eine zentrale Signal-Gruppe zur internen Kommunikation umgehend aufzulösen. Betroffen von dieser Maßnahme sind laut Politico vor allem Abteilungsleiter und deren Stellvertreter. Hintergrund der Anordnung ist die Furcht, dass die Chatgruppe zum Ziel gezielter Cyberangriffe geworden sein könnte.
Offiziell kommentiert die Brüsseler Regierungsinstitution interne Sicherheitsvorgaben nicht. Der Schritt verdeutlicht aber die wachsende Nervosität in Brüssel angesichts einer Reihe von Cyberattacken, die die EU-Institutionen in jüngster Zeit erschüttert haben.
Sven Herpig von der Denkfabrik Interface warnt, dass die Qualität staatlich gesteuerter Cyberoperationen stetig zunimmt. Signal gilt zwar nach wie vor als eine der sichersten Optionen. Doch die Sicherheit endet, wenn das Endgerät selbst kompromittiert wird. Erlangt ein Angreifer Kontrolle über das Smartphone, nützt die beste Ende-zu-Ende-Verschlüsselung wenig: Chats und Bilder können dann direkt auf dem Gerät ausgelesen werden. Herpig betont aber, dass es derzeit kaum bessere Alternativen zu verschlüsselten Messengern wie Signal oder Threema gebe.
Kommerzielle Messenger sind eigentlich für den Privatgebrauch konzipiert. Matthew Hodgson vom Messenger-Dienst Element moniert, dass grundlegende Funktionen für Behörden fehlten. So gebe es keine zentrale Benutzerverwaltung, um Mitarbeiter beim Ausscheiden aus dem Dienst automatisch aus allen Gruppen zu entfernen. Ferner existierten keine sicheren Authentifizierungsschnittstellen, wie sie in staatlichen IT-Infrastrukturen üblich sind. Dass solche Defizite fatale Folgen haben können, zeigte etwa das „Signal-Gate“ [4]. Dabei landete ein Journalist in einer Gruppe, in der hochrangige US-Politiker Militärschläge besprachen.
Die Kommission reagiert nun mit verschärften IT-Richtlinien und einer regelmäßigen Überprüfung der Mitarbeiter-Hardware. Zugleich laufen Untersuchungen zu einem Angriff auf ihre Webseiten, bei dem vieles auf einen Datendiebstahl hindeutet [5]. Bereits im Januar wurde die technische Infrastruktur zur Verwaltung mobiler Geräte attackiert, was Unbekannten Zugriff auf Namen und Mobilnummern ermöglichte. Erst jüngst warnten niederländische Behörden vor einer globalen Kampagne [6], bei der russische Cyberkriminelle gefälschte Signal-Support-Bots einsetzen, um Nutzer in die Falle zu locken.
URL dieses Artikels: https://www.heise.de/-11245187
Links in diesem Artikel: [1] https://www.politico.eu/article/top-eu-officials-signal-group-chat-hacking-fears [2] https://www.politico.eu/article/politico-journalist-call-intercept-published-hacking-security-review-hungary-ukraine [3] https://www.heise.de/news/Signal-Nehmen-Bedrohung-durch-gezielte-Phishing-Angriffe-sehr-ernst-11205178.html [4] https://www.heise.de/news/Signal-Affaere-US-Journalist-angeblich-dank-iOS-Funktion-in-geheimem-Gruppenchat-10342141.html [5] https://www.heise.de/news/Cyberangriff-auf-Cloud-der-EU-Kommission-11228549.html [6] https://www.heise.de/news/Spione-warnen-Russische-Staatshacker-knacken-Signal-und-WhatsApp-Konten-11204731.html [7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp [8] mailto:kbe@heise.de
Der Spielehersteller Hasbro, bekannt etwa für Transformers, hat Einschränkungen des Geschäftsbetriebs nach einem IT-Vorfall gemeldet.
Hasbro, weltbekannter Hersteller von Spielzeugen wie Transformers oder Furbies, ist Opfer eines Cyberangriffs [1] geworden. Der Geschäftsbetrieb läuft derzeit eingeschränkt.
Das hat Hasbro Inc. in einer FORM 8-K-Meldung [2] an die US-amerikanische Börsenaufsicht SEC (Securities and Exchange Commission) mitgeteilt. Am 28. März 2026 hat Hasbro demnach nicht autorisierte Zugriffe auf das Unternehmensnetzwerk festgestellt. Daraufhin habe das Unternehmen umgehend die Protokolle zur Reaktion auf IT-Sicherheitsvorfälle aktiviert und Maßnahmen zur Eindämmung ergriffen. Das umfasse auch, vorsorglich bestimmte Systeme offline zu nehmen. Untersuchungen laufen unter Einbeziehung von externen Cybersecurity-Experten.
Die Analyse laufe noch und man arbeite gewissenhaft daran, das Problem zu lösen und das volle Ausmaß zu erfassen. Business-Continuity-Pläne seien in Kraft gesetzt worden, damit die Aufnahme von Bestellungen sowie das Versenden von Produkten und weitere Schlüsselfunktionen weiterhin möglich bleiben. Die Nutzung dieser Übergangslösungen sei womöglich für mehrere Wochen nötig, bis das Problem gelöst werde, und könne in Verzögerungen münden.
