Anmelden
(Bild: WhataWin/Shutterstock.com)
Ransomware-Banden setzen auf KI und das Darknet, um kritische Infrastruktur zu treffen. Ermittler in Koblenz agieren zunehmend proaktiv.
Im Kampf gegen Computerkriminalität sind im vergangenen Jahr deutlich weniger Ermittlungsverfahren an der Landeszentralstelle Cybercrime (LZC) bei der Generalstaatsanwaltschaft Koblenz bearbeitet worden. Während im Jahr 2023 noch 2439 Ermittlungsverfahren gegen bekannte Beschuldigte abgeschlossen wurden, waren es im Jahr 2024 rund 1650 und im Jahr 2025 dagegen nur 371, wie der Leiter der LZC, Oberstaatsanwalt Jörg Angerer, der Deutschen Presse-Agentur mitteilte.
Die Gesamtzahl der bearbeiteten Verfahren dürfte jedoch deutlich höher sein, da auch „häufig“ Verfahren gegen unbekannte Täter geführt werden, wie Angerer weiter sagte. „Die deutlichen Unterschiede in den Eingangszahlen resultieren daraus, dass nach Abschluss eines größeren Verfahrenskomplexes üblicherweise eine große Zahl von Folgeverfahren anfallen, die abgearbeitet werden müssen“, erklärte Angerer.
Gibt es in einem Jahr keinen größeren Komplex, ist die Zahl der Verfahren demnach insgesamt geringer. Zudem war die Stelle 2025 nicht voll besetzt und konnte daher weniger Verfahren bearbeiten, wie Angerer ausführte. In der LZC sei man bei Cyber-Attacken nur in Verfahren mit besonderer Bedeutung befasst: Das sei etwa dann der Fall, wenn Unternehmen oder Behörden betroffen seien, die zu den „kritischen Infrastrukturen“ (Kritis) gehörten und so als besonders schützenswert gelten würden. Zu Kritis zählen beispielsweise Krankenhäuser [1] oder Energieunternehmen.
Bei den Verfahren handele es sich vor allem um Ransomware-Attacken. Bei einem Ransomware-Angriff verschlüsseln die Täter die Daten ihrer Opfer und versuchen, ein Lösegeld zu erpressen. Häufig drohen die Kriminellen auch mit der Veröffentlichung von vertraulichen Daten im Netz, die zuvor bei dem Angriff erbeutet wurden. Angerer zufolge veröffentlichen Ransomware-Gruppierungen erfolgreich durchgeführte Angriffe oft im Internet auf eigenen Leak-Portalen, also ihren Enthüllungsseiten. „Auf diesen Portalen bieten sie auch die erlangten Daten zum Verkauf an oder veröffentlichen diese“, sagte der Experte.
Diese Blogs seien meist im Darknet zu finden. Herausforderungen in der Strafverfolgung von Cybercrime-Delikten seien die Auswertung von Massendaten, die zunehmende Verschlüsselung von Kommunikation und die Verwendung von KI durch die Täter [2], so Angerer. Das erfordere mehr Zeit und mehr Personal. „Die Auswertung der sichergestellten Daten wird in naher Zukunft ohne KI-Unterstützung nicht mehr möglich sein“, sagte der LZC-Leiter.
Staatliche und terroristische Angriffe fallen nicht in die Zuständigkeit der LZC. Doch die Trennung sei nicht immer leicht, sagte Angerer. „Da kriminelle, staatliche und terroristische Cyber-Angriffe jedoch im Wesentlichen identisch ablaufen, ist häufig nicht klar erkennbar, wer hinter dem jeweiligen Angriff steht“, sagte er. Noch schwieriger wird es demnach, da einige Akteure sowohl kriminell aktiv sind, als auch eine gewisse Nähe zu bestimmten Staaten aufweisen [3].
„Überschneidungen in der Motivation sind daher nicht unüblich“, sagte der Experte. Ein wesentlicher Unterschied zu lokalen Staatsanwaltschaften: Die LZC agiert in der Regel nicht reaktiv, sondern proaktiv. Was bedeutet, dass sie nicht nur auf Strafanzeigen reagiert, sondern aktiv geeignete Ziele wie etwa kriminelle Foren sucht und Verfahren gegen die Betreiber einleitet, wie Angerer ausführte. Grund sei, dass derartige Foren meist nicht angezeigt würden, weil es keine Geschädigten gebe.
URL dieses Artikels:
https://www.heise.de/-11263064
Links in diesem Artikel:
[1] https://www.heise.de/news/Naechster-Cyberangriff-auf-Krankenhaus-Caritas-Klinik-Dominikus-betroffen-9616113.html
[2] https://www.heise.de/news/Nordkoreanische-Cyberkriminelle-setzen-KI-generierte-PowerShell-Backdoor-ein-11154421.html
[3] https://www.heise.de/news/Warnung-aus-UK-Russische-Cyberkriminelle-kapern-Router-zum-Passwort-Klau-11247959.html
[4] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[5] mailto:nie@heise.de
Copyright © 2026 Heise Medien
(Bild: Pe3k / Shutterstock.com)
Die EU-Kommission will den Jugendschutz im Netz per App revolutionieren. Doch rasch entpuppt sich das Versprechen von Anonymität und Sicherheit als sehr fragil.
Es war als technologischer Meilenstein für den Jugendschutz gedacht: Eine EU-App, die das Alter verifiziert, ohne die Privatsphäre zu opfern [1]. Doch wenige Stunden nach der Vorstellung durch Kommissionspräsidentin Ursula von der Leyen geriet das Projekt unter Beschuss. Der Security-Experte Paul Moore demonstrierte auf X, wie er das System in weniger als zwei Minuten „knackte“.
Seine Analyse offenbart [2], dass sensible Daten ungeschützt auf dem Gerät bleiben. So werden PIN-Codes unzureichend gesichert, Ratenbegrenzungen lassen sich durch das Zurücksetzen einfacher Konfigurationsdateien aushebeln, die biometrische Authentifizierung ist mit einem Klick deaktivierbar. Moore warnt: „Dieses Produkt wird der Katalysator für einen gewaltigen Datenabfluss sein.“
Der französische Hacker Baptiste Robert bestätigte Moores Funde [3]. Es wäre auch möglich, den PIN-Code oder Touch ID einfach zu überspringen. Der Kryptologe Olivier Blazy sieht ein praktisches Problem: „Nehmen wir an, ich lade die App herunter und beweise, dass ich über 18 bin. Dann kann mein Neffe mein Telefon nehmen, die App entsperren und sie nutzen, um sich selbst als volljährig auszuweisen.“
Die Kommission verteidigt ihr Tool. Eine Sprecherin räumte nur ein, es ließen sich noch Dinge verbessern. Zudem hieß es aus Brüssel, die Hacker hätten eine veraltete Demoversion getestet, was diese aber bestritten. Später kam die Erläuterung, dass auch die online verfügbare „finale Version“ noch eine Demo sei. Das Endprodukt für Bürger werde erst später angeboten, der Code laufend aktualisiert.
Dass diese Lücken überhaupt so schnell gefunden wurden, liegt auch daran, dass die App Open Source ist. Blazy lobt diesen Ansatz. Er moniert aber, dass der Quelltext bisher nicht den erwarteten Sicherheitsstandards entspreche. Ein überstürzter Start könne das Vertrauen in künftige Projekte wie die digitale Identität EUDI [4] untergraben.
Daneben scheint die von der Kommissionschefin versprochene Anonymität fraglich. Experten wie Anja Lehmann vom Hasso-Plattner-Institut widersprechen. Da die App auf Pseudonyme setzt, könnten Website-Betreiber Nutzeraktivitäten über längere Zeiträume verknüpfen. Ein Werbevideo sorgt für Irritation [5]: Es zeigt einen biometrischen Abgleich zwischen Gesichtsscan und Ausweisdokument – ein Verfahren, das von der Leyen bei Plattformbetreibern stets abgelehnt hatte. Judith Simon von der Universität Hamburg mahnt, die Unverknüpfbarkeit sei die Voraussetzung für echte Privatsphäre.
Viele Experten fragen sich, warum die EU eine parallele Infrastruktur zur bereits geplanten EUDI aufbaut. Lehmann hält eine separate App für „wenig sinnvoll“, da sie in wichtigen Sicherheitskriterien von etablierten Standards abweiche. Thomas Lohninger von der NGO Epicenter.works mahnt, die Kommission müsse ihre Initiative überdenken und sich auf die überfällige Durchsetzung bestehender Online-Gesetze konzentrieren.
Nicht zuletzt bleibt das Problem der Wirksamkeit. Tibor Jager von der Uni Wuppertal bezeichnet die Altersprüfung als „trivial zu umgehen“. Mittels VPN-Diensten ließe sich ein Standort außerhalb der EU vortäuschen, wo die Regeln nicht greifen. Der Forscher plädiert statt technischer Barrieren für „digitale Verkehrserziehung“. Die Kommission hält indes am Zeitplan fest. Acht Staatschefs unterstützen den Vorstoß prinzipiell, um soziale Medien für Minderjährige einzuschränken. Da die App noch nicht im regulären Einsatz ist, bleibt Zeit für Korrekturen. Der Weg zum „Goldstandard für Privatsphäre“ ist noch weit.
URL dieses Artikels:
https://www.heise.de/-11262838
Links in diesem Artikel:
[1] https://www.heise.de/news/EU-Ausweis-App-fuer-Minderjaehrige-EU-Kommission-macht-Ernst-beim-Jugendschutz-11259317.html
[2] https://x.com/Paul_Reviews/status/2044723123287666921
[3] https://www.politico.eu/article/online-age-checks-are-coming-europe-children-social-media
[4] https://www.heise.de/news/EU-Parlament-beschliesst-Online-Ausweis-beschraenkt-staatliche-Root-Zertifikate-9643681.html
[5] https://www.youtube.com/watch?v=ULFTrTznG7Y
[6] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[7] mailto:mki@heise.de
Copyright © 2026 Heise Medien
Aus für Android 13.
(Bild: DANIEL CONSTANTE / Shutterstock.com)
Android 13 ist raus. Google hat schon Anfang März den Support für die im Jahr 2022 veröffentlichte OS-Version eingestellt.
Seit Anfang März 2026 und damit etwa dreieinhalb Jahre nach Einführung der Android-Version im August 2022 – zunächst für Pixel-Geräte – [1], hat Google die Entwicklung und Verteilung von Sicherheitspatches eingestellt. Das Betriebssystem ist aber immer noch weit verbreitet – Nutzerinnen und Nutzer eines Geräts mit dem betagten OS sollten sich tendenziell nach einem neuen Gerät umsehen.
