Anmelden
(Bild: heise medien)
Ist das Linux-System sauber? Verifizierbare Integrität soll das sicherstellen. Das Start-up Amutable will das nun umsetzen.
Ein Team von namhaften Linux-Entwicklern hat sich zum Ziel gesetzt, Linux sicherer zu machen und die Integrität von Linux-Systemen kryptografisch zu verifizieren. Das Projekt sattelt unter anderem auf „immutable Linux“ auf, also schreibgeschützten, unveränderlichen Kernsystemen. Der Name: Amutable. Die Firma hat ihren Sitz in Berlin.
Große Namen sind als Gründer involviert. Etwa Lennart Poettering, der systemd entwickelt und pflegt, oder Christian Brauner, der das VFS-Subsystem in Linux betreut, sowie Christ Kühl, ehemals Gründer von Kinvolk – die Flatcar Container Linux, ein immutable-Linux-System, entwickelt haben und von Microsoft eingekauft wurden.
Details liefert Amutable bislang nicht, deutet aber die Ziele an. Die Integrität des Systems soll kryptografisch prüfbar sein, das „System startet in einem verifizierten Status und bleibt im Zeitverlauf vertrauenswürdig“. Als Stichworte nennt die „Über“-Seite von Amutable [1] die Integrität des Build-Prozesses, des Boot-Vorgangs und zur Laufzeit. Lennart Poettering hat bereits heiße Eisen mit „Measured Boot“ im Feuer. Ein Fingerzeig ist auch der geplante Vortrag „Remote Attestation of Imutable Operating Systems built on systemd“, den er am 12. März auf der Open Confidential Computing Conference in Berlin halten will.
Beim „Measured Boot“ prüft das System ausgehend von einer „Root of Trust“ im Trusted Platform Module (TPM) die Integrität von Firm- und Software beim Systemstart anhand von digitalen Fingerabdrücken, sogenannten Hash-Werten. Die Vergleichshashes liegen ebenfalls im TPM, dort in sogenannten Platform Configuration Registers (PCRs). Der Prozess ähnelt Secure Boot. Allerdings bricht Secure Boot bei abweichenden Hashes den Startvorgang ab, während Measured Boot die Hashes der Komponenten und ihrer Konfiguration protokolliert und sie verschlüsselt zur Überprüfung an andere Systeme senden kann (Remote Attestation, ausführliche Erläuterung von Infineon [2]). Ein Vortrag auf der „All Systems Go“ im vergangenen Jahr [3] zeigt zudem, was Poettering sich für Gedanken um die Sicherheitsarchitektur in Linux macht.
Derzeit besteht das Team von Amutable aus den Gründern Chris Kühl (CEO), Christian Brauner (CTO) und Lennart Poettering (Chief Engineer); Chief Product Officer ist David Strauss. Das Programmier-Team besteht aus Rodrigo Campos Catelin, Zbyszek Jędrzejewski-Szmek, Kai Lüke, Daan De Meyer, Joaquim Rocha, Aleksa Sarai und Michael Vogt. Die Beteiligten bringen Erfahrungen etwa für den Bau traditioneller Distributionen wie Debian, Fedora/CentOS, SUSE und Ubuntu mit, aber auch für unveränderliche, Image-basierte Distributionen wie Flatcar Container Linux, ParticleOS und Ubuntu Core, erklärt die Projekt-Ankündigung [4].
Kompetenzen für die genannten Ziele sind also reichlich vorhanden. Was genau Amutable aber bauen will, ist derzeit noch unklar. Eine diesbezügliche Anfrage wurde nicht umgehend beantwortet. Gegebenenfalls aktualisieren wir die Meldung damit.
URL dieses Artikels:
https://www.heise.de/-11156531
Links in diesem Artikel:
[1] https://amutable.com/about
[2] https://community.infineon.com/t5/Blogs/TPM-remote-attestation-How-can-I-trust-you/ba-p/452729
[3] https://media.ccc.de/v/all-systems-go-2025-354-a-security-model-for-systemd
[4] https://amutable.com/blog/introducing-amutable
[5] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: FlashMovie / shutterstock.com)
Angreifer können Systeme mit HPE Aruba Networking Fabric Composer mit Schadcode attackieren.
HPEs Netzwerkmanagementlösung HPE Aruba Networking Fabric Composer ist über drei Sicherheitslücken angreifbar. Im schlimmsten Fall kann Schadcode Instanzen kompromittieren.
In einer Warnmeldung schreiben die Entwickler [1], dass HPE Aruba Networking Fabric Composer bis einschließlich Version 7.2.3 bedroht ist. Die Ausgabe 7.3.0 soll repariert sein. Installieren Netzwerkadmins das Sicherheitsupdate nicht, riskieren sie verschiedene Attacken. Bislang gibt es aber HPE zufolge keine Hinweise, dass Angreifer die Schwachstellen (CVE-2024-4741 „hoch“, CVE-2026-23592 „hoch“, CVE-2026-23593 „mittel“) bereits ausnutzen.