Hasbro untersucht noch
Das Unternehmen schreibt in der Mitteilung an die Börsenaufsicht, dass es daran arbeite, die potenziell betroffenen Dateien zu identifizieren und zu prüfen. Hasbro will basierend auf den Ergebnissen angemessene zusätzliche Maßnahmen ergreifen, darunter auch nötige Benachrichtigungen an Betroffene. Der Aktienkurs von Hasbro [3] gab am 1. April, dem Tag der Bekanntgabe des IT-Vorfalls, um etwa 5 Prozent nach, von in der Spitze rund 94 US-Dollar je Anteil auf etwa 89 US-Dollar je Aktie.
Google Quantum AI: Quantencomputer könnte Bitcoin-Kryptografie mit unter 500.000 Qubits in neun Minuten brechen. Möglich wird das wohl erst in den 2030ern.
Ein supraleitender Quantencomputer [1] mit 1.200 fehlerkorrigierten Qubits – in echter Hardware entspricht das weniger als 500.000 physischen Qubits – und 90 Millionen Rechenschritten könnte den privaten Schlüssel eines Bitcoin-Nutzers berechnen – also die kryptografische Grundlage der Bitcoin-Sicherheit brechen. Bitcoins durchschnittliche „Blockzeit“ – also der Abstand zwischen zwei dauerhaft gespeicherten Transaktionsbündeln – beträgt zehn Minuten.
Die Sicherheit von Bitcoin beruht auf einem mathematischen Versprechen: Jeder Nutzer hat zwei zusammengehörige Schlüssel – einen öffentlichen, den jeder sehen darf, und einen privaten, den nur der Besitzer kennt. Wer Coins ausgeben will, muss mit einer digitalen Signatur beweisen, dass er den privaten Schlüssel kennt. Den privaten Schlüssel aus dem öffentlichen zurückzurechnen, gilt für klassische Computer als praktisch unmöglich.
Quantencomputer brechen diese Einbahnstraße mit dem sogenannten Shor-Algorithmus – entwickelt 1994 vom Mathematiker Peter Shor. Er kann bestimmte mathematische Strukturen, die klassischer Kryptografie zugrunde liegen, direkt erkennen und ausnutzen. Was für normale Computer eine schier unendliche Suchaufgabe ist, wird für einen ausreichend großen Quantencomputer zu einer lösbaren Rechenaufgabe.
Wenn ein Bitcoin-Nutzer eine Transaktion sendet, landet sie zunächst im sogenannten Mempool – einem öffentlich einsehbaren Wartespeicher aller noch nicht bestätigten Transaktionen. Dort ist der öffentliche Schlüssel des Absenders für jeden sichtbar. Erst nach durchschnittlich zehn Minuten wird die Transaktion von einem Miner – einem am Netzwerk beteiligten Rechner – in einem Block dauerhaft gespeichert. Genau in diesem Fenster setzt der beschriebene Angriff an: Ein Quantencomputer liest den öffentlichen Schlüssel aus, berechnet daraus den privaten Schlüssel und sendet eine gefälschte Transaktion mit höherer Gebühr ab – die Miner bevorzugen sie, die Originaltransaktion wird verdrängt.
Die effektive Angriffsdauer lässt sich dabei auf etwa neun Minuten halbieren, weil ein Teil der Berechnung bereits im Voraus durchgeführt werden kann – der Quantencomputer wartet dann vorbereitet auf den öffentlichen Schlüssel des Opfers.
Nicht alle Quantencomputer wären dabei gleich gefährlich. Während Google weiterhin auf supraleitende Systeme [4] setzt, werden nun auch alternative Architekturen für Angriffe relevant. Photonische Quantencomputer und siliziumbasierte Architekturen hätten die nötige Geschwindigkeit für Echtzeit-Angriffe auf laufende Transaktionen. Langsamere Systeme wie Ionenfallen-Quantencomputer, die einzelne Atome als Qubits nutzen, könnten hingegen nur Adressen angreifen, deren öffentlicher Schlüssel bereits dauerhaft auf der Blockchain sichtbar ist – also etwa alte, nie bewegte Wallets, bei denen der Angreifer Tage oder Wochen Zeit hat.
Eine Größenordnung effizienter als bisher bekannt
Der entscheidende Fortschritt des Papers liegt nicht im Algorithmus selbst, sondern in seiner Effizienz. Frühere Schätzungen gingen von rund 200 Millionen Rechenschritten und neun Millionen physischen Qubits aus. Google kommt auf 70 Millionen Rechenschritte und weniger als 500.000 Qubits. Das Gesamtprodukt aus benötigten Rechenschritten und Qubits – das sogenannte Raumzeit-Volumen, das den eigentlichen Hardwareaufwand bestimmt – verbessert sich damit um etwa eine Größenordnung.
Erreicht wird das durch zwei zentrale Hebel, die zusammenwirken.