Knapp ein Jahr nachdem Google die Verteilung von Sicherheitspatches für Android 12 und 12L beendet [2] hat, steht nun die nächste Android-Version vor dem Aus. Das bedeutet, dass Smartphones und Tablets, für die Android 13 das letzte Update war, keine Sicherheitsupdates für das Kernbetriebssystem mehr erhalten. Schon im Sicherheitsbulletin vom März 2026 [3] fehlte ein Hinweis auf Android 13. Und da Google seit Juli 2025 nur noch quartalsweise Sicherheitspatches ausliefert [4], könnte der Patch vom Dezember 2025 [5] gar schon der allerletzte für die OS-Version gewesen sein. Eventuelle kritische Sicherheitslücken im Kern des Betriebssystems bleiben damit bestehen. Immerhin werden sowohl Google-Apps und -Dienste als auch bestimmte OS-Komponenten, die Teil von Project Mainline sind, über die Play-Dienste aktualisiert.
Die Verantwortung hinsichtlich der Sicherheit hat Google weitgehend auf die Gerätehersteller übertragen. Nutzer können optional auch auf alternative Android-Versionen wie LineageOS oder /e/OS umsteigen, die aber wiederum auf Sicherheitspatches von Google aus dem AOSP zurückgreifen.
Glaubt man den Zahlen zur Android-Versionsverteilung von Google vom Dezember 2025 [6], liegt der Marktanteil von Android 13 noch bei 13,9 Prozent. Das klingt zwar nicht nach viel, behält man jedoch im Blick, dass über drei Milliarden Android-Geräte im Umlauf sind, laufen noch mehr als 417 Millionen auf der betagten OS-Version. Auf Deutschland bezogen, können wir nur die Annäherungswerte von Statcounter [7] heranziehen, denen zufolge hierzulande noch 11,5 Prozent der Geräte auf Android 13 basieren.
Für Besitzer eines Smartphones oder Tablets, das noch mit Android 13 läuft, wäre es nun angesichts des Supportendes des Betriebssystems an der Zeit, sich nach einem Gerät umzusehen, das regelmäßig mit systemrelevanten Sicherheitspatches versehen wird. Derzeit befindet sich das Update auf Android 17 [8] in der Fertigstellung und wird im Juni 2026 erwartet.
URL dieses Artikels:
https://www.heise.de/-11262547
Links in diesem Artikel:
[1] https://www.heise.de/news/Pixels-zuerst-Android-13-ist-fertig-7221039.html
[2] https://www.heise.de/news/Aus-fuer-Android-12-und-12L-Google-beendet-Support-fuer-Millionen-Geraete-10352204.html
[3] https://source.android.com/docs/security/bulletin/2026/2026-03-01?hl=de
[4] https://www.heise.de/news/Schlecht-fuer-Custom-ROMs-Google-aendert-Android-Sicherheitspatch-Strategie-10645581.html
[5] https://www.heise.de/news/Patchday-Attacken-auf-Geraete-mit-Android-13-14-15-und-16-beobachtet-11099576.html
[6] https://www.heise.de/news/Neue-Zahlen-zur-Versionsverteilung-Android-16-mit-7-5-Prozent-Marktanteil-11161849.html
[7] https://gs.statcounter.com/android-version-market-share/all/germany
[8] https://www.heise.de/thema/Android-17
[9] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[10] mailto:afl@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien /Yubico)
Yubico warnt vor einer Suchpfad-Schwachstelle im YubiKey Manager, libfido2 und python-fido2. Updates korrigieren die Fehler.
Eine Schwachstelle in YubiKey Manager, libfido2 und python-fido2 ermöglicht Angreifern, der Software Schadcode unterzuschieben. Yubico stellt aktualisierte Softwarepakete bereit, die die Lücken stopfen sollen.
Davor warnt Yubico in einer Sicherheitsmitteilung [1]. Für die Open-Source-Projekte YubiKey Manager [2], libfido2 [3] sowie python-fido2 [4] stehen seit Mittwoch dieser Woche aktualisierte Quellen respektive Installer bereit. Sie schließen alle Schwachstellen, die unter Windows aufgrund eines Problems mit dem DLL-Suchpfad auftreten können. Haben Angreifer die Möglichkeit, Dateien im Installationsverzeichnis der betroffenen Software abzulegen, können sie dadurch eigenen Code zur Ausführung bringen.
Die verwundbare Software nutzt die Funktionen LoadLibrary(TEXT("DLL_NAME")), was den Suchpfad nicht auf das System32-Verzeichnis beschränkt. Durch die Nutzung von LoadLibraryExW(L"DLL_NAME", NULL, LOAD_LIBRARY_SEARCH_SYSTEM32) respektive WinDLL("DLL_NAME", winmode=LOAD_LIBRARY_SEARCH_SYSTEM32) korrigieren die Yubico-Entwickler den sicherheitsrelevanten Fehler jedoch. Wenn die betroffene Software mit Administratorrechten auf den Verzeichnissen geschützt ist, würden Angreifer ebenfalls diese Zugriffsrechte benötigen, schränkt Yubico jedoch ein (CVE-2026-40947, CVSS 7.0, Risiko „hoch“). Abweichend von Yubicos Einschätzung stuft MITRE die Lücke [5] lediglich als niedriges Risiko ein (CVSS 2.9, Risiko „niedrig“).
Yubico empfiehlt Nutzern und Nutzerinnen, auf die fehlerkorrigierten Versionen zu aktualisieren: libfido2 1.17.0, python-fido2 2.2.0 sowie yubikey-manager 5.9.1. Entwickler, die die verwundbaren Bibliotheken in ihren Apps verwenden, sollten die Microsoft-Hinweise zum Schutz vor DLL-Preloading-Angriffen [6] nachvollziehen, um ihre Software vor diesen Arten von Angriffen zu schützen.
Vor rund zwei Jahren hatte Yubico bereits eine Sicherheitslücke in YubiKey Manager geschlossen, die Angreifern die Ausweitung [7] ihrer Rechte im System ermöglichte. Im September 2024 erlangte ein Cloning-Angriff über einen Seitenkanal in der Firmware von Yubikey-Hardware Bekanntheit. Er hat den Namen EUCLEAK [8] erhalten.
URL dieses Artikels:
https://www.heise.de/-11262018
Links in diesem Artikel:
[1] https://www.yubico.com/support/security-advisories/ysa-2026-01/
[2] https://developers.yubico.com/yubikey-manager/Releases/
[3] https://github.com/Yubico/libfido2
[4] https://github.com/Yubico/python-fido2
[5] https://nvd.nist.gov/vuln/detail/CVE-2026-40947
[6] https://support.microsoft.com/en-us/topic/secure-loading-of-libraries-to-prevent-dll-preloading-attacks-d41303ec-0748-9211-f317-2edc819682e1
[7] https://www.heise.de/news/FIDO2-Sticks-Luecke-in-Yubikey-Verwaltungssoftware-erlaubt-Rechteausweitung-9690597.html
[8] https://www.heise.de/news/Yubikey-Cloning-Angriff-Offenbar-moeglich-aber-nicht-trivial-9856972.html
[9] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[10] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Desintegrator/Shutterstock.com)
Alle Welt redet darüber, wie gefährlich Anthropics neue KI sein könnte. Jürgen Schmidt von heise security konzentriert sich lieber darauf, was jetzt zu tun ist.
Anthropics Mythos und die Kommentare und Analysen rund um diese (Nicht-)Veröffentlichung dominieren das Security-Geschehen – und das zu Recht: Wir befinden uns aktuell mitten in einer Singularität, wie sie die IT-Security in den vergangenen 10 Jahren nicht gesehen hat. Allerdings produziert das auch Hype, der von den eigentlich wichtigen Dingen ablenkt. Nicht zuletzt deshalb, weil Anthropic sich entschieden hat, das Ganze vor allem als PR-Booster der eigenen Interessen zu nutzen. Deshalb möchte ich einen Schritt zurücktreten und nüchtern analysieren, was tatsächlich das Problem ist, mit dem wir uns konfrontiert sehen – und was daraus für die jetzt nötigen Schritte folgt.
Zunächst: Das Problem ist nicht Anthropics Mythos [1]. Auch andere LLMs hätten die von Mythos aufgedeckten Sicherheitslücken finden können; der aktuelle Vorsprung von Anthropic ist angesichts der sich abzeichnenden Entwicklung nicht relevant. Es ist auch nicht so, dass Angreifer jetzt plötzlich neue, nie dagewesene Fähigkeiten hätten, denen wir machtlos gegenüberstehen. Unser Problem ist Folgendes: LLMs haben jetzt die Fähigkeit, selbstständig echte Sicherheitslücken in Software zu finden. Sie können diese aber (noch?) nicht selbst beseitigen – und auch wenn sie das könnten, wären diese Fixes noch lange nicht beim Nutzer angekommen. Sprich: Das Finden und Ausnutzen von Sicherheitslücken lässt sich vollständig automatisieren und in industriellem Maßstab hochskalieren. Das Fixen dieser Lücken hingegen erfordert immer noch viel menschliche Beteiligung und wird deshalb auf absehbare Zeit deutlich langsamer erfolgen.
Und das alles wird rasant noch sehr viel schlimmer werden. Die existierenden Bug-Fixing-Kapazitäten werden bereits jetzt in die Sättigung getrieben, während die Fähigkeit, neue Bugs zu finden, auf absehbare Zeit weiter steigen wird. Denn die befindet sich aktuell noch in einer sehr frühen Phase. Daraus folgt unmittelbar, dass uns eine Zeit bevorsteht, in der KIs sehr viel mehr Bugs finden, als gefixt werden können. Jedes System, das für Angreifer erreichbar ist, wird angreifbar sein, es wird angegriffen werden und es wird zu einer lange nicht dagewesenen Zahl von Sicherheitsvorfällen kommen. Wie lange diese Phase andauern wird und was danach kommt, werde ich später noch diskutieren. Wichtig ist jetzt erst mal, was sich bereits daraus ableiten lässt. Das Allerwichtigste:
Die Situation ist akut und jede:r, der/die für die Sicherheit von IT verantwortlich ist, sollte unmittelbar handeln und sich darauf vorbereiten.
Das lässt sich nicht mehr wegdiskutieren und „erstmal abwarten“ führt zu absehbaren Katastrophen. Die jetzt dringend erforderlichen Maßnahmen fallen in folgende Bereiche:
Ja, genau – das ist nichts Neues. All das hätte man bereits vor sechs Monaten genau so empfehlen können – und tatsächlich habe ich das sogar. Das kommt unter anderem daher, dass die KIs bislang keine neuartigen Schwachstellen aufdecken. Ob das so bleiben wird, ist eine andere, spannende Frage, die ich mir für später aufhebe. Doch alles, was Mythos & Co derzeit finden, hätte vor sechs Monaten auch ein Mensch aufspüren können. Nur war eben die Wahrscheinlichkeit für jeden einzelnen Fund so gering, dass wir uns da an vielen Stellen auch mit faulen Kompromissen irgendwie durchmogeln konnten. In diesem Bewusstsein haben wir über viele Jahre eine große Menge an Security-Schulden angehäuft. Und die werden jetzt fällig. Also in den nächsten sechs bis zwölf Monaten – um da mal eine konkrete Zahl in den Raum zu stellen. Und die werden ganz bitter.