Setzen Angreifer erfolgreich an den Lücken an, können bereits authentifizierte Angreifer Schadcode auf Ebene des Betriebssystems ausführen. Angreifer können aber auch eigentlich abgeschottete Daten einsehen.
URL dieses Artikels:
https://www.heise.de/-11156836
Links in diesem Artikel:
[1] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04996en_us&docLocale=en_US
[2] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Sony // Raspberry Pi Foundation)
Ein Raspberry Pi Pico als Modchip greift direkt in den Bootprozess der PS3 ein. Ein unpatchbarer Exploit für CFW.
Die PS3-Modding-Szene hält den Atem an: Ein Team um Modder Modyfiktor hat Custom-Firmware [1] auf Playstation-3-Konsolen der Modelle Super Slim & Slim mit NOR-Flash zum Laufen gebracht. Das galt bisher als unmöglich. Und natürlich kam dabei Hardware zum Einsatz, die Makern gut bekannt ist.
Die Modder haben einen Raspberry Pi Pico mit RP2040 direkt an die Hauptplatine der Konsole angeschlossen. Der Mikrocontroller fungiert dabei als eine Art Modchip und injiziert bei jedem Start einen Payload direkt in den Arbeitsspeicher der PS3. Entscheidend ist: Es handelt sich nicht um einen Software-Exploit auf Betriebssystemebene, sondern um einen hardwarebasierten Eingriff in den Bootprozess und gilt daher als unpatchbar.
(Bild: Modyfikator [2])
HEN (Homebrew Enabler) ist seit Jahren der Standardweg, um auf neueren PS3-Modellen überhaupt Homebrew auszuführen. Technisch handelt es sich dabei um einen Software-Exploit, der nach jedem Start manuell aktiviert werden muss. HEN verschafft Zugriff auf Modding-Funktionen wie das Starten von Homebrew-Anwendungen, Backup-Managern oder das Patchen einzelner Systemfunktionen im laufenden Betrieb. Im Gegensatz zu echter Custom Firmware läuft dabei aber weiterhin Sonys originale Firmware, die nur temporär im RAM modifiziert wird. Das bringt Einschränkungen mit sich: Kein direkter Zugriff auf Low-Level-Funktionen und stark begrenzte Hardwarekontrolle. Für den Alltag vieler Nutzer war HEN ein brauchbarer Kompromiss: Stabil, relativ einfach zu installieren und ohne Löteisen. Für tiefere Eingriffe blieb es jedoch immer eine Notlösung und genau an dieser Stelle setzt der neue Pi-Pico-Ansatz an.
Diese neue Modding-Methode eröffnet Möglichkeiten, die unter HEN schlicht nicht erreichbar sind. Besonders erwähnt wird die Rückkehr von OtherOS: Linux lässt sich wieder nativ auf der PS3 betreiben, eine Funktion, die Sony 2010 offiziell entfernt hatte. Auch echtes Hardware-Overclocking wird möglich. Im gezeigten Setup läuft der RSX-Grafikchip mit 850 MHz und bleibt dabei bei rund 55 Grad Celsius stabil. Solche Eingriffe sind mit HEN nicht realisierbar. Hinzu kommt die Möglichkeit, PS2-ISOs direkt abzuspielen.
(Bild: Modyfikator [3])
Maker, die sowieso schon einen Pi Pico auf dem Basteltisch liegen haben, können ihre PS3-Konsolen aber noch nicht zum Zittern bringen. Bisher wurde nämlich noch keine genaue Anleitung veröffentlicht. Die soll aber folgen. Die grundlegende Machbarkeit ist bereits belegt. Für Maker zeigt das Projekt mal wieder eindrucksvoll, wie viel Potenzial in kleinen Mikrocontrollern steckt.
Wem es jetzt in den Fingern juckt, seine Konsolen zu modden, kann in unserem Artikel nachlesen, wie man Linux auf einer Playstation 4 installieren kann [4].
URL dieses Artikels:
https://www.heise.de/-11157091
Links in diesem Artikel:
[1] https://www.reddit.com/r/PS3/comments/1qji2ls/the_impossible_is_now_reality_full_cfw_on_ps3/
[2] https://www.reddit.com/r/PS3/comments/1qji2ls/the_impossible_is_now_reality_full_cfw_on_ps3/
[3] https://www.reddit.com/r/PS3/comments/1qji2ls/the_impossible_is_now_reality_full_cfw_on_ps3/
[4] https://www.heise.de/ratgeber/Linux-auf-der-Playstation-4-installieren-10250863.html
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.heise.de/make
[7] mailto:das@heise.de
Copyright © 2026 Heise Medien
Julia Evans erklärt wichtige Grundlagen für Linuxer anhand kleiner Comics, die sich gut als Einstieg in die Materie und als handliches Nachschlagewerk eignen.
Softwareentwicklerin und Bloggerin Julia Evans verpackt das komplexe Innenleben von Linux (und Unix) in ein handliches 22-seitiges Büchlein.