Der Erste ist Windowed Arithmetic. Der Kern des Angriffs ist die wiederholte Addition von Punkten auf einer elliptischen Kurve – der speziellen geometrischen Struktur, auf der Bitcoins Kryptografie beruht. Naiv ausgeführt erfordert das 512 einzelne kontrollierte Operationen. Die Forscher fassen je 16 Schritte zu einem „Fenster“ zusammen und berechnen die möglichen Ergebnisse vorab klassisch. Das reduziert die Zahl der nötigen Quantenoperationen auf 28 – also auf etwa ein Achtzehntel.
Der zweite Hebel betrifft dieFehlerkorrektur. Qubits sind fehleranfällig – ein einzelner logischer Qubit, der zuverlässig funktioniert, erfordert viele physische Qubits als Absicherung. Wie viele hängt stark von der Anordnung der Fehlerkorrektur ab. Google nutzt hier sogenannte Yoked Surface Codes – eine besonders dichte Packung der Korrekturschaltkreise –, die den Bedarf an physischen Qubits von neun Millionen auf unter 500.000 senkt.Dabei gilt: Die 1.200 logischen Qubits des Algorithmus sind fehlerkorrigierte, zuverlässige Recheneinheiten. In echter Hardware benötigt man für jeden davon etwa 400 fehleranfällige physische Qubits als Absicherung – woraus sich der Gesamtbedarf von unter 500.000 physischen Qubits ergibt.
Hinzu kommen kleinere, aber wirksame Optimierungen. Eine Technik namens Measurement-Based Uncomputation ersetzt aufwendige Rückrechnungsschritte durch gezielte Messungen und halbiert damit einen Teil der Rechenschritte. Und durch geschicktes Recycling eines einzelnen kleinen Quantenregisters – statt zwei großer Register, wie Shors Algorithmus es naiv erfordern würde – lässt sich der Qubit-Bedarf weiter senken.
Diese Tricks sind nicht neu – einige wurden in früheren Arbeiten bereits beschrieben. Was das Paper neu macht, ist ihre konsequente Kombination in einer gemeinsamen Schaltkreisarchitektur. Das Ergebnis soll laut Google ein Quantenschaltkreis sein, der kompakter, schneller und mit weniger Hardware auskommt als alles bisher Veröffentlichte.
Wie weit sind heutige Quantencomputer?
Den beschriebenen Angriff kann heute kein existierender Quantencomputer durchführen. IBMs aktueller Nighthawk-Prozessor arbeitet mit 120 physischen Qubits, das finnische Unternehmen IQM hat mit seinem Halocene-System [5] einen 150-Qubit-Chip angekündigt. Googles Willow-Prozessor bewegt sich in ähnlichen Größenordnungen. Für einen Bitcoin-Angriff wären 500.000 physische Qubits nötig – also etwa das Dreitausend- bis Viertausendfache der leistungsfähigsten heute verfügbaren Systeme. Einen detaillierten Überblick über den aktuellen Stand der verschiedenen Architekturen bietet der Hintergrundartikel „Status quo: Wie weit Quantenhardware im Jahr 2026 ist“ [6].
Manche Hersteller streben Systeme mit zwei Millionen physischen Qubits bereits für 2030 an. Sollten diese Pläne auch nur annähernd eingehalten werden, wäre die für einen Bitcoin-Angriff nötige Schwelle theoretisch in der zweiten Hälfte der 2030er-Jahre erreichbar – vorausgesetzt, die Fehlerkorrektur hält mit dem Qubit-Wachstum Schritt, was keineswegs garantiert ist. Die Google-Forscher warnen jedoch ausdrücklich davor, aus dem heutigen Rückstand Entwarnung abzuleiten: Algorithmusverbesserungen wie die im Paper beschriebenen haben die Anforderungen in den vergangenen Jahren kontinuierlich gesenkt. Gleichzeitig ist nicht auszuschließen, dass entscheidende Fortschritte zunächst nicht öffentlich bekannt werden.
Millionen Bitcoin als dauerhaftes Angriffsziel
Unabhängig von der Frage der Transaktionsgeschwindigkeit gibt es eine zweite, strukturelle Bedrohung, die keine Echtzeit-Fähigkeit erfordert: Adressen, deren öffentlicher Schlüssel bereits dauerhaft sichtbar ist. Laut Paper sind derzeit rund 6,9 Millionen Bitcoin durch exponierte öffentliche Schlüssel gefährdet – darunter rund 1,7 Millionen BTC in sogenannten P2PK-Adressen, einem veralteten Adressformat aus der Frühzeit von Bitcoin, bei dem der öffentliche Schlüssel direkt auf der Blockchain gespeichert ist. Darunter befinden sich auch Coins, die Satoshi Nakamoto, dem anonymen Bitcoin-Erfinder, zugeschrieben werden.
Rund 2,3 Millionen dieser gefährdeten BTC wurden seit mindestens fünf Jahren nicht bewegt. Diese „schlafenden“ Coins können nicht auf sichere Adressen migriert werden – ihre Besitzer sind nicht erreichbar oder die privaten Schlüssel sind verloren. Sie bleiben damit ein dauerhaftes Angriffsziel mit einem Gegenwert im dreistelligen Milliardenbereich.