Deshalb ist es jetzt allerhöchste Zeit, sich darauf vorzubereiten. Also die oben aufgeführten Maßnahmen unter diesem Gesichtspunkt neu zu evaluieren und mit hoher Priorität auf die Agenda der nächsten Monate zu setzen. Da kann der Hype rund um Mythos sogar helfen. Selbst die Geschäftsführung hat vielleicht vom aufziehenden AI Vulnerability Storm [2] und der Notwendigkeit gehört, sich auf Mythos vorzubereiten. Das liefert Anknüpfungspunkte, eigene Vorschläge zur Neubewertung der IT-Sicherheit zu unterbreiten.
Die werden fast schon zwangsläufig auch die Nutzung von KI einfordern, weil man nur mit deren Unterstützung die notwendige Geschwindigkeit bei der Umsetzung und bei der Abarbeitung der neuen Prozesse hinbekommen kann. Doch vieles geht auch ganz oder weitgehend ohne KI. Und das ist deshalb nicht weniger wichtig – im Gegenteil. Denn wie man etwa KI möglichst robust in den Update-/Patch-Zyklus einbaut, ist noch längst nicht wirklich klar. Wir können aktuell nur hoffen, dass die IT-Security-Industrie gemeinsam mit den KI-Firmen und Software-Entwicklern praktikable Lösungen findet und bereitstellt. Da kommen Anthropics Glasswing [3], OpenAIs Aardvark [4] und unzählige innovative Projekte von KI-Startups wie AISLE [5] und ZeroPath [6] ins Spiel.
Doch noch wichtiger sind jetzt die klassischen Security-Basics, die wir viel zu lange vernachlässigt haben. Für Maßnahmen wie Segmentierung, Least Privilege, MFA oder auch Monitoring mit Deception und so weiter gibt es nämlich bereits bewährte Konzepte und Leitfäden. Deshalb würde ich solche soliden Security-Grundlagen sogar höher priorisieren und kurzfristiger umsetzen als zukunftsweisende, wirklich KI-getriebene Prozesse.
Trotz all der Kassandra-Rufe sehe ich die Rolle von KI in der IT-Sicherheit langfristig eher positiv. Denn es ist ja nicht so, dass wir da aktuell ein gut funktionierendes Gesamtkonzept hätten – ganz im Gegenteil. Das knirscht und versagt bereits seit Jahren an allen Ecken und Enden. Langfristig habe ich die Hoffnung, dass wir einen Zustand erreichen, in dem Verteidiger mehr von den Fähigkeiten der LLMs profitieren als die Angreifer. Denn das Fixen von Bugs skaliert letztlich besser als das Ausnutzen mit Real-World-Exploits. Und damit wird es realistisch, dass Software und die darauf aufbauende IT weitgehend sicher und resilient wird. Doch da reden wir von einem Zeithorizont von mehreren Jahren – und einem langen Weg, mit vielen Unbekannten und zahlreichen Möglichkeiten, völlig falsch abzubiegen. Sprich: „Die Lage ist hoffnungslos, aber nicht ernst.“
Diese Analyse schrieb Jürgen Schmidt ursprünglich für den exklusiven Newsletter von heise security PRO [7], wo er jede Woche das Geschehen in der IT-Security-Welt für Sicherheitsverantwortliche in Unternehmen einordnet:
URL dieses Artikels:
https://www.heise.de/-11260797
Links in diesem Artikel:
[1] https://www.heise.de/news/Anthropics-neues-KI-Modell-Mythos-Zu-gefaehrlich-fuer-die-Oeffentlichkeit-11248034.html
[2] https://labs.cloudsecurityalliance.org/research/ai-vulnerability-storm-mythos-ready-security-program/
[3] https://www.anthropic.com/glasswing
[4] https://openai.com/index/introducing-aardvark/
[5] https://aisle.com/platform
[6] https://zeropath.com/
[7] https://pro.heise.de/security/
[8] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[9] mailto:ju@heise.de
Copyright © 2026 Heise Medien
(Bild: heise online / dmk)
Die Updates für Windows Server im April haben Nebenwirkungen. Server starten unerwartet neu oder erlauben keine Admin-Anmeldungen.
Die Windows-Sicherheitsupdates insbesondere für Server aus dem April [1] haben teils schwerwiegende Nebenwirkungen. Einige Windows-Server starten unerwartet neu. Außerdem gibt es Hinweise, dass Domain-Admin-Logins unter Umständen gestört sein könnten. Ein Problem mit unerwarteten Migrationen zu Server 2025 hat Microsoft hingegen gelöst.
Microsoft [2] räumt im Message Center der Windows-Release-Health-Notizen einige der Probleme ein. Nach der Installation des Sicherheitsupdates KB5082063 können [3] „non-Global Catalog“ Domänen-Controller in Umgebungen mit privilegierter Zugangsverwaltung (Privileged Access Management, PAM) Abstürze des LSASS-Dienstes erleiden. In der Folge starten die Server wiederholt neu, wodurch Authentifizierung und Directory-Services nicht laufen – die Domäne ist dann nicht verfügbar. Betroffen sind alle Windows-Server ab Version 2016. Ein Gegenmittel rückt der Microsoft-Business-Support nur auf Anfrage raus. Die Entwickler arbeiten jedoch an einem automatischen Update, um das zu korrigieren.
Uns erreichte ein Leserhinweis, demzufolge es nach den April-Sicherheitsupdates möglicherweise Probleme mit der Anmeldung als Domain-Admin gibt. Laut Fehlermeldung sei das Passwort falsch. Das trat auf mehreren Windows Server 2025 DCE auf. Ein Passwort-Reset mittels der „utilman.exe“-Methode hilft in der Situation. Dahinter verbirgt sich das Umbenennen der „utilman.exe“ aus dem Systemverzeichnis und das Umkopieren von „cmd.exe“ in „utilman.exe“ von einer Boot-DVD aus. Nach dem Systemneustart führt der Aufruf der Optionen zur erleichterten Bedienung dadurch zum Öffnen einer Eingabeaufforderung, an der sich mittels net user <username> <neues passwort> das Passwort ändern und anschließend nutzen lässt.
Es gibt aber auch gute Nachrichten. Microsoft hat die optionalen Upgrades auf Windows Server 2025 wieder scharfgeschaltet. Im November 2024 hatte das Unternehmen das Angebot gestoppt, da dadurch unerwartet und ungeplant einige Server selbständig [4] auf Windows Server 2025 migriert haben. Das betraf insbesondere Umgebungen, die die Softwareverwaltung mit Tools von nicht genannten Drittanbietern verwalten. Laut Eintrag im Message-Center [5] konnten die Entwickler das Problem jetzt aber lösen, Windows Server 2025 steht nun wieder als optionales Update zur Verfügung.
URL dieses Artikels:
https://www.heise.de/-11261652
Links in diesem Artikel:
[1] https://www.heise.de/news/Patchday-Angreifer-attackieren-Edge-und-Microsoft-SharePoint-Server-11257867.html
[2] https://www.heise.de/thema/Microsoft
[3] https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2025#4833msgdesc
[4] https://www.heise.de/news/Microsoft-Windows-Server-automatisch-auf-Version-2025-aktualisiert-10014288.html
[5] https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2025#3404msgdesc
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: solarseven/Shutterstock.com)
Derzeit nutzen Angreifer eine kritische Sicherheitslücke in nginx-ui aus. Davon sind auch Instanzen in Deutschland bedroht.
Sicherheitsforscher warnen vor weltweiten Attacken auf Nginx-Webserver. Dabei erlangen Angreifer die volle Kontrolle über Server. Ein Sicherheitspatch ist seit März dieses Jahres verfügbar, aber offensichtlich noch nicht flächendeckend installiert.
Auch hierzulande sind den Forschern zufolge noch verwundbare Server öffentlich über das Internet erreichbar. In welchem Umfang die Attacken ablaufen, ist aber derzeit unklar.
Die „kritische“ Schwachstelle (CVE-2026-33032) betrifft einer Warnmeldung zufolge [1] nginx-ui MCP (Model Context Protocol). Weil über /mcp_message erreichbare HTTP-Endpoints ohne Authentifizierung ansprechbar sind, können entfernte Angreifer mit präparierten HTTP-Anfragen an der Schwachstelle ansetzen. Im Anschluss können sie unter anderem Konfigurationen ändern und so die volle Kontrolle über Instanzen erlangen.
Vor den Attacken warnen unter anderem Sicherheitsforscher von Pluto in einem Bericht [2]. Darin zeigen sie ausführlich, wie Attacken ablaufen und wie sich das Sicherheitsproblem zusammensetzt. Zusätzlich geben sie an, dass sie über die Suchmaschine Shodan weltweit auf fast 2700 verwundbare, über das Internet erreichbare Instanzen gestoßen sind. Der Großteil davon ist in China und den USA. In Deutschland sind es dem Scan zufolge 235 Instanzen.
Die dagegen abgesicherte nginx-ui-Version v.2.3.4 steht seit Mitte März dieses Jahres zum Download [3]. Aktuell ist die Ausgabe v.2.3.6. Serveradmins sollten umgehend reagieren. Wer den Sicherheitspatch nicht sofort installieren kann, sollte für einen temporären Schutz MCP deaktivieren.
Im Beitrag der Sicherheitsforscher finden Admins Hinweise [4], woran sie bereits erfolgreich attackierte Systeme erkennen können.
URL dieses Artikels:
https://www.heise.de/-11261670
Links in diesem Artikel:
[1] https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-h6c2-x2m2-mwhf
[2] https://pluto.security/blog/mcp-bug-nginx-security-vulnerability-cvss-9-8/
[3] https://github.com/0xJacky/nginx-ui/releases/tag/v2.3.4
[4] https://pluto.security/blog/mcp-bug-nginx-security-vulnerability-cvss-9-8/
[5] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:des@heise.de
Copyright © 2026 Heise Medien
Michael O. Rabin
(Bild: Andrej Bauer, CC BY-SA 2.5 SI)
Im Alter von 94 Jahren ist Michael Oser Rabin gestorben. Er war der einzige Empfänger des Turing-Awards, der im Deutschen Reich geboren wurde.
Michael O. Rabin wurde als Sohn des Rabbiners Israel Rabin und der Schriftstellerin Ester Rabin am 1. September 1931 in Breslau geboren. Die Familie wanderte 1935 in das britische Mandatsgebiet für Palästina aus. Sein mathematisches Interesse wurde durch seinen Lehrer Elisha Netanyahu mit der Aufnahme in einen kleinen Kreis interessierter Schüler gefördert. Als er mit 16 Jahren 1948 im israelisch-arabischen Krieg in die Armee eingezogen werden sollte, setzte sich der berühmte Mathematiker Abraham Fraenkel für seine weitere Ausbildung an der Universität ein. 1952 schloss Rabin das Studium mit einer Masterarbeit über ein von Emmy Noether entdecktes Problem ab, was ihm ein Stipendium an der Universität Princeton einbrachte. Dort studierte er zusammen mit Dana Scott bei Alonzo Church [1], bei dem auch Alan Turing studiert hatte.