Darin verdeutlicht sie mit einseitigen handgezeichneten Comics wichtige Konzepte und Befehle, die angehenden Programmierern – meist ohne weitere Erklärung – immer wieder in Blogposts, YouTube-Videos und Vorträgen begegnen dürften.
Beispielsweise erfährt man, was ein sogenannter Syscall – zu Deutsch „Systemaufruf“ – ist, welche Rollen Linux-Kernel und Programme einnehmen, was genau dort passiert und dass man mit einem Tool namens straceüber die Kommandozeile alle Systemaufrufe eines Programms anzeigen kann.
Des Weiteren vermittelt das Heftchen, was sich hinter Begriffen wie signal, file descriptor, pipe oder socket verbirgt und was unix domain sockets oder Prozesse tun. Dabei geht es grundsätzlich um das Zusammenspiel mit anderen Komponenten des Systems. Man versteht also nicht nur, was sich hinter einem Begriff oder Befehl verbirgt, sondern bekommt nebenbei auch einen Überblick über die Funktionsweise des Betriebssystems im Ganzen. Die in Englisch verfassten Comics stellen keine sprachliche Herausforderung dar; ohnehin sind die meisten der vorgestellten Konzepte unter ihrer englischen Bezeichnung geläufiger sein als unter etwaigen eingedeutschten Begriffen.
Zum Abschluss verweist Evans auf Michael Kerrisks Buch „The Linux Programming Interface“ als weiterführende Lektüre, das sie nach eigenen Angaben beim Verfassen des Comics als Nachschlagewerk herangezogen hat. Für alle, die tiefer in die Materie einsteigen wollen, kann es sinnvoll sein, sich den 1500-Seiten-Schinken ins Regal zu stellen (oder auf den Reader zu laden). Seine Kapitel sind – wie Evans Comics – kurz und in sich abgeschlossen.
Wer Gefallen an Evans’ Art findet, das Betriebssystem anhand von Comics zu erläutern, mag vielleicht Bite Size Linux im rabattierten Bundle mit drei weiteren PDFs oder gedruckten Heften zu den Themen Networking, Bash und Kommandozeile erwerben. Einzeln gibt es einen Teil der Comics auch kostenlos: Evans hat viele davon auf X, damals noch Twitter, veröffentlicht. GitHub-User nendonerd hat sie auf GitHub gesammelt [11].
URL dieses Artikels:
https://www.heise.de/-11109318
Links in diesem Artikel:
[1] https://www.heise.de/tests/Buchkritik-Python-fuer-Kids-11109471.html
[2] https://www.heise.de/tests/Buchkritik-Bite-Size-Linux-11109318.html
[3] https://www.heise.de/tests/Buchkritik-Kompetent-visuell-gestalten-11081141.html
[4] https://www.heise.de/tests/Buchkritik-Enshittification-11081123.html
[5] https://www.heise.de/tests/Buchkritik-Content-Creation-mit-Kuenstlicher-Intelligenz-11081099.html
[6] https://www.heise.de/tests/Buchkritik-Ethical-Hacking-Das-grosse-Buch-zum-Hacking-mit-Python-11059758.html
[7] https://www.heise.de/tests/Buchkritik-Der-OpenWrt-Praktiker-11059229.html
[8] https://www.heise.de/tests/Buchkritik-Elon-Jeff-on-Mars-10749040.html
[9] https://www.heise.de/tests/Buchkritik-Building-a-Debugger-10749036.html
[10] https://www.heise.de/tests/Buchkritik-TikTok-Time-Bomb-10749064.html
[11] https://github.com/nendonerd/wizardzines
[12] https://www.heise.de/ct
[13] mailto:kst@heise.de
Copyright © 2026 Heise Medien
Bernd Müller
(Bild: Frederic Legrand - COMEO / Shutterstock.com)
LVMH galt lange als sichere Bank für Anleger. Doch schwache Zahlen und ein veränderter Luxusmarkt in China stellen das Geschäftsmodell auf die Probe.
Für viele Privatanleger war LVMH jahrelang ein Synonym für Stabilität. Der Luxuskonzern lieferte über Jahre steigende Gewinne, attraktive Dividenden und ein kontinuierliches Kurswachstum. Doch dieses Bild bekommt Risse.
Am Mittwoch sackte die Aktie um bis zu 8,2 Prozent ab – so stark wie seit April nicht mehr. Über die vergangenen zwölf Monate summierten sich die Verluste auf rund 21 Prozent, berichtet Bloomberg.
Im vierten Quartal erwirtschaftete der Konzern einen Gesamtumsatz von 22,7 Milliarden Euro [1]. Bereinigt um Währungseffekte lag das Plus bei einem Prozent – mehr als Analysten prognostiziert hatten.
Getrübt wurde dieser Erfolg allerdings durch das Segment Mode und Lederwaren, das in der Regel hohe Margen verspricht und zu dem Marken wie Louis Vuitton und Dior zählen. In diesem Segment schrumpfte das Ergebnis um drei Prozent – in der umsatzstärksten Zeit des Jahres. Und das überraschte.