Ethereum: Strukturell breiter gefährdet
Während Bitcoin primär durch exponierte Schlüssel gefährdet ist, hat Ethereum ein strukturell breiteres Angriffsprofil. Auch Ethereum verwendet wie Bitcoin digitale Signaturen auf Basis des Elliptic Curve Digital Signature Algorithm (ECDSA) und ist damit grundsätzlich durch Quantenangriffe gefährdet – die größere Angriffsfläche ergibt sich jedoch aus der Systemarchitektur. Die Plattform führt nicht nur Transaktionen durch, sondern auch komplexe Programme – sogenannte Smart Contracts –, die Vermögenswerte verwalten und Regeln durchsetzen, ohne dass ein Mittelsmann nötig ist.
Ethereum-Konten legen nach der ersten Transaktion ihren öffentlichen Schlüssel dauerhaft offen – rund 20,5 Millionen ETH in den tausend wertvollsten Konten sind dadurch gefährdet. Besonders heikel ist die Lage bei Smart Contracts, die oft von wenigen privilegierten Konten verwaltet werden: Wer deren privaten Schlüssel kennt, kontrolliert den gesamten Vertrag – und damit laut Paper rund 200 Milliarden US-Dollar in Stablecoins und tokenisierten realen Vermögenswerten wie Anleihen oder Immobilienfonds. Hinzu kommen rund 37 Millionen ETH im sogenannten Staking – Coins, die Nutzer als Sicherheit hinterlegen, um am Validierungsprozess des Netzwerks teilzunehmen –, die durch angreifbare Signaturen gefährdet sind. Besonders kritisch: Beim Datenverfügbarkeitsmechanismus von Ethereum würde ein einmaliger Quantenangriff ausreichen, um eine dauerhaft nutzbare Hintertür zu erzeugen, die danach ohne Quantencomputer funktioniert.
Offenlegung ohne Angriffsblaupause
Die Forscher veröffentlichen die konkreten Quantenschaltkreise bewusst nicht, um potenziellen Angreifern keine Blaupause zu liefern. Stattdessen nutzen sie einen sogenannten Zero-Knowledge-Beweis – eine mathematische Methode, mit der man beweisen kann, dass man etwas weiß, ohne das Wissen selbst preiszugeben. Unabhängige Prüfer können damit verifizieren, dass die beschriebenen Schaltkreise existieren und die behaupteten Ressourcen einhalten – ohne die sicherheitskritischen Details zu erhalten.
Migration zur Quantensicherheit – aber wie?
Die Forscher empfehlen eine sofortige Migration zu sogenannter Post-Quantum-Kryptografie, bei der Google bereits auf einen deutlich strafferen Zeitplan setzt als staatliche Stellen – Verschlüsselungsverfahren, die auch Quantencomputern widerstehen. Das US-Standardisierungsinstitut NIST hat dafür bereits erste Standards verabschiedet, darunter das gitterbasierte Signaturverfahren Dilithium und das hashbasierte SPHINCS+. Beide nutzen mathematische Probleme, für die kein effizienter Quantenalgorithmus bekannt ist. Auch das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, klassische asymmetrische Verschlüsselungsverfahren ab 2032 nur noch in Kombination mit Post-Quantum-Kryptografie einzusetzen [7].
Für Kryptowährungen ist das leichter gesagt als getan. Die Migration erfordert Protokolländerungen, die in dezentralen Netzwerken einen breiten Konsens benötigen – ein langwieriger Prozess. Auf der Bitcoin-Blockchain würde allein die Übertragung aller Coins auf neue, quantensichere Adressen bei aktuellem Transaktionsdurchsatz mehrere Monate dauern. Als kurzfristige Schutzmaßnahmen empfehlen die Autoren außerdem, öffentliche Schlüssel nicht wiederzuverwenden und private Mempools zu nutzen, bei denen Transaktionen nicht öffentlich einsehbar sind.
URL dieses Artikels: https://www.heise.de/-11244075
EmDash ist ein neues Content-Management-System mit TypeScript- und Astro-Basis. Plug-ins sollen dort sicher innerhalb einer Sandbox laufen.
Cloudflare hat EmDash als Preview veröffentlicht, ein Open-Source-CMS mit einem Fokus auf Sicherheit. Das Unternehmen schickt es als den „geistigen Nachfolger“ des seit über 20 Jahren bestehenden WordPress ins Rennen. EmDash zeichnet sich dadurch aus, dass es Plug-ins in einer eigenen Sandbox ausführt, um die Sicherheit zu erhöhen. Integrierte KI-Funktionen dürfen ebenfalls nicht fehlen.
EmDash ist serverlos, lässt sich jedoch auf eigener Hardware oder einer Plattform nach Wahl ausführen. Das Fullstack-Content-Management-System (CMS) ist in TypeScript geschrieben und nutzt unter der Haube das Open-Source-Webframework Astro, dessen Hersteller Astro Technology Company erst Anfang des Jahres von Cloudflare übernommen wurde [1]. Benannt ist das CMS nach dem Geviertstrich [2] (—), der unter anderem in der englischen Typografie als Gedankenstrich verwendet wird.