Rabin und Scott wurden im Sommer 1957 von IBM eingeladen und schrieben dort die Arbeit über „Finite Automata and Their Decision Problems“, in der sie sich mit den (heute so genannten) neuronalen Netzwerken von Warren McCulloch und Walter Pitts [2] beschäftigten. 1956 hatte der Logiker Stephen Cole Kleene mit seinem Theorem die Klasse der regulären Sprachen in die Informatik eingeführt und deshalb konnten Rabin und Scott mit ihrer Arbeit über nichtdeterministische Automaten Kleenes Annahmen bestätigen. „Wir hatten eigentlich keinen tieferen philosophischen Grund, diesen Nichtdeterminismus in Betracht zu ziehen, obwohl er, wie wir heute wissen, im Zentrum der P = NP-Frage steht – einem Problem von immenser praktischer und theoretischer Bedeutung. Für uns war das lediglich eine von mehreren Varianten“, sagte Rabin im Interview [3] über seinen Lebensweg, das er seinem Schüler Dennis Shasha gewährte. Im Jahre 1976 bekamen er und Scott für diese Arbeit den Turing Award [4], was bis heute Gegenstand von angeregten Diskussionen [5] ist.
Nach dieser Episode beschäftigte sich Rabin mit kryptographischen Problemen, angeregt über ein Problem, das ihm John McCarthy [6] gestellt hat: Wie kann ein Spion, der sein Passwort sagt, zuverlässig von einem Wächter erkannt werden, der das Passwort errechnen soll? Die Antwort war der Aufsatz „Probabilistic Algorithm for Testing Primality“ von Rabin. Der Primzahlentest, heute als Miller-Rabin-Test [7] bekannt, liefert nach sechs Tests bei langen Zahlen schnell mit einer Wahrscheinlichkeit von 99,9 Prozent die Antwort auf die Frage, ob eine Zahl eine Primzahl ist und wird deshalb in vielen kryptografischen Anwendungen eingesetzt. Mit seinem Aufsatz „Digitalized Signatures and Public-Key Functions as Intractable as Factorization“ lieferte Rabin 1979 die Grundlagen für das Rabin-Kryptosystem, das im Gegensatz zum Primzahlentest kaum genutzt wird.
Später war Rabin nach jahrelanger Forschung und Lehre an der Hebrew University, deren Rektor er zeitweilig war, ab 1982 wieder bei IBM und gehörte dort bis 1994 zum Science Advisory Committee. 1987 entwickelte er mit Richard M. Karp den Rabin-Karp-Algorithmus, der bei der Suche nach Plagiaten mit einem effizienten Hash-Verfahren aufwartet. Im Interview über seinen Lebensweg schildert er, wie wichtig die Rolle des Zufalls für seine Arbeit gewesen ist. „Das Einwirken von Zufall bei so vielen algorithmischen Problemen ist mir völlig rätselhaft. Es ist effizient, es funktioniert; aber warum und wie, ist mir ein absolutes Rätsel. Algorithmen benötigen in ihrer Reinform eine physikalische Zufallsquelle. Es handelt sich also um eine Art Zusammenarbeit zwischen uns Informatikern und der Natur als Quelle des Zufalls. Das ist einzigartig und wirft einige Fragen in der Physik und Philosophie auf.“
URL dieses Artikels:
https://www.heise.de/-11261362
Links in diesem Artikel:
[1] https://www.genealogy.math.ndsu.nodak.edu/id.php?id=8011
[2] https://www.heise.de/hintergrund/Zahlen-bitte-Von-2-AND-1-OR-0-NOT-die-wegweisende-McCulloch-Pitts-Zelle-6268289.html
[3] https://cacm.acm.org/news/an-interview-with-michael-rabin/
[4] https://amturing.acm.org/award_winners/rabin_9681074.cfm
[5] https://rjlipton.com/2023/01/19/rabin-scott-time/
[6] https://www.heise.de/news/Requiescat-in-pace-Zum-Tod-von-John-McCarthy-1366069.html
[7] https://asecuritysite.com/primes/rabintest?val=982451652
[8] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[9] mailto:mho@heise.de
Copyright © 2026 Heise Medien
(Bild: Bundeswehr/Dagmar Benner)
Wegen akuter Abhörgefahren durch Russland und China verschärft das Verteidigungsministerium die Regeln für Smartphones und Smartwatches in sensiblen Bereichen.
Im Bundesverteidigungsministerium herrscht Alarmstimmung. Das Haus von Minister Boris Pistorius (SPD) reagiert mit einer dringlichen Sicherheitsanweisung auf die wachsende Bedrohung durch ausländische Geheimdienste. Die Nutzung privater Mobilgeräte sei in sensiblen Bereichen des Wehrressorts sowie in den Dienststellen der Bundeswehr deutlich eingeschränkt worden, schreibt der Spiegel. Die Maßnahme ziele darauf ab, die Kommunikation innerhalb des Apparats vor den neugierigen digitalen Augen und Ohren fremder Mächte zu schützen. Denn das Spionagerisiko wird als so hoch wie selten zuvor eingestuft.
Kern der neuen Richtlinie ist ein striktes Mitbringverbot für private Smartphones, Tablets und sogar Smartwatches bei Besprechungen. Dies gilt laut dem Bericht [1] nicht nur für physische Treffen in den Konferenzräumen. Betroffen seien auch virtuelle Zusammenkünfte, sobald dort Informationen geteilt würden, die mindestens als „Verschlusssache – nur für den Dienstgebrauch“ eingestuft sind.
Im Fokus stehen dabei Runden, in denen es um die Einsatzbereitschaft der Truppe oder die konkrete Planung von Übungsvorhaben und Einsätzen geht. In solchen Fällen müssen die privaten Begleiter zwingend in Schließfächern auf den Fluren verweilen.
Die Tragweite der Entscheidung wird beim Blick auf die räumlichen Konsequenzen deutlich. Die Regelung beschränkt sich nämlich nicht auf explizite Sitzungssäle. Sie erstreckt sich auch auf sämtliche Amtsstuben, in denen als Verschlusssache eingestufte Dokumente lagern. Im Berliner Bendlerblock, dem Hauptsitz des Ministeriums, betrifft das fast jedes Dienstzimmer. Für die Beamten sowie das militärische Personal bedeutet das eine Rückkehr zur strikten Trennung von Privatem und Dienstlichem, die im digitalen Zeitalter vielerorts brüchig geworden ist.
Die Begründung der Sicherheitsabteilung lässt wenig Spielraum für Interpretation. Die Bundeswehr gilt derzeit als eines der prioritären Aufklärungsziele russischer Dienste. Doch nicht nur der Kreml bereitet Sorgen: Auch China wird in der internen Anweisung explizit erwähnt. Demnach verfolgt Peking einen strategischen und langfristigen Ansatz bei der nachrichtendienstlichen Informationsgewinnung.
Die privaten Geräte der Mitarbeiter werden dabei als Achillesferse identifiziert. Während dienstliche Mobiltelefone regelmäßig auf Schadsoftware geprüft werden und speziell abgesichert sind, entziehen sich Privatgeräte der staatlichen Kontrolle.
Das Risiko ist technischer Natur: Über manipulierte Apps oder gezielte Phishing-Angriffe lassen sich Abhörprogramme relativ simpel auf herkömmlichen Smartphones installieren. Da das Ministerium keinen Zugriff auf die privaten Geräte hat, könnten solche Infektionen über Monate oder Jahre unbemerkt bleiben. Das Smartphone in der Hosentasche wird so zum potenziellen Sender, der sensible Details über die Verteidigungsfähigkeit des Landes direkt an gegnerische Geheimdienste übermittelt.
Die Anweisung trifft eine Belegschaft, die sich an die ständige Erreichbarkeit gewöhnt hat. Zwar ist das Personal nahezu flächendeckend mit Dienst-Handys ausgestattet, auf denen auch die Bearbeitung eingestufter Dokumente möglich ist. Doch diese Geräte unterliegen strengen Software-Beschränkungen. Gängige Messenger wie WhatsApp sind dort aus Sicherheitsgründen tabu. Das führte dazu, dass von einfachen Angestellten bis hinauf in die Leitungsebene fast jeder sein privates Zweitgerät ständig bei sich trägt, um privat vernetzt zu bleiben. Damit soll nun in den sicherheitsrelevanten Zonen Schluss sein.
Andere Institutionen haben noch schärfere Vorgaben. Beim Bundesnachrichtendienst (BND) etwa ist das Mitführen privater Elektronik schon lange grundsätzlich untersagt. Auch die NATO setzt auf drakonische Einschränkungen.
URL dieses Artikels:
https://www.heise.de/-11261358
Links in diesem Artikel:
[1] https://www.spiegel.de/politik/deutschland/boris-pistorius-verbannt-privathandys-aus-den-amtsstuben-spionagegefahr-a-f3e7b805-fcf6-4c42-ab20-dbd1cd1fa683
[2] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[3] mailto:mma@heise.de
Copyright © 2026 Heise Medien
(Bild: Tero Vesalainen/Shutterstock.com)
Bundeskriminalamt und Generalstaatsanwaltschaft Frankfurt sind mit internationalen Partnern gegen sogenannte Stresserdienste vorgegangen. Es gab Festnahmen.
Die „Power Off“ genannte Operation sollte Betreiber von Stresserdiensten, mit denen auch technisch weitgehend ahnungslose Nutzer verteilte Überlastungsangriffe buchen konnten, unter Druck setzen. So ein Distributed-Denial-of-Service (DDoS) legt durch viele gleichzeitige Zugriffe Dienste lahm. Bei der Operation gingen das Bundeskriminalamt, die Zentralstelle zur Bekämpfung der Internetkriminalität und internationale Partner koordiniert vor, um Angebote auszuschalten und Tatbeteiligte zu erreichen. Die Zentralstelle ist Teil der Generalstaatsanwaltschaft Frankfurt am Main und bei solchen Verfahren in Deutschland oft federführend.
Die „Stressoren“ werden dabei aus ganz unterschiedlichen Gründen gebucht. „Haktivistische Gruppierungen versuchen unsere Gesellschaft unter Druck zu setzen, Online-Gamer versprechen sich Wettbewerbsvorteile“, erklärt Carsten Meywirth, der beim BKA die Abteilung Cybercrime leitet. Der Leiter der ZIT Benjamin Krause sieht hier ein Muster: „Gerade jüngere Beschuldigte, unter anderem in der Gaming-Szene, nutzen häufig Stresserdienste als vermeintlich harmlosen Spaß oder um sich Vorteile in Spielen zu verschaffen.“ Das Stören fremder Systeme sei jedoch kein Spiel, sondern eine Straftat, betonen die Behörden.