Der operative Gewinn des Gesamtjahres ging um 9,3 Prozent auf 17,8 Milliarden Euro zurück. Die Gewinnmarge sank von 23,1 auf 22 Prozent. Als Hauptursachen nannte das Management Schwankungen bei Wechselkursen, US-Zölle auf Spirituosen, einen schwächeren Dollar sowie gestiegene Goldpreise, die den Schmuckeinkauf verteuerten.
Die einzelnen Geschäftsbereiche entwickelten sich unterschiedlich. Uhren und Schmuck wuchsen um acht Prozent, wobei die Marke Bulgari besonders gut abschnitt. Offenbar greifen Konsumenten in unsicheren Zeiten lieber zu Goldschmuck als zu modischen Accessoires.
Anders sieht es bei Wein und Spirituosen aus: Dort sanken die Erlöse im Quartal um neun Prozent. Vor allem die Nachfrage nach Hennessy Cognac bleibt schwach – bereits das dritte Jahr in Folge.
Käufer aus China – ob im Inland oder auf Reisen – steuern nach Branchenschätzungen fast ein Drittel zum Umsatz der Modesparte bei. Der Konzern vermeldete zwar wieder wachsende Erlöse im chinesischen Heimatmarkt. Doch für die gesamte Region Asien ohne Japan stand nur ein Plus von einem Prozent zu Buche.
Nach den optimistischen Tönen von Wettbewerbern wie Richemont und Burberry hatten Investoren auf mehr gehofft, berichtet [2] Reuters.
Auffällig ist ein tiefgreifender Strukturwandel in China: Die Kaufkraft verschiebt sich weg von Megastädten wie Peking oder Shanghai hin zu Provinzmetropolen wie Nanjing, Changsha oder Hangzhou.
Das Marktforschungsunternehmen MDRi ermittelte [3] laut Reuters, dass wohlhabende Konsumenten in diesen sogenannten Tier-2-Städten 2024 durchschnittlich umgerechnet rund 35.000 Euro für Luxusgüter ausgaben – ein Fünftel mehr als im Vorjahr.
In den großen Wirtschaftszentren gingen die Ausgaben hingegen um vier Prozent zurück.
Ein Paradebeispiel für diesen Wandel liefert das Einkaufszentrum Deji Plaza in Nanjing. Die Neun-Millionen-Einwohner-Stadt überholte 2024 erstmals Peking als umsatzstärksten Standort für High-End-Shopping in China. Louis Vuitton wählte Nanjing – und nicht eine der Megastädte – für die Premiere seiner Kosmetiklinie im Land.
Zino Helmlinger, China-Einzelhandelsexperte bei der Immobilienberatung CBRE, bezeichnete diese Entwicklung gegenüber Reuters als bemerkenswert: Dass gleich mehrere Provinzstädte in die Umsatz-Top-Ten aufstiegen, sei vor wenigen Jahren kaum vorstellbar gewesen.
Viele gut verdienende Chinesen kehren den teuren Küstenmetropolen den Rücken und ziehen in Städte mit niedrigeren Lebenshaltungskosten – ihre Vorliebe für Designermarken behalten sie bei.
Der LVMH-Chef Bernard Arnault zeigte sich bei der Bilanzpressekonferenz zurückhaltend. Angesichts anhaltender geopolitischer Spannungen, konjunktureller Risiken und aus seiner Sicht unternehmensfeindlicher Rahmenbedingungen werde der Konzern seine Ausgaben drosseln. Auch das kommende Jahr dürfte herausfordernd bleiben.
Die Analystin Chiara Battistini von JPMorgan rechnet laut [4] Blommberg damit, dass die Rückkehr auf den Wachstumspfad für LVMH und die gesamte Branche holprig verläuft und stark von äußeren Faktoren abhängt.
Die Erwartung einer raschen Erholung im Luxussegment hat einen Dämpfer erhalten.
Dennoch setzt LVMH weiter auf Expansion in China. In Shanghai eröffnete kürzlich ein spektakulärer Louis-Vuitton-Flagship-Store in Schiffsform, in Peking ein neues Dior-Geschäft.
Zudem stockte der Konzern seine Beteiligung an der Kaschmirmarke Loro Piana für eine Milliarde Euro von 85 auf 94 Prozent auf. Der Anteil der Gründerfamilie Arnault soll 2026 erstmals über die 50-Prozent-Marke steigen.
Für Privatanleger bleibt die zentrale Frage, ob LVMH seinen Ruf als verlässlicher Dividendenwert wiederherstellen kann. Die Antwort hängt davon ab, wie gut der Konzern den Umbruch im chinesischen Luxusmarkt meistert – und ob die Kauflaune in den wichtigsten Absatzregionen zurückkehrt.