Plug-ins in eigener Sandbox
Wie Cloudflare in seinem Blog beschreibt [5], haben 96 Prozent aller Security-Probleme in WordPress ihren Ursprung in Plug-ins. In EmDash läuft daher jedes Plug-in innerhalb seiner eigenen, isolierten Sandbox. Dazu kommt die Cloudflare-Technologie Dynamic Workers [6] zum Einsatz. Ein Plug-in erhält seine Fähigkeiten in EmDash via Bindings und kann ausschließlich die im Manifest des Plug-ins explizit deklarierten Aktionen durchführen. Das soll Entwicklerinnen und Entwicklern bereits vor der Installation die Gewissheit geben, welche Befugnisse eine Erweiterung haben wird.
Plug-ins für EmDash können zudem eine beliebige Lizenz haben, da sie von EmDash unabhängig sind. Das soll einen Marketplace-Lock-in verhindern. WordPress-Erweiterungen unterliefen dagegen aus Sicherheitsgründen einer manuellen Review und seien eng mit WordPress-Code verwoben. Daher würde teils argumentiert, dass die WordPress-GPL-Lizenz genutzt werden müsse, so Cloudflare.
Integrierte KI-Features
Als „KI-natives CMS“ angepriesen, bietet EmDash einige Features für die Nutzung künstlicher Intelligenz. EmDash-Instanzen enthalten Agent Skills und bieten einen integrierten Remote-MCP-Server (Model Context Protocol). Auch befähigt das EmDash-CLI KI-Agenten dazu, mit lokalen oder Remote-Instanzen von EmDash zu interagieren. Darüber lassen sich beispielsweise Medien hochladen, Inhalte durchsuchen oder Schemas erstellen und verwalten.
Auf verschiedene Arten können Entwicklerinnen und Entwickler ihre WordPress-Seiten in EmDash importieren [7]. Um mit EmDash loszulegen, sind drei Starter-Templates enthalten: Blog, Marketing und Portfolio. Das Admin-Interface von EmDash können Interessierte in einem Playground [8] ausprobieren.
Kubernetes ist eines der größten Open-Source-Projekte, unterstützt von Tausenden Contributors. Wie der Einstieg gelingen kann, beschreibt Mario Fahlandt.
Mit über 90.000 Contributors und rund 4,4 Millionen Contributions ist Kubernetes nach Linux das zweitgrößte Open-Source-Projekt weltweit. Hierzulande stuft mittlerweile auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kubernetes als De-facto-Standard für Container-Orchestrierung ein. Doch wie funktioniert ein Projekt dieser Größenordnung eigentlich von innen? Im Rahmen des Cloud-Native-Festivals CloudLand 2025 hat Mario Fahlandt, der im Kubernetes-Projekt unter anderem in den Special Interest Groups (SIG) Contributor Experience und K8s Infra aktiv ist, einen detaillierten Einblick in die Strukturen, Einstiegsmöglichkeiten und Karrierepfade der Kubernetes-Community gegeben.
Fahlandt, der selbst als Host für die EMEA/APAC-Region bei der Kubernetes New Contributor Orientation [1] (NCO) fungiert, machte in seinem Vortrag [2] deutlich: Beiträge zum Projekt beschränken sich keineswegs auf Code. Meeting-Notizen anfertigen, Fragen im Slack-Channel beantworten, Dokumentationen korrigieren oder Blog-Posts verfassen – all das zählt als Contribution.
Drei Kategorien von Special Interest Groups
Die Community organisiert sich unter dem Dach der Cloud Native Computing Foundation (CNCF) in einer ausdifferenzierten Struktur. An der Spitze steht ein Steering Committee mit sieben gewählten Mitgliedern. Die eigentliche Arbeit findet in 24 Special Interest Groups (SIGs) statt, die sich in drei Kategorien gliedern: Project-SIGs wie Architecture, Docs oder Release unterstützen das Gesamtprojekt organisatorisch. Horizontal-SIGs – darunter API-Machinery, Auth oder Scalability – kümmern sich um querschnittliche Kernfunktionalität. Vertical-SIGs wie Network, Storage oder Node verantworten jeweils spezifische technische Komponenten. Ergänzt wird diese Struktur durch sieben Working Groups für temporäre Themen und drei Committees. Jeder Code- und Dokumentationsteil ist dabei einer konkreten SIG oder einem Subproject zugeordnet.
Wer sollte sich engagieren und wie gelingt der Einstieg?
Wer einsteigen möchte, findet über den Kubernetes-Slack [6] (Kanal #kubernetes-new-contributors), die K-Dev-Mailingliste [7] und den Community-Kalender [8] Anschluss. Die monatliche NCO-Session findet jeweils am dritten Dienstag statt – für die EMEA/APAC-Region beispielsweise um 10:30 Uhr CET. Die Sessions laufen seit September 2024 und werden auch 2026 fortgesetzt.