Ein Verfahren in dem Zusammenhang richtet sich laut den deutschen Behörden gegen einen deutschen Staatsbürger, der im Ausland lebt und mit „Fluxstress“ sowie „Netdowner“ zwei der größten Angebote betrieben haben soll. Der Deutsche wurde in Thailand festgenommen, die deutschen Strafverfolger werfen ihm gewerbs- und bandenmäßiges Betreiben einer kriminellen Handelsplattform vor. Bei insgesamt 150 Maßnahmen und 16 Durchsuchungen in 21 Ländern seien in Polen nun zudem zwei mutmaßliche Administratoren und ein weiterer Tatbeteiligter festgenommen worden.
Seit 2019 versuchen die Strafverfolgungsbehörden den Verfolgungsdruck auf derartige „Crime-as-a-Service“-Angebote im Rahmen internationaler Aktionen zu erhöhen und setzen auch auf Abschreckung: Warnhinweise und direkter Kontakt zu Kunden der kriminellen Dienste gehören zum Instrumentarium der Ermittler. Vier Verhaftungen und 53 Domain-Takedowns listet die Website der Operation Power Off [1] derzeit auf – die Behörden gehen davon aus, dass diese Zahlen nach dem heutigen Tag weiter steigen werden. Das Projekt besteht seit Jahren und richtet sich gegen verschiedene Cybercrime-Angebote, immer wieder auch gegen DDoS-Anbieter [2].
URL dieses Artikels:
https://www.heise.de/-11261177
Links in diesem Artikel:
[1] https://www.operation-poweroff.com/
[2] https://www.heise.de/news/Polizei-schliesst-Drogen-Marktplatz-und-DDoS-Booter-10002579.html
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:cku@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Updates für Google Chrome aus der Nacht zum Donnerstag schließen 31 Sicherheitslücken. Fünf davon gelten als kritisches Risiko.
Wer mit Chrome und Chromium-basierten Webbrowsern unterwegs ist, sollte sicherstellen, den aktuellen Softwarestand einzusetzen. Google hat Updates veröffentlicht, mit denen die Entwickler 31 Sicherheitslücken schließen. Fünf davon gelten als kritisch, sie erlauben Angreifern das Einschleusen von Schadcode.
In der Versionsankündigung listen Googles Entwickler [1] die Schwachstellen auf. Manipulierte Webseiten können einen Heap-basierten Pufferüberlauf im WebGL-Backend ANGLE auslösen und dadurch aus der Sandbox ausbrechen (CVE-2026-6296 [2], CVSS 9.6, Risiko „kritisch“). Der Fehlerbericht war Google 90.000 US-Dollar wert, das ist damit eine der bislang höchsten Auszahlungen für eine Chrome-Sicherheitslücke.
Die Proxy-Komponente erlaubt ebenfalls aufgrund einer „Use-after-free“-Schwachstelle, dass Angreifer in „privilegierter Netzwerk-Position“ mit sorgsam präparierten Webseiten aus der Sandbox ausbrechen (CVE-2026-6297 [3], CVSS 8.3, Risiko „hoch“, laut Google aber „kritisch“). In der Grafikbibliothek Skia können manipulierte HTML-Seiten einen Heap-basierten Pufferüberlauf provozieren, der sensible Informationen aus dem Prozessspeicher entweichen lässt (CVE-2026-6298 [4], CVSS 4.3, Risiko „mittel“, laut Google „kritisch“).
Eine „Use-after-free“-Lücke beim Prerendering von Webseiten in Chrome [5] ermöglicht zudem das Einschleusen von Schadcode mit präparierten Webseiten (CVE-2026-6299 [6], CVSS 8.8, Risiko „hoch“, laut Google „kritisch“). In der „Extended Reality“-Komponente (XR) von Chrome auf Android können Angreifer zudem mit manipulierten HTML-Seiten Lesezugriffe außerhalb vorgesehener Speicherbereiche aufgrund einer „Use-after-free“-Lücke auslösen (CVE-2026-6358 [7], CVSS 8.8, Risiko „hoch“, laut Google „kritisch“).
Weitere 22 Sicherheitslücken stufen die Entwickler als hohes Risiko ein, vier zudem als mittleren Bedrohungsgrad. Die Schwachstellen will Google in den Versionen Chrome 147.0.7727.101 für Android und Linux sowie 147.0.7727.101/102 für macOS und Windows ausgebessert haben. Immerhin: Google erwähnt nichts davon, dass die Schwachstellen bereits im Internet attackiert würden.
Ob der Browser bereits aktuell ist, lässt sich im Versionsdialog feststellen. Der findet sich nach Klick auf das Browser-Menü, das sich hinter dem Symbol mit drei übereinander gestapelten Punkten rechts der Adressleiste verbirgt, und dort weiter über „Hilfe“ zu „Über Google Chrome“. Steht ein Update zur Verfügung, lädt der Dialog es herunter und bietet die Installation an. Unter Linux macht das in der Regel die Softwareverwaltung der Distribution. Auf Android-Smartphones kommt es jedoch oftmals zur verzögerten Auslieferung.
Da andere Browser wie Microsofts Edge auf dem Chromium-Code basieren, dürften sich die Schwachstellen auch darin finden. Auch hier sollten Nutzerinnen und Nutzer daher prüfen, ob Aktualisierungen bereitstehen, und diese anwenden.
Derzeit häufen sich die entdeckten und geschlossenen Sicherheitslücken in Chrome. Erst vergangene Woche haben die Entwickler sogar 60 Sicherheitslecks in Chrome [8] geschlossen.
URL dieses Artikels:
https://www.heise.de/-11259775
Links in diesem Artikel:
[1] https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-6296
[3] https://nvd.nist.gov/vuln/detail/CVE-2026-6297
[4] https://nvd.nist.gov/vuln/detail/CVE-2026-6298
[5] https://www.heise.de/thema/Chrome
[6] https://nvd.nist.gov/vuln/detail/CVE-2026-6299
[7] https://nvd.nist.gov/vuln/detail/CVE-2026-6358
[8] https://www.heise.de/news/Google-Chrome-147-Update-stopft-60-Sicherheitsluecken-davon-zwei-kritische-11249800.html
[9] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[10] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Superstar / Shutterstock.com)
Die Richtlinie ist noch immer zu unbekannt und Unternehmen ignorieren die Registrierungspflicht, konstatiert das BSI auf seinem Jahreskongress.
Auf dem 21. Deutschen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschäftigte sich am Mittwoch ein ganzer Vortragsblock mal wieder mit der NIS-2. Die EU-Richtlinie zur Absicherung von Unternehmenssoftware und -netzen trat im Oktober 2024 in Kraft und beschäftigt das BSI und seine Partner nach wie vor. Das liegt vor allem daran, dass bisher viel weniger Firmen die Vorschriften der Richtlinie erfüllen, als man eigentlich bei einem solchen Gesetz erwarten würde.
Wie Manuel Bach aus der BSI-Abteilung Cybersicherheit in der Wirtschaft in seiner Einführung ansprach, ist es sehr schwierig, konkrete Zahlen zur NIS-2-Umsetzung in der deutschen Wirtschaft zu erheben. Im BSI-Portal bleiben die Registrierungszahlen von Firmen, die laut dem Gesetz als „wichtige“ oder „besonders wichtige“ Einrichtungen dazu verpflichtet sind, nach wie vor unter den Erwartungen. Bis zum 6. März [1] hätten sich eigentlich alle entsprechenden Unternehmen beim BSI melden müssen.
Das BSI weiß von mehreren meldepflichtigen Unternehmen, die nach Konsultation der Firmenspitze mit Rechtsbeiständen zu dem Schluss gekommen sind, bewusst die eigene Firma nicht zu melden, so Bach weiter. Ein kürzlich veröffentlichter Bericht der Firma Schwarz Digits [2] legt nahe, dass dies keine Einzelfälle sind – Unternehmenslenker wollen wohl keine schlafenden Hunde wecken.
Bach wies in diesem Zusammenhang darauf hin, dass Geschäftsführungen das Thema ernst nehmen sollten – nicht nur wegen der im Gesetz festgeschriebenen persönlichen Haftung der Betriebsleitung. Nur weil man selbst der Meinung sei, die eigene Firma sei nicht meldepflichtig, entspräche das noch lange nicht der Realität. Bach verglich das mit der Steuerpflicht, da könne man auch nicht selbst entscheiden, ob diese zutreffe.
Dass sich viele Firmen bisher noch nicht beim BSI gemeldet haben, obwohl sie das eigentlich müssten, liegt aber wohl auch daran, dass in vielen Firmen nach wie vor das Bewusstsein fehlt, was die NIS-2 überhaupt ist [3]. Schlimmer noch, es gibt wohl aber auch noch eine große Anzahl an Firmen in Deutschland, die gar nicht wissen, dass die NIS-2 überhaupt existiert. Laut Manuel Bach hat das BSI im Rahmen einer Studie Ende letzten Jahres festgestellt, dass knapp die Hälfte der deutschen Unternehmen zu diesem Zeitpunkt noch nicht einmal den Begriff "NIS-2" gehört hatten.
Younes Ahmadzei, der sich im Rahmen seiner Bachelorarbeit an der Technischen Universität München [4] mit der Umsetzung der NIS-2 bei kleinen und mittelständischen Unternehmen in Deutschland beschäftigt hatte, zeichnete in seinem Vortrag ein ähnliches Bild. Viele der von ihm befragten Unternehmen hätten angegeben, sich erst seit Anfang 2026 mit der NIS-2 auseinanderzusetzen. Laut Ahmadzei sehen viele Firmenvertreter die Umsetzung des Gesetzes als reine Pflichtaufgabe und bezweifelten, dass die damit verbundenen Prozesse die IT-Sicherheit in ihrem Unternehmen verbessern würden.
Am Ende des Vortragsblocks zu diesem Thema stellte auch Manuel Bach vom BSI fest, dass die Bundesregierung – aber auch seine eigene Behörde – beim Thema NIS-2 noch viel Arbeit vor sich habe. Die geringe Kenntnis über dieses Thema in weiten Teilen der Wirtschaft deute klar darauf hin, dass hier noch viel Aufklärungsarbeit zu leisten sei. Und vor allem sieht es so aus, als ob ein nicht unerheblicher Teil der deutschen IT-Landschaft darüber hinaus dann auch noch davon überzeugt werden muss, dass die Umsetzung dieses EU-Gesetzes mehr als eine Arbeitsbeschaffungsmaßnahme durch EU-Kommission und BSI ist.
Wer sich beim Lesen dieser Meldung ertappt fühlt, findet im iX Workshop „NIS-2 - Anforderungen und Vorgaben“ [5] einen kompakten und praxisnahen Einstieg in die gesetzlichen Vorgaben und deren Umsetzung.