URL dieses Artikels:https://www.heise.de/-11157338
Links in diesem Artikel:[1] https://www.reuters.com/world/china/lvmh-fourth-quarter-sales-beat-expectations-china-improves-2026-01-27/[2] https://www.reuters.com/business/lvmh-shares-expected-fall-after-disappointing-results-2026-01-28/[3] https://www.reuters.com/world/china/first-class-goods-second-tier-cities-luxury-goes-local-china-2026-01-28/[4] https://www.bloomberg.com/news/articles/2026-01-27/lvmh-sales-of-high-end-fashion-and-handbags-continue-to-struggle
Copyright © 2026 Heise Medien
Hana Qetinaj
Indien und die EU haben ein umfassendes Freihandelsabkommen ausgehandelt
(Bild: esfera/Shutterstock.com)
Handelsabkommen zwischen EU und Indien kurz vor Abschluss. Fast 1,9 Milliarden Menschen sind betroffen. Kritiker warnen vor negativen Folgen für Kleinbauern.
Die Einigung, die nach dem jüngsten Gipfeltreffen am 23. Januar verkündet wurde, wird von der EU-Spitze bereits als "Mutter aller Deals" [1] gepriesen. Doch der lange Weg zur Unterschrift ist noch nicht zu Ende für einen Pakt, der den Handel zwischen fast 1,9 Milliarden Menschen neu ordnen soll.
Die Dimensionen des Abkommens sind gewaltig. Es handelt sich um eines der größten bilateralen Handelsabkommen der Welt, gemessen an Wirtschaftsleistung, regulatorischer Tiefe und der betroffenen Bevölkerung.
Die EU [2] bietet als Zollunion Indien einen bevorzugten Zugang zum gesamten Binnenmarkt aller 27 Mitgliedsstaaten unter einem einzigen rechtlichen Dach. Im Gegenzug werden Zölle für 96,6 Prozent der EU-Warenexporte nach Indien [3] reduziert oder ganz abgeschafft.
Die Zahlen unterstreichen die globale Bedeutung: Der kombinierte Markt beherbergt fast 1,9 Milliarden Menschen. Gemeinsam repräsentieren Indien und die EU [4]etwa ein Viertel des globalen Bruttoinlandsprodukts, 30 Prozent der Weltbevölkerung und 11 bis 12 Prozent des Welthandels. Bei einem geschätzten globalen Handelsvolumen von 33 Billionen US-Dollar entfallen fast 11 Billionen US-Dollar auf die beiden Wirtschaftsräume.
Aus der Perspektive der indischen Regierung [5] unter Premierminister Narendra Modi ist die Einigung ein diplomatischer und wirtschaftlicher Meilenstein.
Regierungsbeamte bezeichnen den Deal konsequent als "historisch” und "riesig". Die Gespräche umfassten auch Schlüsselthemen der Weltpolitik wie die Konflikte in der Ukraine und Westasien sowie die Lage im Indo-Pazifik.
Das historische Freihandelsabkommen zwischen der EU und Indien wird vor einem veränderten geostrategischen und wirtschaftlichen Hintergrund abgeschlossen. Ein zentrales Element dieses Hintergrunds sind die massiven Energieeinkäufe Indiens aus Russland seit Beginn des Ukraine-Krieges im Jahr 2022.
Laut dem finnischen Forschungsinstitut CREA [6]hat Indien seit Kriegsbeginn russisches Rohöl im Wert von über 144 Milliarden Euro importiert und war damit der zweitgrößte Abnehmer nach China. Diese günstigen Importe sicherten Indiens Energieversorgung und erlaubten dem Land Milliardeneinsparungen.
Diese Politik der "strategischen Autonomie" Indiens, die auf günstige Energie und Diversifizierung setzt, kollidierte direkt mit der Handelspolitik der USA unter Präsident Donald Trump.
Washington verhängte als Strafe für die fortgesetzten russischen Ölimporte einen zusätzlichen Zoll von 25 Prozent auf ausgewählte indische Waren [7], was den Gesamtzollsatz für diese Produkte auf 50 Prozent trieb. Diesen protektionistischen Druck aus Washington erlebte auch die EU, die von Trump mit Strafzöllen bedroht wurde. Das Abkommen zwischen Brüssel und Neu-Delhi ist daher auch eine direkte Antwort auf diese aggressive amerikanische Handelspolitik.
Aus dieser Perspektive gewinnt der Vertrag weit mehr Bedeutung als ein rein wirtschaftlicher Vertrag. Er ist eine geopolitische Allianz, die bestehende Macht- und Abhängigkeitsverhältnisse neu justiert.
Für die EU bietet er den Zugang zu einem der größten Wachstumsmärkte der Welt und ist ein zentraler Baustein ihrer "strategischen Autonomie", mit der sie ihre Abhängigkeit von China und den USA reduzieren will. Gleichzeitig versucht Brüssel indirekt, Einfluss auf Indiens Energiepolitik zu nehmen.
Die größten unmittelbaren Profiteure dieser Neuordnung sind klar identifizierbar: Auf europäischer Seite ist es vor allem die exportstarke Industrie, allen voran die deutsche Automobilbranche, die von einer drastischen Senkung der bis zu 110-prozentigen Einfuhrzölle auf Autos und Komponenten [8]profitiert. Auf indischer Seite sind es arbeitsintensive Sektoren wie Textilien, Lederwaren und Schmuck, die durch besseren Marktzugang in der EU vermehrt exportieren könnten.