Die Contributor Ladder als Karrierepfad
Fahlandt zufolge definiert die sogenannte Contributor Ladder einen transparenten Aufstiegspfad. Vom Non-member Contributor gelangt man über die Org-Membership – für die zwei bestehende Reviewer bürgen müssen – zum Reviewer, Approver und schließlich zum Subproject Owner oder SIG Chair. Fahlandt warnte allerdings vor einer typischen Einstiegsfalle: Wer sich isoliert ein „Good First Issue“ aus dem Repository schnappt und ohne Kontakt zur jeweiligen SIG daran arbeitet, scheitert häufig. Labels wie „good first issue“ oder „help wanted“ in Repositories wie kubernetes/kubernetes markieren zwar geeignete Aufgaben – etwa Dokumentationsverbesserungen, Link-Korrekturen oder Test-Ergänzungen. Doch der Schlüssel zum Erfolg liegt darin, zunächst einer SIG beizutreten, an deren Meetings teilzunehmen und sich dauerhaft einzubringen. Besonders niedrigschwellig sind sogenannte Evergreen-Aufgaben wie Meeting-Protokolle, SIG-Spotlight-Blogposts oder Reviews für die SIG Docs.
Fahlandts Fazit bringt die Philosophie der Community auf den Punkt: „Der Einstieg ist nicht immer leicht und das ist verständlicherweise frustrierend. Aber wenn man dranbleibt, lohnt es sich enorm. Wir würden euch gerne dabei helfen, dranzubleiben!"
Über den Speaker
Mario Fahlandt ist Customer Delivery Architect bei Kubermatic. Darüber hinaus engagiert er sich aktiv im Kubernetes-Projekt der CNCF – unter anderem als TAG Co Chair Operational Resilience, SIG Co Chair Contributor Experience, SIG K8s Infra und Comms Subproject Tech Lead.
URL dieses Artikels: https://www.heise.de/-11227313
Kein Hack, kein Exploit – nur ein vergessener Schalter. Und genau dieses Prozessversagen macht den Claude-Code-Leak so gefährlich, meint Moritz Förster.
Es klingt nach dem nächsten großen Skandal: Über 500.000 Zeilen Quellcode von Anthropics CLI-Tool Claude Code tauchen öffentlich auf. Die Security-Community horcht auf, Wettbewerber reiben sich die Hände, Kommentatoren wittern den nächsten Beweis, dass KI eh an allem schuld ist. Doch wer genauer hinschaut, findet keine ausgeklügelte Attacke, keinen Zero-Day-Exploit, nicht einmal Social Engineering. Sondern schlicht eine Source Map im npm-Paket, die da nicht hingehörte. Also bloß ein vergessener Schalter in der Build-Pipeline. System scheint hier nur die Schludrigkeit zu haben.
Debug-Artefakte im Produktions-Build – ein Klassiker
Source Maps sind nützliche Helfer in der Entwicklung. Sie bilden kompilierten Code zurück auf den lesbaren Quelltext – unverzichtbar beim Debuggen, fatal in der Produktion. Dass sie im fertigen Paket landen, passiert nicht durch einen raffinierten Angriff oder eine ausgerastete KI. Es passiert, weil niemand den Build-Prozess sauber konfiguriert hat. Oder weil die Konfiguration irgendwann still und leise überschrieben wurde. Oder weil schlicht niemand nachgeschaut hat.
Entwickler kennen das Muster. Es ist die vergessene .env-Datei im Git-Repository. Das Docker-Image mit eingebetteten Credentials. Die Debug-API, die seit Monaten offensteht, weil sie ja „nur intern“ ist. Genau das ist Prozessversagen.
Niemand fühlt sich zuständig
Moderne Build-Pipelines sind überaus komplex. Bundler, Transpiler, Minifier, Packager – jeder Schritt erzeugt Artefakte, jeder Schritt kann Dinge durchreichen, die nicht nach draußen gehören. Die Verantwortung dafür verteilt sich auf ein Tohuwabohu an Tools, Konfigurationsdateien und Teams. Am Ende fühlt sich niemand zuständig. „Die Pipeline macht das schon“ ist aktuell einer der gefährlichsten Sätze in der Softwareentwicklung.
Bei klassischen Projekten geht das meistens noch gut. Die Artefakte sind langweilig, der Schaden überschaubar. Bei einem KI-Tool wie Claude Code sieht das anders aus. Hier stecken im Code nicht nur Implementierungsdetails, sondern Architekturentscheidungen, Feature-Flags für unveröffentlichte Funktionen und die komplette Orchestrierungslogik eines agentischen Systems. Wer das lesen kann – und das kann jeder mit npm und etwas Geduld –, bekommt eine Blaupause frei Haus.
Tempo schlägt Sorgfalt
KI-Unternehmen stehen unter enormem Innovationsdruck. Releases folgen in kurzen Zyklen, Features müssen raus, bevor der Wettbewerber sie zeigt. In diesem Tempo bleiben Sicherheits-Gates auf der Strecke. Nicht aus Schlampigkeit oder gar Böswilligkeit, sondern aus Pragmatismus. Die nächste Demo zählt mehr als das nächste Audit.