URL dieses Artikels:
https://www.heise.de/-11259349
Links in diesem Artikel:
[1] https://www.heise.de/news/BSI-11-500-kritische-Einrichtungen-unter-NIS2-registriert-11202673.html
[2] https://www.heise.de/news/Deutsche-Unternehmen-ignorieren-NIS2-Pflichten-massiv-11200728.html
[3] https://www.heise.de/news/Douglas-Adams-wuerde-NIS2-lieben-11204285.html
[4] https://home.cit.tum.de/~ahmadzei/bachelorarbeit-nis2.html
[5] https://heise-conferences.de/workshop/nis-2-anforderungen-und-vorgaben-3mmPhzjLWmXSea
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:cku@heise.de
Copyright © 2026 Heise Medien
(Bild: Prostock-studio/Shutterstock.com)
Kommissionschefin von der Leyen kündigt eine fertige Lösung zur Altersprüfung an, die anonymes Surfen ermöglichen und Plattformen in die Pflicht nehmen soll.
Die Zeit der unverbindlichen Appelle an große Tech-Konzerne scheint in Brüssel vorbei zu sein. In einer gemeinsamen Erklärung haben EU-Kommissionspräsidentin Ursula von der Leyen (CDU) und die für die Tech-Souveränität zuständige Vizepräsidentin Henna Virkkunen am Mittwoch den Startschuss für eine neue Ära des digitalen Jugendschutzes [1] gegeben. Kern der Offensive ist eine europaweite, von mehreren Staaten bereits getestete App zur Altersverifikation [2], die laut von der Leyen nun technisch bereit ist und in Kürze den Bürgern zur Verfügung stehen werde.
Damit reagiert die Kommission auf die Sorge über Risiken wie Online-Mobbing, Suchtfaktoren durch algorithmisches Design und Cyber-Grooming, also das Heranpirschen an Kinder und Jugendliche übers Netz. Die Diagnose der Kommissionschefin fällt düster aus: Jedes sechste Kind werde online gemobbt. Soziale Medien förderten ferner durch unendliches Scrollen Abhängigkeiten, die die Gehirnentwicklung beeinträchtigen könnten.
Da Plattformen bisher keine wirksamen Mechanismen vorweisen konnten, um Minderjährige vor schädlichen Inhalten zu schützen, greift die EU zur Selbsthilfe. Die neue App soll es Nutzern ermöglichen, ihr Alter gegenüber Online-Diensten nachzuweisen, ohne dabei die gesamte digitale Identität preiszugeben.
Technisch orientiert sich das Projekt am digitalen Covid-Zertifikat [3]. Wie beim Pandemie-Begleiter setzt die Kommission auf ein Modell, das auf Smartphones, Tablets und Computern funktioniert. Nach dem Download wird die App einmalig mit einem Ausweisdokument eingerichtet. Ein besonderes Augenmerk liegt auf der Privatsphäre. Von der Leyen betonte: Die Anwendung erfülle „die weltweit höchsten Datenschutzstandards“. Das Alter werde nachgewiesen, ohne weitere persönliche Informationen preiszugeben. Die App sei „vollkommen anonym – Nutzer können nicht zurückverfolgt werden.“
Die Anwendung basiert auf dem Zero-Knowledge-Proof [4]. Dieses kryptografische Prinzip ermöglicht es, die Korrektheit einer Information – hier das Erreichen eines bestimmten Alters – zu beweisen, ohne die zugrunde liegenden Daten selbst zu offenbaren. Das soll die informationelle Selbstbestimmung wahren. Plattformen erhalten lediglich die Bestätigung „alt genug“, ohne den Ausweis scannen zu müssen. Österreichs Alterskontrolle baut bereits auf diesem Verfahren auf [5].
Der Vorstoß ist eng mit der Durchsetzung des Digital Services Act (DSA) [6] verknüpft. Virkkunen machte deutlich, dass die Kommission gegen Unternehmen wie TikTok, Facebook oder Instagram bereits wegen suchterzeugender Designs vorgehe. Auch gegen pornografische Plattformen seien Maßnahmen eingeleitet worden, da diese oft keine funktionierenden Alterskontrollen verwendeten. Die neue Anwendung entzieht den Konzernen nun die Ausrede, es gäbe keine einfache technische Lösung.
Länder wie Frankreich, Italien und Irland gelten als Vorreiter und planen, die App in ihre nationalen digitalen Brieftaschen zu integrieren. Um einen Flickenteppich zu vermeiden, will Virkkunen noch diesen Monat einen EU-weiten Koordinierungsmechanismus für die Akkreditierung nationaler Lösungen schaffen. Der Quellcode der App ist im Rahmen der digitalen Bürgeridentität EUDI offen zugänglich [7], um Vertrauen zu schaffen und die Einbindung etwa auch in Firmenlösungen zu erleichtern. Hierzulande soll zunächst ein Expertengremium Empfehlungen für die Sicherheit von Kindern im Netz erarbeiten.
URL dieses Artikels:
https://www.heise.de/-11259317
Links in diesem Artikel:
[1] https://germany.representation.ec.europa.eu/news/kinderschutz-online-eu-app-zur-altersuberprufung-steht-2026-04-15_de
[2] https://www.heise.de/news/EU-App-zur-Alterskontrolle-Fuenf-Staaten-beginnen-mit-den-Tests-10487184.html
[3] https://www.heise.de/news/COVID-Zertifikat-EU-Schnittstelle-fuer-digitalen-Impfnachweis-ist-online-6059827.html
[4] https://www.heise.de/hintergrund/Zero-Knowledge-Proofs-2499391.html
[5] https://www.heise.de/news/Oesterreich-zieht-Reissleine-Social-Media-Verbot-fuer-unter-14-Jaehrige-kommt-11220002.html
[6] https://www.heise.de/news/Digital-Services-Act-Wie-die-EU-das-Internet-kuenftig-regulieren-wird-7063328.html
[7] https://github.com/eu-digital-identity-wallet
[8] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[9] mailto:mki@heise.de
Copyright © 2026 Heise Medien
(Bild: Photon photo / Shutterstock.com)
OpenSSL 4.0.0 ist da: Die Kryptobibliothek entfernt Altlasten, führt ECH für mehr Datenschutz ein und bereitet auf Post-Quantum-Kryptografie vor.
OpenSSL 4.0.0 ist erschienen und bringt tiefgreifende Änderungen an der weitverbreiteten Kryptobibliothek. Das Open-Source-Projekt entfernt veraltete Protokolle wie SSLv2 und SSLv3, schafft das Engine-Konzept ab, führt neue Datenschutzfunktionen im TLS-Handshake ein und erweitert die Bibliothek in Richtung Post-Quantum-Kryptografie. Gleichzeitig bereinigen die Entwickler die API und verschärfen sicherheitsrelevante Prüfungen.
OpenSSL gehört zu den zentralen TLS/SSL-Implementierungen und steckt in Webservern, Betriebssystemen, Netzwerkgeräten und unzähligen Anwendungen. Änderungen an der Bibliothek wirken sich unmittelbar auf die Absicherung von Netzwerkverbindungen, Zertifikatsprüfungen und kryptografische Operationen in großen Teilen der IT-Infrastruktur aus.
Zu den wichtigsten Neuerungen gehört die Unterstützung für Encrypted Client Hello (ECH) nach RFC 9849. ECH verschlüsselt Teile des TLS-Handshake – insbesondere die Server Name Indication (SNI). Bislang konnten Dritte wie Netzbetreiber anhand der SNI erkennen, welche Domain ein Client ansteuert. ECH verbirgt diese Information und verbessert so den Datenschutz auf Transportebene deutlich.
Neu sind außerdem hybride Schlüsselaustauschverfahren wie curveSM2MLKEM768. Sie kombinieren klassische elliptische Kurven mit Post-Quantum-Algorithmen und sollen Verbindungen schon heute gegen künftige Angriffe durch Quantencomputer absichern: Selbst wenn ein Angreifer eines der beiden Verfahren bricht, schützt das andere weiterhin die Verbindung.
Die Bibliothek ergänzt mehrere kryptografische Primitive und Standards. Dazu zählt die cSHAKE-Funktion nach SP 800-185 – eine flexiblere Variante von SHA-3, die domänenspezifische Hash-Berechnungen erlaubt. Hinzu kommen Unterstützung für den Signaturalgorithmus ML-DSA-MU sowie SM2/SM3 nach RFC 8998, die unter anderem in regulatorischen Kontexten eine Rolle spielen. Zudem führt OpenSSL 4.0.0 Key-Derivation-Funktionen (KDFs) für SNMP und das Secure Real-time Transport Protocol (SRTP) ein, die in Netzwerkmanagement- und VoIP-Szenarien zum Einsatz kommen. Für TLS 1.2 unterstützt OpenSSL nun außerdem standardisierte Finite-Field-Diffie-Hellman-Gruppen (FFDHE) gemäß RFC 7919. Das verbessert die Interoperabilität und vermeidet unsichere oder proprietäre Parameterwahl beim Schlüsselaustausch.
Die Zertifikatsvalidierung wird an mehreren Stellen strenger. Im Strict-Modus prüft OpenSSL nun zusätzlich die Authority Key Identifier (AKID), und auch die CRL-Prüfung erhält weitere Checks. Im FIPS-Modus erzwingt die Bibliothek jetzt Mindestanforderungen bei PBKDF2 – etwa bei der Zahl der Iterationen –, um schwache Konfigurationen zu unterbinden.
Neu ist außerdem die Möglichkeit, FIPS-Selbsttests verzögert auszuführen. Das ist vor allem in containerisierten Umgebungen nützlich.
Mit Version 4.0 räumt OpenSSL konsequent auf. Neben SSLv2 und SSLv3 fällt auch das Engine-Konzept weg. Hardwarebeschleunigung und externe Kryptomodule laufen künftig ausschließlich über die Provider-Architektur, die Engines bereits seit OpenSSL 3.0 ablöst. Ebenfalls entfernt: feste TLS-Versionsmethoden, ältere elliptische Kurven, diverse Low-Level-Funktionen und das Skript c_rehash. Stattdessen sollen Nutzer openssl rehash verwenden.
Bei der API gibt es mehrere Änderungen, die Anpassungen im Anwendungscode erfordern können. Zahlreiche Funktionssignaturen tragen jetzt const-Qualifier, der Datentyp ASN1_STRING ist nun vollständig gekapselt – Zugriff auf seine internen Felder ist nur noch über Zugriffsfunktionen möglich. Auch die Ausgabe von Hex-Dumps wurde standardisiert: Signaturen werden in 24-Byte-Blöcken dargestellt, alle anderen Daten in 16-Byte-Blöcken. Das soll die Lesbarkeit verbessern und die Ausgabe konsistenter machen. Und veraltete Funktionen zur Zeitprüfung von Zertifikaten weichen der neuen Funktion X509_check_certificate_times(). Auch beim Laufzeitverhalten gibt es Änderungen: OpenSSL verzichtet künftig auf automatisches Aufräumen globaler Daten über atexit() und setzt stärker auf Standardfunktionen der C-Laufzeitbibliothek, etwa bei snprintf.
Für Entwickler und Betreiber bedeutet das Release mehr Sicherheit und modernere Kryptografie – bei gleichzeitig erhöhtem Migrationsaufwand. Anwendungen, die direkt auf OpenSSL-APIs zugreifen oder ältere Funktionen nutzen, müssen angepasst werden. OpenSSL 4.0 legt damit die Grundlage für den Übergang zu post-quantenresistenten Verfahren und besseren Datenschutz im TLS-Handshake. Details zum neuen Release finden sich auf der zugehörigen GitHub-Projektseite [1].