Wirtschaftlich erhofft sich die Regierung in Neu-Delhi einen massiven Schub. Das FTA gilt als wirtschaftliches Kernstück der Partnerschaft, das Indiens verarbeitendes Gewerbe und den Dienstleistungssektor ankurbeln, Marktzugänge vertiefen und das Vertrauen von Investoren stärken soll. Das offizielle Narrativ [9] verspricht nachhaltiges Wachstum, widerstandsfähigere Lieferketten und vor allem neue Arbeitsplätze für die junge Bevölkerung des Landes.
Doch während die Regierung feierte, meldeten sich schon in der Vergangenheit kritische Stimmen zu Wort. Oppositionsparteien, Ökonomen, Bauernverbände und zivilgesellschaftliche Gruppen sehen in dem Abkommen eine massive Bedrohung für existenzielle Sektoren und als Verstärker sozialer Ungleichheit.
Ihre Hauptkritikpunkte sind vor allem die Gefahr für die Landwirtschaft: Schon bei den vergangenen Verhandlungen kritisierten Bauernvertreter wie Yudhvir Singh von der mächtigen Bhartiya Kisan Union [10], dass subventionierte EU-Agrarprodukte die Existenz von Millionen indischen Kleinbauern vernichten könnten. Sie fürchten einen ruinösen Preiswettbewerb, besonders in sensiblen Sektoren wie der Milchwirtschaft.
Ärzte ohne Grenzen [11] schlug in Deutschland Alarm, dass EU-Forderungen nach verschärftem Patentschutz (sogenannte "TRIPS-plus"-Bestimmungen) die Produktion preiswerter lebensrettender Generika-Medikamente (Kopien von Originalmedikamente, die nicht mehr patentgeschützt sind) behindern und verteuern könnten. Dies würde den Zugang zu bezahlbarer Medizin in Indien und weltweit gefährden.
Doch die Einigung birgt auch historische Hypotheken und wird vor einem veränderten geopolitischen Hintergrund geschlossen. Frühere Verhandlungen waren zwischen 2007 und 2013 vor allem an Differenzen in den Schlüsselsektoren Autos, Spirituosen, Dienstleistungen und Patentschutz gescheitert.
Ökonomen verweisen auf die mangelnde Wettbewerbsfähigkeit vieler indischer Industriezweige [12] und die Gefahr einer dadurch drohenden Deindustrialisierung. Der geplante Abbau von Zöllen, beispielsweise im Automobilsektor, könnte heimische Hersteller überrollen und zu Fabrikschließungen führen – ein Schicksal, das im Mercosur EU-Abkommen mit Ländern in Lateinamerika bereits prognostiziert wurde.
Die Kritik am Indien-Abkommen findet ein eindrückliches Echo im Widerstand gegen das bereits ausgehandelte, aber noch nicht ratifizierte EU-Mercosur-Abkommen [13] mit Brasilien, Argentinien, Uruguay und Paraguay. Auch hier stehen Befürchtungen um ökologische Schäden, soziale Ungleichheit und wirtschaftliche Abhängigkeit im Vordergrund.
Kritiker wie die Plattform PowerShift [14]warnen, dass das Abkommen ein koloniales Handelsmuster – Rohstoffexport gegen Hightech-Import – zementiere und zu Deindustrialisierung führen könnte, wobei allein in der brasilianischen Automobilindustrie über 20.000 Jobs gefährdet seien. Es fördere zudem eine exportorientierte, flächenintensive Landwirtschaft, die Entwaldung und Biodiversitätsverlust im Amazonas vorantreibe. Studien zeigten zudem nur marginale oder keine positiven Effekte auf Wachstum und Armut in Lateinamerika.
Die Parallelen sind frappierend: Wie indische Bauern fürchten auch Gruppen in Südamerika, dass subventionierte EU-Konkurrenz lokale Märkte zerstört und die Deindustrialisierung vorantreibt. Selbst die London School of Economics [15] prognostizieren für Mercosur nur minimale Wohlstandsgewinne.
Die Verhandlungsmacht der hochindustrialisierten EU gegenüber wirtschaftlich weniger starken Partnern zeigt sich in der Durchsetzung ihrer Interessen – von der Abschottung der Landwirtschaft bis zum Schutz eigener Industrien. Die langfristigen Kosten dieser strategischen Partnerschaft, ob in Form von verschärftem Wettbewerbsdruck auf indische Kleinbauern oder der fortgesetzten Abhängigkeit von fragilen globalen Lieferketten, werden von der lokalen Bevölkerung und Umwelt getragen werden.