Das Ergebnis: Tools, die tief in lokale Entwicklungsumgebungen eingreifen, Code lesen, schreiben und ausführen, werden mit derselben Release-Disziplin behandelt wie ein Frontend-Widget. Dass das schiefgeht, ist keine Überraschung. Es ist nur eine Frage der Zeit.
Bekannte Fehler, neue Dimension
Der aktuelle Vorfall wirkt nicht wie ein völlig isolierter Ausrutscher: Medienberichten zufolge ist es bereits die zweite unbeabsichtigte Offenlegung rund um Claude Code in etwas mehr als einem Jahr. Ganz allgemein kennt die Branche das Problem schon lange. OWASP [1] listet „Cryptographic Failures“ (vormals Sensitive Data Exposure) seit Ewigkeiten in den Top Ten. Trotzdem passiert es immer wieder – nur dass die Konsequenzen wachsen.
Denn ein geleakter Quellcode ist hier mehr als ein PR-Problem. Er zeigt Wettbewerbern, wie Anthropic agentische Workflows orchestriert. Er zeigt Angreifern, wo die Logik Annahmen macht, die man ausnutzen kann. Er zeigt der Öffentlichkeit, dass ein Unternehmen, das Milliarden für KI-Sicherheit einwirbt, bei grundlegender Softwarehygiene patzt.
Firewalls helfen nicht gegen Schlamperei
Der Reflex nach solchen Vorfällen ist vorhersehbar: mehr Security-Tools, mehr Monitoring, mehr Abwehr nach außen. Aber gegen was genau? Hier gab es keinen Angreifer, den man hätte aufhalten können. Keine Firewall der Welt schützt vor einem falsch konfigurierten Build-Skript.
Was helfen würde, ist weniger spektakulär: automatisierte Prüfungen, die vor jedem Release den Paketinhalt scannen. Klare Verantwortlichkeiten im Build-Prozess. Vier-Augen-Prinzip bei Releases sensibler Tools. Alles Dinge, die in der klassischen Softwareentwicklung längst Standard sein sollten – und die offenbar auch bei einem der bestfinanzierten KI-Unternehmen der Welt nicht zuverlässig greifen.
Der eigentliche Weckruf
Und genau weil der eigentlich etablierte Prozess das Problem ist, sollte dieser Vorfall mehr beunruhigen als ein aufsehenerregender KI-Hack. Gegen die in der IT-Branche an vielen Stellen vorherrschende Nachlässigkeit hilft nur Disziplin – und die lässt sich bekanntlich schlecht skalieren.
URL dieses Artikels: https://www.heise.de/-11244325
Links in diesem Artikel: [1] https://www.heise.de/hintergrund/Awareness-fuer-Web-Security-Die-OWASP-Top-Ten-2025-11098119.html [2] https://www.heise.de/ix [3] mailto:fo@heise.de
Beim Manjaro-Projekt knirscht es. Während manche deshalb das Ende der Linux-Distribution herbeireden, sehen es andere als lange überfällige Neuorganisation.
Ein Post im Manjaro-Forum hat Linux-YouTuber und -Nachrichtenseiten aufgescheucht: Unter „Announcements“ hat das Manjaro-Team sein „Manjaro 2.0 Manifesto“ veröffentlicht, nachdem Diskussionen in den teaminternen Kommunikationskanälen nicht vorankamen. Neben zahlreichen Kritikpunkten an der Projektleitung will das Team mit seinen Vorschlägen das Manjaro-Projekt umstrukturieren, um Vertrauen wieder herzustellen und mehr Unterstützung aus der Open-Source-Community zu erhalten.
Die Verfasser des Dokuments sehen Manjaro in einer langjährigen Abwärtsspirale: Zwar werde die Distribution von einer beträchtlichen Zahl an Menschen genutzt, habe aber in den letzten zehn Jahren stagniert, Vertrauen verspielt und sich etliche peinliche Fehler geleistet. So sollen etwa mehrfach TLS-Zertifikate nicht rechtzeitig erneuert worden sein, obwohl Teammitglieder auf deren Ablaufen aufmerksam gemacht hätten. Die Projektleitung wolle Manjaro in ein erfolgreiches Business verwandeln und lehne es ab, dem Rest des Teams Zugriff auf die Infrastruktur zu geben. Als mögliche Lösung schlägt das Team in seinem Manifest nun vor, einen Verein zu gründen, der die Linux-Distribution künftig pflegen soll.
Die Idee ist nicht neu: „Den Gedanken, Manjaro in einen Verein zu bringen, gibt es schon länger“, erzählt der gegenwärtige Projektleiter Philip Müller im Gespräch mit c’t. „Auch 2019 war das bereits ein Thema, wobei wir uns schlussendlich für die jetzige Firmenstruktur entschieden hatten.“ Seither dient die Manjaro GmbH & Co. KG als Ansprechpartner für Kooperationen und koordiniert die Weiterentwicklung von Manjaro Linux, unterstützt von Freiwilligen aus der Community.
URL dieses Artikels: https://www.heise.de/-11229698
Laut Analysten droht fast der Hälfte der für dieses Jahr geplanten US-Rechenzentren eine Verzögerung oder Absage. Das zentrale Problem sind nicht Kapital oder Grundstücke, sondern Transformatoren, Schaltanlagen und Akkus, also die vermeintlich unspektakulären elektrischen Komponenten, ohne die kein Rechenzentrum funktioniert. Die heimische Fertigungskapazität hat mit der explodierenden Nachfrage nicht Schritt gehalten.