URL dieses Artikels:
https://www.heise.de/-11259152
Links in diesem Artikel:
[1] https://github.com/openssl/openssl/releases/tag/openssl-4.0.0
[2] https://www.heise.de/ix
[3] mailto:fo@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Am April-Patchday behandelt SAP Schwachstellen mit 19 Sicherheitsnotizen. Eine kritische erlaubt das Einschleusen von SQL-Befehlen.
SAP kümmert sich am April-Patchday [1] in 19 neuen Sicherheitsnotizen um Schwachstellen in diversen Produkten. Eine davon gilt als kritisch und erlaubt Angreifern das Einschleusen von SQL-Befehlen, eine weitere als hochriskant. Einen Großteil der Sicherheitslecks hat das Unternehmen als mittleres Risiko eingestuft, zwei sogar nur als niedrigen Bedrohungsgrad.
Die Patchday-Übersicht für den April von SAP [2] listet die einzelnen Schwachstellen sowie zugehörige CVE-Schwachstelleneinträge auf. Am schwerwiegendsten ist eine unzureichende Autorisierungsprüfung in SAP Business Planning and Consolidation sowie in SAP Business Warehouse, durch die authentifizierte Nutzer und Nutzerinnen manipulierte SQL-Statements zum Lesen, Verändern und Löschen von Datenbank-Daten ausführen können (CVE-2026-27681 [3], CVSS 9.9, Risiko „kritisch“).
Als hochriskant gilt den Entwicklern eine fehlende Autorisierungsprüfung in SAP ERP und SAP S/4HANA sowohl in der Private Cloud als auch On-Premise. Die ermöglicht angemeldeten Angreifern, einen bestimmten ABAP-Report auszuführen und damit jeden bestehenden achtstelligen ausführbaren ABAP-Report unbefugt zu überschreiben. Dadurch kann bei überschriebenen Reports die eigentlich angedachte Funktion nicht mehr verfügbar sein (CVE-2026-34256 [4], CVSS 7.1, Risiko „hoch“).
15 weitere Sicherheitslücken erhalten die Einstufung als mittleres Risiko. Sie betreffen
Außerdem hat SAP eine ältere Sicherheitsnotiz SAP S4CORE (Manage Journal Entries) aus dem November 2025 aktualisiert. Die beiden als niedriges Risiko eingestuften Schwachstellen betreffen SAP NetWeaver Application Server ABAP und SAP Landscape Transformation.
IT-Verantwortliche sollten prüfen, ob sie die verwundbare Software einsetzen, und gegebenenfalls die angebotenen Aktualisierungen anwenden. Am SAP-Patchday im März [5] dieses Jahres hatten Admins von SAP Flicken zum Ausbessern von 15 Schwachstellen erhalten. Davon galten zwei als kritische Bedrohung.
URL dieses Artikels:
https://www.heise.de/-11256627
Links in diesem Artikel:
[1] https://www.heise.de/thema/Patchday
[2] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2026.html
[3] https://nvd.nist.gov/vuln/detail/CVE-2026-27681
[4] https://nvd.nist.gov/vuln/detail/CVE-2026-34256
[5] https://www.heise.de/news/SAP-Patchday-NetWeaver-Luecke-ermoeglicht-Einschleusen-von-Schadcode-11205008.html
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Black_Kira / Shutterstock.com)
Ein Sicherheitsupdate schließt unter anderem eine kritische Lücke in wolfSSL.
Aufgrund einer Sicherheitslücke in der TLS-Bibliothek wolfSSL können Angreifer Opfer unter dem Deckmantel einer vertrauenswürdig wirkenden Verbindung auf von ihnen kontrollierte Server locken. Um das zu unterbinden, sollten Admins die dagegen abgesicherte Version installieren. In einer aktuellen Ausgabe haben die Entwickler noch weitere Lücken geschlossen.
Wie aus dem Changelog der aktuellen Version 5.9.1 hervorgeht [1], haben die Entwickler sich insgesamt um 21 Sicherheitsprobleme gekümmert. Am gefährlichsten gilt eine „kritische“ Lücke (CVE-2026-5194), die den Umgang mit Zertifikaten betrifft. Weil es bei über etwa ECDSA/ECC oder DSA ausgestellte Signaturen zu Fehlern kommt, können Angreifer Zertifikate manipulieren, die dann als gültig durchgewinkt werden. So können Angreifer etwa Opfer im Rahmen einer vertrauenswürdig aussehenden Verbindung auf von ihnen kontrollierte Server locken.
Neun weitere Softwareschwachstellen sind mit dem Bedrohungsgrad „hoch“ eingestuft. Nutzen Angreifer diese Lücken erfolgreich aus, können sie Speicherfehler auslösen (etwa CVE-2026-5264). Das führt in der Regel zu Abstürzen, oft gelangt in so einem Kontext aber auch Schadcode auf Systeme.
Setzen Angreifer an den verbleibenden Schwachstellen an, kann es ebenfalls zu Speicherfehlern (etwa CVE-2026-5392 „mittel“) kommen oder Angreifer können eigentlich verschlüsselte Inhalte im Klartext sehen (CVE-2026-5504 „mittel“).
Bislang gibt es keine Hinweise auf Attacken. Admins sollten mit der Installation der gegen die geschilderten möglichen Angriffe gerüsteten Ausgabe aber nicht zu lange zögern. Andernfalls ist die Sicherheit von Verbindungen nicht gewährleistet.
URL dieses Artikels:
https://www.heise.de/-11256250
Links in diesem Artikel:
[1] https://github.com/wolfSSL/wolfssl/releases
[2] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Die Webseite CPUID der System-Analyse-Tools CPU-Z und HWMonitor wurde von Angreifern manipuliert. Sie verteilte Malware.
Wer am Donnerstag oder Freitag vergangener Woche, also dem 9. oder 10. April 2026, die System-Analysewerkzeuge von der CPUID-Webseite wie CPU-Z oder HWMonitor heruntergeladen hat, sollte den Rechner auf Malware-Befall untersuchen. Die Webseite lieferte an diesen Tagen für mehrere Stunden zufällig Links auf Malware anstatt auf die regulären Installationspakete aus.
Den genauen Vorfall mit tiefgehender Malware-Analyse beschreibt ein Dokument des IT-Forschers mit Handle nemesis auf GitHub [1]. Demnach konnten Angreifer die CPUID-Webseite über eine Schwachstelle in einer API kompromittieren. Die Webseite hatte dadurch demnach zufällig bösartige Links angezeigt. Die signierten Originaldateien wurden allerdings nicht verändert.
Die Analyse beschreibt, dass die Malware-Pakete glaubwürdige Dateinamen wie „cpu-z_2.19-en.zip“ trugen und die legitimen CPU-Z-Dateien enthielten, nebst einer bösartigen CRYPTBASE.dll. Die missbraucht die Standard-Windows-Suchreihenfolge, die diese Datei zunächst im aktuellen Verzeichnis und erst dann in Systemverzeichnissen sucht. Dadurch gelangt der Schadcode durch diese sogenannte „DLL Sideloading“-Schwachstelle zur Ausführung. Nach der Ausführung folgt eine mehrstufige Infektionskette. Eine von Kaspersky als „Backdoor.Win64.Alien“ erkannte Backdoor wird dabei persistent im System verankert. Die Analyse liefert diverse Anzeichen für erfolgreiche Angriffe (Indicators of Compromise, IOC).
Der Analyse von vxunderground auf Bluesky [2] zufolge wurde der Angriff etwa ab 1 Uhr morgens am Freitag nach mitteleuropäischer Ortszeit (7 pm EST) entdeckt. Auch das HWMonitor-Paket lag dadurch in manipulierter Fassung als Download vor. Ein weiterer Kommentar [3] weist auf eine Stellungnahme des CPU-Z- und HWMonitor-Maintainers @d0cTB. Demnach dauerten die Untersuchungen noch an, jedoch scheint eine API für sekundäre Funktionen der Webseite für etwa sechs Stunden kompromittiert gewesen zu sein. Dadurch habe die Hauptseite zufällig bösartige Links angezeigt. Die signierten Originaldateien wurden dabei nicht kompromittiert. Der Einbruch wurde entdeckt und daraufhin gestoppt.
Laut der tiefergehenden Analyse von nemesis handelt es sich um einen Lieferkettenangriff, bei dem die offizielle CPUID-Download-Infrastruktur bösartige Dateien ausgeliefert habe. Die Download-Links wurden dabei auf einen Cloudflare-C2-Speicher umgeleitet, anstatt auf die Standard-Infrastruktur von CPUID zu verweisen. Die Angreifer lieferten ihre eigenen trojanisierten Pakete aus, die durch russischsprachige Installer auffielen; die signierten Original-Installer wurden nicht manipuliert. Es gab also zwei Varianten der manipulierten Pakete, einmal die ausführbaren InnoSetup-Installer und dann die neu verpackten .zip-Dateien mit der zusätzlichen bösartigen CRYPTBASE.dll. Die Analyse erwähnt zudem eine ähnliche Malware-Kampagne gegen FileZilla Anfang März 2026, was auf dieselben Angreifer deute.
Wer im fraglichen Zeitraum die Software von CPUID heruntergeladen hat, sollte prüfen, ob es sich um die bekannten Malware-Varianten handelt. Auf VirusTotal [4] sollten die Scanner inzwischen zu einem Großteil darauf anschlagen.
Lieferketten- oder auch Supply-Chain-Angriffe treffen viele Unternehmen. So konnten Angreifer vor rund zwei Wochen durch eine Supply-Chain-Attacke auf LiteLLM auf interne Cisco-Daten zugreifen [5]. Dabei sollen Quellcode und Kundendaten gestohlen worden sein.
URL dieses Artikels:
https://www.heise.de/-11256219
Links in diesem Artikel:
[1] https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84
[2] https://bsky.app/profile/did:plc:q4atj55pxuwvdv5iqxo6hdh4/post/3mj4riucsy52p
[3] https://bsky.app/profile/vxundergroundre.bsky.social/post/3mj4wjs46iu2q
[4] https://www.virustotal.com/
[5] https://www.heise.de/news/Bericht-Cyberkriminelle-stehlen-Quellcode-von-Cisco-und-dessen-Kunden-11244097.html
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: tete_escape / Shutterstock.com)
Eine Sonderauswertung des Cybersicherheitsmonitor von BSI und ProPK zeigt gefährliche Wissenslücken beim Erkennen von KI-Manipulationen und Online-Anlagebetrug.
Künstliche Intelligenz ist im Alltag der Bundesbürger angekommen, doch das Risikobewusstsein hinkt der technischen Entwicklung hinterher. Wie eine Sonderauswertung des Cybersicherheitsmonitors 2026 offenbart, klafft in der Bevölkerung eine große Lücke zwischen Selbsteinschätzung und tatsächlichen Kenntnissen. Zwar gibt fast die Hälfte der befragten Internetnutzer in Deutschland an, KI-generierte Inhalte als solche identifizieren zu können. Doch in der Praxis schauen nur die wenigsten genau hin.