URL dieses Artikels:https://www.heise.de/-11157271
Links in diesem Artikel:[1] https://timesofindia.indiatimes.com/business/india-business/india-eu-fta-what-is-mother-of-all-deals-13-outcomes-explained/articleshow/127616032.cms[2] https://www.tagesschau.de/wirtschaft/eu-indien-freihandelsabkommen-100.html[3] https://www.gtai.de/de/trade/indien/zoll/eu-indien-freihandelsabkommen-1973466[4] https://de.euronews.com/my-europe/2026/01/27/eu-indien-freihandelsabkommen-von-der-leyen-modi[5] https://timesofindia.indiatimes.com/business/india-business/india-eu-fta-what-is-mother-of-all-deals-13-outcomes-explained/articleshow/127616032.cms[6] https://www.investing.com/analysis/india-has-imported-168-billion-in-russian-oil-since-start-of-ukraine-war-200672845[7] https://www.bbc.com/news/articles/c75x9wqwz40o[8] https://www.gtai.de/de/trade/indien/zoll/eu-indien-freihandelsabkommen-1973466[9] https://timesofindia.indiatimes.com/business/india-business/india-eu-fta-what-is-mother-of-all-deals-13-outcomes-explained/articleshow/127616032.cms[10] https://www.downtoearth.org.in/environment/eu-threat-to-farmers-40811[11] https://www.aerzte-ohne-grenzen.de/presse/indien-freihandelsabkommen-eu[12] https://www.faf.ae/home/2026/1/26/the-india-european-union-free-trade-agreement-a-transformative-economic-and-strategic-partnership-in-an-era-of-rising-protectionism[13] https://www.tagesschau.de/wirtschaft/weltwirtschaft/mercosur-eugh-100.html[14] https://power-shift.de/die-handelsagenda-der-eu-in-lateinamerika/[15] https://www.lse.ac.uk/business/consulting/reports/sia-in-support-of-the-association-agreement-negotiations-between-the-eu-and-mercosur
Copyright © 2026 Heise Medien
Matthias Lindner
(Bild: Phil Pasquini / Shutterstock.com)
Ecuadors Regierung protestiert offiziell: ICE-Beamte versuchten, in das Konsulat in Minneapolis einzudringen – ein klarer Völkerrechtsbruch.
Die Beamten der US-Einwanderungs- und Zollbehörde (ICE) sind in den vergangenen Wochen immer wieder in die Schlagzeilen gekommen. Sie erschossen US-Bürger, verhafteten Kinder auf dem Schulweg – und jetzt versuchten sie, sich Zutritt zum Konsulat von Ecuador zu verschaffen.
Die Regierung in Quito hat daraufhin Beschwerde bei US-Präsident Donald Trump eingereicht, wie Reuters und die BBC übereinstimmend berichten.
Der Vorfall ereignete sich am Dienstag gegen Vormittag. Wie ein in ecuadorianischen Medien verbreitetes Video zeigt, kam es an der Eingangstür des Konsulats in Minneapolis zu einem heftigen Wortwechsel mit einem ICE-Beamten.
Dieser wollte das Konsulat betreten, wurde aber von einem Mitarbeiter des Konsulats daran gehindert. Der ICE-Beamte drohte daraufhin [1], ihn festzuhalten, sollte er ihn auch nur berühren. Der Konsularbeamte wiederholt seinen Hinweis auf den Status als Auslandsvertretung und schließt die Tür.
Ecuador übermittelte daraufhin eine Protestnote an die US-Botschaft in Quito mit der Forderung, dass sich solche Vorfälle nicht wiederholen dürfen, heißt es bei [2] Reuters.
Dieser Schritt, so bewertet ihn die BBC, sei eine der seltenen Unstimmigkeiten zwischen Präsident Daniel Noboa und der Trump-Regierung. Beide Seiten hatten sich erst in den vergangenen Monaten deutlich angenähert und Handelsverträge abgeschlossen.
Nach dem Wiener Übereinkommen über konsularische Beziehungen von 1963 gelten Konsulate als unverletzlich. Behörden des Gastlandes dürfen die Räumlichkeiten nur mit Zustimmung des Leiters der Vertretung betreten. Ausnahmen bestehen lediglich für Notfälle wie Brände oder Katastrophen.
Eine Augenzeugin berichtete Reuters, sie habe beobachtet, wie Einwanderungsbeamte zwei Personen verfolgten, die ins Konsulat flüchteten. Die Beamten hätten versucht zu folgen, seien aber nicht hineingekommen.
Der Vorfall fällt in eine Phase hoher Spannungen in Minneapolis. Wenige Tage zuvor wurde der Intensivpfleger Alex Pretti von einem Grenzbeamten erschossen [3]. Anfang Januar kam auch Renee Good durch ICE-Beamte ums Leben. Beide Fälle lösten erhebliche Proteste aus.
Derzeit sind rund 3.000 ICE- und Grenzschutzbeamte in Minnesota im Einsatz. Die Aktion läuft unter dem Namen "Operation Metro Surge". Trump kündigte am Dienstag an, die Maßnahmen in Minnesota etwas zurückzufahren.