"Es gibt schlicht nicht genug inländische Kapazität, also sind die Leute mehr oder weniger gezwungen, auf den Exportmarkt zu gehen" , sagt Benjamin Boucher, leitender Analyst bei Wood Mackenzie, dem Nachrichtenportal Bloomberg . Dieser Exportmarkt ist in vielen Fällen China.
Im Januar besuchte eine Gruppe amerikanischer Versorgungsunternehmen eine Transformatorenfabrik in China – und beobachtete laut Bloomberg, dass etwa die Hälfte der dort aufgereihten Exporteinheiten für die USA bestimmt war. Allein in den ersten zehn Monaten des Jahres 2025 importierten US-Versorger mehr als 8.000 Hochleistungstransformatoren aus China, verglichen mit weniger als 1.500 im gesamten Jahr 2022.
Lieferzeiten von bis zu fünf Jahren
Die Preise für Transformatoren sind seit 2021 stark gestiegen, als KI-Unternehmen begannen, ihre Bauprogramme hochzufahren. Lieferzeiten, die einst bei 24 bis 30 Monaten lagen, haben sich in einigen Fällen auf bis zu fünf Jahre ausgedehnt.
Die Branche reagiert mit unterschiedlichen Strategien. Crusoe, das Unternehmen, das den Abilene-Campus für OpenAI baut, bestellte Großgeräte bereits vor gesicherten Verträgen. Daneben entwickelte Crusoe eigene Schaltanlagen in modularer Bauweise, die inzwischen auch an andere Rechenzentrumsbetreiber verkauft werden. Equinix wiederum investiert mindestens 350 Millionen Dollar in ein neues Schaltanlagenwerk in Irland, das die Lieferzeiten um 10 bis 15 Prozent verkürzen soll.
Chinas Dominanz bei Akkus bleibt ein Problem
Besonders schwer verschiebbar ist die Abhängigkeit bei Akkus. Chinesische Anbieter decken mehr als 40 Prozent des US-Importvolumens ab – ein Anteil, der sich trotz jahrelanger Zölle und Industriepolitik kaum verändert hat. China kontrolliert weite Teile der Lieferkette, von Rohstoffen bis zum fertigen Produkt, und dieser Vorsprung dürfte so schnell nicht schrumpfen.
Die Trump-Regierung hat im März zwar einen Rahmen für schnellere Genehmigungen neuer Kraftwerke für Rechenzentren vorgelegt. Die Engpässe bei elektrischer Ausrüstung adressiert das aber nicht – und lässt viele in der Branche zweifeln, ob der Bauboom wirklich stattfinden kann.
Ein Prototyp noch in diesem Monat: Die Bürger- App soll zum zentralen Zugang für Anträge, Terminbuchung und Identitätsverifizierung werden.
Digitaliserung bisher: neue Aufrufanlage im Bürgerservice in Betrieb - Stadt Brandenburg an der HavelBild:
Stadt Brandenburg an der Havel / René Paul-Peters
Die Bundesregierung will die geplante zentrale Verwaltungs-App von SAP und der Deutschen Telekom entwickeln lassen. Das berichtet das Handelsblatt unter Verweis auf ein internes Projektdokument. Die Anwendung, intern auch Bürger-App oder Deutschland-App genannt, soll als zentrales Serviceportal staatliche Leistungen bündeln.
Nutzer sollen darüber Anträge stellen, Termine buchen und Verwaltungsdienstleistungen abrufen können. Geplant ist auch ein Bürgerbüro in der App. Technisch bleibt die Anwendung von der europäischen digitalen Brieftasche, der EUDI-Wallet, getrennt: Während die Wallet Identitäten und offizielle Nachweise verwaltet, dient die Bürger-App als Zugang zu staatlichen Leistungen. Beide Systeme sollen eng miteinander verzahnt werden.
Zu den ersten Anwendungen sollen laut Projektdokument unter anderem Kindergeld, Wohnsitzanmeldungen und Unternehmensgründungen zählen. Lernende KI-Agenten sollen Nutzer durch Anträge führen und Prozesse automatisieren. Getestet werden soll die Plattform zunächst in mehreren Städten sowie bei der Bundesagentur für Arbeit.
Telekom arbeitet bereits an einer ersten Version
Nach Informationen aus dem Projektumfeld arbeitet die Telekom bereits an einer ersten Version. Ein Prototyp soll laut dem Projektdokument noch im April vorliegen, anschließend sind Tests geplant. SAP soll zentrale Plattformtechnologie und KI-Funktionen liefern, während die Telekom-Tochter T-Systems Infrastruktur und Datenspeicherung übernimmt.
Das Bundesdigitalministerium bestätigte dem Handelsblatt die Pläne, in Zusammenarbeit mit T-Systems und SAP einen Prototyp für eine KI-basierte Verwaltungsplattform zu entwickeln.
FreshRSS 