KI-generierte Bilder und Videos sind laut den Ergebnissen der repräsentativen Umfrage [1] im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der polizeilichen Kriminalprävention (ProPK) [2] unter mehr als 3000 Personen längst Normalität: Sieben von zehn Befragten sind online bereits solchen Inhalten begegnet. Bei den unter 30-Jährigen sind es sogar neun von zehn.
47 Prozent der Befragten trauen sich zu, die Fälschungen zu erkennen, Doch bei konkreten Überprüfungsmaßnahmen herrscht Zurückhaltung: Ein Drittel der Deutschen hat noch nie eine der gängigen Methoden zur Verifizierung genutzt. Lediglich 28 Prozent suchten gezielt nach grafischen Unstimmigkeiten wie fehlerhaften Schatten oder deformierten Gliedmaßen. Nur 19 Prozent kontrollierten die Verlässlichkeit der Quelle.
BSI-Präsidentin Claudia Plattner mahnt, für Verbraucher sei es inzwischen unerlässlich, KI-Inhalte zu identifizieren. Nur so könnten sie Risiken und Falschinformationen früh erkennen. Das BSI setze daher verstärkt auf Sensibilisierung und biete Orientierungshilfen [3] an, um die Medienkompetenz im Umgang mit generativer KI zu stärken [4].
Der Bedarf dafür ist groß, denn viele technisch bereits machbare Betrugsszenarien werden von der breiten Masse noch als unmöglich eingestuft. So halten etwa nur 38 Prozent der Befragten die Manipulation eines KI-Agenten zur Preisgabe persönlicher Daten für realistisch. Auch die Gefahr durch unsichtbare, bösartige Anweisungen in Dokumenten, die KI-Sprachmodelle beim Zusammenfassen austricksen können, ist nur einer Minderheit bewusst.
Besonders perfide Formen nimmt der Betrug im Bereich der Geldanlagen an. Laut der ProPK- Vorsitzenden Stefanie Hinz ist Betrug rund um Online-Trading eine Straftat, die im Polizeialltag immer häufiger auftritt. Kriminelle nutzen KI dabei etwa für Deepfakes prominenter Persönlichkeiten, die in täuschend echten Videos [5] für vermeintlich lukrative Kryptowährungen werben.
Die Statistik untermauert die Gefahr: 15 Prozent der Befragten haben in Kryptowährungen investiert. Von diesen ist fast jeder Dritte auf ein betrügerisches Angebot hereingefallen. In den meisten Fällen wurden die Opfer durch gezielte Werbung im Internet auf die Scams aufmerksam.
Das Vertrauen in staatliche Schutzmechanismen ist derweil hoch. Eine breite Mehrheit der Bevölkerung wünscht sich ein konsequentes Eingreifen der Behörden. Ganz oben auf der Wunschliste stehen ein schnelles polizeiliches Handeln bei betrügerischen Webseiten sowie eine verpflichtende Kennzeichnungspflicht für alle mit KI erstellten oder veränderten Inhalte.
URL dieses Artikels:
https://www.heise.de/-11255536
Links in diesem Artikel:
[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Digitalbarometer/CyMon-ProPK-BSI_2026_Kurzbericht_Online-Betrug-KI.pdf?__blob=publicationFile&v=3
[2] https://www.heise.de/news/Schutzlos-im-Netz-So-riskant-ist-der-digitale-Alltag-von-Kindern-10544544.html
[3] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Technologien_sicher_gestalten/Kuenstliche-Intelligenz/KI-Bilderkennung/ki-bilderkennung_node.html
[4] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Wegweiser_Checklisten_Flyer/Brosch_A6_Kuenstliche_Intelligenz.pdf?__blob=publicationFile&v=18
[5] https://www.heise.de/news/EU-Studie-Forscher-sehen-durch-Deepfakes-die-Demokratie-gefaehrdet-6224455.html
[6] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[7] mailto:vbr@heise.de
Copyright © 2026 Heise Medien
(Bild: Basic-Fit)
Bei einem IT-Vorfall haben sich Unbekannte Zugriff auf das System von Basic-Fit verschafft und dabei persönliche Informationen abgegriffen.
Ein unerlaubter Zugriff auf die Daten der börsennotierten Fitnesskette Basic-Fit betrifft Mitglieder in mehreren Ländern, davon allein 200.000 aus den Niederlanden. Er wurde kurz nach seiner Entdeckung am heutigen 13. April vom Sicherheitsteam des Fitness-Unternehmens gestoppt und den zuständigen Behörden gemeldet.
Durch das Datenleck gelangten personenbezogene Daten wie E-Mail-Adresse, Name und Mitgliederinformationen in fremde Hände. Zu Passwörtern und Ausweisdokumenten hatten die Unbefugten laut dem Unternehmen keinen Zugang.
Basic-Fit informierte nach eigenen Angaben [1] die betroffenen Kunden per E-Mail und versichert, dass bisher kein Datenmissbrauch nachgewiesen werden kann. Die Fitnesskette rät ihren Mitgliedern jedoch, besonders achtsam bei Phishing-Versuchen zu sein. Sie hat zudem eine eigene FAQ-Seite [2] erstellt, in der sich die Kunden über das Datenleck informieren können.
Basic-Fit betreibt laut eigenen Angaben 2150 Fitnessstudios in zwölf europäischen Ländern. Sie zählt knapp sechs Millionen Mitglieder.
Sie können sich beispielsweise in einem Phishing-Angriff mit gefälschten E-Mails als Basic-Fit ausgeben und vermeintlich nicht bezahlte Mitgliedsbeiträge oder andere Informationen einfordern. Bei Phishing-Verdacht ist es wichtig, nicht darauf einzugehen und auf keine Links zu klicken.
Fitnessapps und -studios sind häufig von Datenlecks betroffen. So gab es eine massive Datenpanne beim Sportanbieter „Urban Sports Club“ [3], in der tausende sensible Dateien auf einem öffentlich zugänglichen Cloudspeicher lagen. Bei der Ernährungs-App „MyFitnessPal“ [4] brachten Hacker 150 Millionen Nutzerdaten an sich.
URL dieses Artikels:
https://www.heise.de/-11254982
Links in diesem Artikel:
[1] https://corporate.basic-fit.com/docs/Basic-Fit%20informs%20members%20of%20an%20unauthorised%20data%20access?q=3W97qQx2g4cDXrju5NrDeZ
[2] https://www.basic-fit.com/de-de/faq
[3] https://www.heise.de/news/Datenleck-bei-Urban-Sports-Club-Daten-Tausender-Mitglieder-waren-oeffentlich-9668240.html
[4] https://www.heise.de/news/Ernaehrungs-App-MyFitnessPal-150-Millionen-Nutzerdaten-abgegriffen-4009175.html
[5] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:mho@heise.de
Copyright © 2026 Heise Medien
Website, die Apple nachahmt: Nein, so schafft man auf dem Mac keinen Platz.
(Bild: Jamf)
Eine aktuell laufende Malware-Kampagne nutzt Apples Script Editor statt des Terminals, um den Datenklauer Atomic Stealer auf Macs einzuschleusen.
Sicherheitsforscher vom MDM-Spezialisten Jamf haben eine neue Variante der sogenannten ClickFix-Angriffstechnik entdeckt, bei der Nutzer dazu bewegt werden, Kommandos auf ihrem Mac auszuführen, die dann Malware installieren. Die neue Verteilmethode des bekannten Datenklauschädlings Atomic Stealer scheint darauf optimiert zu sein, einen neuen Schutz im macOS-Terminal [1] zu umgehen, den Apple mit macOS 26.4 eingeführt hatte. Dieser soll dafür sorgen, dass problematischer Code nicht mehr so leicht ausgeführt werden kann.
Wie Jamf Threat Labs in einer Analyse [2] schreibt, locken die Angreifer ihre Opfer auf eine gefälschte Apple-Webseite, die vorgibt, dabei zu helfen, Speicherplatz auf dem Mac freizugeben. Ein „Execute“-Button auf der Seite ruft dabei das applescript://-URL-Schema auf. Der Browser fordert daraufhin vom Nutzer die Erlaubnis, Script Editor zu öffnen – eine Aktion, die das Opfer womöglich arglos bestätigt.
Das eigentlich neue an der Methode liegt in der Nutzung des applescript://-URL-Schemas: Beim Aufruf startet Script Editor mit einem von der Website übergebenen, bösartigen AppleScript. Dieses Script führt nach der Ausführung durch den Nutzer eine verschleierte Befehlskette aus. Zunächst wird per curl-Kommando eine Payload von einem externen Server geladen, die nach Dekodierung anschließend an zsh übergeben wird. Eine zweite Stufe dekodiert per Base64 und gunzip weiteren Code, der schließlich die eigentliche Malware – ein Mach-O-Binary des Atomic Stealers – nach /tmp herunterlädt, erweiterte Attribute zum Ausführungsschutz entfernt und die Datei startbar macht.
Interessant dabei ist, dass die Installationskette dabei den Terminal-Paste-Schutz von macOS 26.4 umgeht. Apple hatte diese Schutzfunktion eingeführt, um Nutzer vor ClickFix-Angriffen zu warnen, wenn sie manipulierte Befehle ins Terminal einfügen, wobei das auch nicht immer funktioniert. Durch den Wechsel zu Script Editor wird dieser Mechanismus laut Jamf augenscheinlich ausgehebelt. Um die Malware aktiv zu schalten, muss der User allerdings noch den Abspielknopf (Play) in Script Editor klicken. Dass er das tun soll, wird auf der nachgeahmten Apple-Seite so mitgeteilt.
Atomic Stealer ist ein schon seit 2023 aktiver Infostealer, der unter anderem über Telegram an Kriminelle vermarktet wird. Die Malware stiehlt unter anderem Keychain-Passwörter, Browser-Daten wie Autofill-Einträge, Cookies und Kreditkartennummern sowie Krypto-Wallets. Auch Dateien vom Desktop und aus dem Dokumentenordner können exfiltriert werden.
Neu ist die Verwendung von Script Editor zur Malware-Verbreitung eigentlich nicht, doch die Verbreitung via applescript://-Links ist neu. Nutzer sollten das Aufrufen des Script Editors über eine Website keinesfalls bestätigen. Apple hat bislang noch nicht auf die neue Methode reagiert. Es dürfte relativ leicht sein, diese zu verhindern.
URL dieses Artikels:
https://www.heise.de/-11251412
Links in diesem Artikel:
[1] https://www.heise.de/news/Angriffe-uebers-Terminal-Apple-verhindert-Kommando-Ausfuehrung-11226507.html
[2] https://www.jamf.com/blog/clickfix-macos-script-editor-atomic-stealer/
[3] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[4] https://www.heise.de/mac-and-i
[5] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
FreshRSS