URL dieses Artikels:https://www.heise.de/-11157235
Links in diesem Artikel:[1] https://www.bbc.com/news/articles/c4g40k40xndo[2] https://www.reuters.com/world/americas/ecuador-says-ice-agent-tried-enter-consulate-minneapolis-2026-01-28/[3] https://www.telepolis.de/article/Minneapolis-Wenn-Videos-nichts-mehr-beweisen-11153961.html
Copyright © 2026 Heise Medien
Wasserraketen sind lehrreich und machen Spaß. H2Orocks.com berechnet akkurat Geschwindigkeit und Höhe in jeder Flugphase und erspart so ein paar Fehlversuche.
Die Wasserrakete steht aufrecht auf ihrer Startplattform. Das Manometer zeigt an: Der Druck ist aufgebaut. Die Schnur am Entriegelungshebel ist gespannt, der gemeinsam gesprochene Countdown läuft. Das ist der Stoff, aus dem packende Schulexperimente und fröhliche Gartenfeste mit Kindern sind.
Aber was beeinflusst den Flug einer Wasserrakete und wie wirken sich die Parameter aus? Die Website H2Orocks [1] [1] soll das verdeutlichen. Sie fragt mit ihren Eingabefeldern die relevanten Daten ab und berechnet den daraus resultierenden Flug.
Die dafür erforderliche Simulationssoftware hat ein Hersteller für Schulexperimente, zu dessen Produkten beispielsweise eine Wasserraketen-Startplattform gehört [8] [8], gemeinsam mit dem Institut für Luft- und Raumfahrt der TU Berlin entwickelt. Sie berechnet die Flugbahnen von speziell produzierten Wasserraketen ebenso wie die von umfunktionierten PET-Getränkeflaschen. Den erforderlichen Druck erzeugt man mit einer Fahrrad- oder Ballpumpe.
URL dieses Artikels:
https://www.heise.de/-11137327
Links in diesem Artikel:
[1] https://h2orocks.com
[2] https://www.heise.de/hintergrund/Web-Tipp-Hoeher-schneller-weiter-mit-vorausberechneten-Wasserraketen-11137327.html
[3] https://www.heise.de/hintergrund/Web-Tipp-Grosses-Star-Trek-Gedaechtnis-11088659.html
[4] https://www.heise.de/hintergrund/Web-Tipp-Juristisches-nicht-nur-fuer-Fachleute-11085079.html
[5] https://www.heise.de/hintergrund/Web-Tipp-Fotos-und-Videos-mit-Spezialwerkzeugen-verifizieren-11090013.html
[6] https://www.heise.de/news/Web-Tipps-Stau-verstehen-11074617.html
[7] https://vorschau.heise-cms.de/thema/ct-webtipps
[8] https://little-bear.space/
Copyright © 2026 Heise Medien
Android-Logo.
(Bild: Mamun_Sheikh/Shutterstock.com)
EU fordert Google auf, Android für KI-Konkurrenz zu öffnen und Suchdaten zugänglich zu machen. Frist: sechs Monate.
Die EU-Kommission hat Google eine Frist von sechs Monaten gesetzt, um etwaige technische Hürden für KI-Assistenten der Mitbewerber auf Android abzubauen. Überdies müsse Google auch zentrale Suchdaten für andere Suchmaschinenanbieter zugänglich machen. Beide Plattformen des Konzerns gelten seit 2023 unter dem Digital Markets Act (DMA) [1] als Gatekeeper [2] und müssen für Mitbewerber geöffnet werden.
Die EU-Aufsichtsbehörden werden prüfen, ob Google die EU-Vorgaben einhalte und konkurrierende KI-Software in Android fair behandle. Bei den am Dienstag angekündigten zwei Verfahren handelt es sich noch nicht um formelle Ermittlungsverfahren, sondern um sogenannte „Präzisierungsverfahren [3]“. Mit diesen soll der „Regulierungsdialog der Kommission mit Google zu bestimmten Aspekten der Einhaltung zweier Verpflichtungen aus dem DMA formalisiert“ werden.
Die Kommission möchte die beiden Verfahren innerhalb von sechs Monaten abschließen. Allerdings wird die Kommission in spätestens drei Monaten Google vorläufige Beurteilungen und einen ersten Entwurf der Maßnahmen vorlegen, die Google für eine „wirksame Einhaltung des DMA ergreifen muss“. Zudem sollen auch Dritte dazu Stellung nehmen können, weshalb nicht vertrauliche Zusammenfassungen der vorläufigen Beurteilungen und die vorgesehenen Maßnahmen veröffentlicht werden.
„Wir wollen das Potenzial und die Vorteile dieses tiefgreifenden Technologiewandels maximieren, indem wir dafür sorgen, dass der Wettbewerb offen und fair ist und nicht nur wenige große Unternehmen profitieren. Mit dem heute eingeleiteten Verfahren wollen wir Google helfen, indem wir genauer erläutern, wie es seinen Verpflichtungen zur Interoperabilität und zur Weitergabe von Online-Suchdaten gemäß dem Digital Markets Act nachkommen sollte“, erklärte Teresa Ribera, Exekutiv-Vizepräsidentin für einen sauberen, fairen und wettbewerbsfähigen Wandel in einer Stellungnahme.
Gegenüber Bloomberg [4] bezog Clare Kelly, Senior Competition Counsel bei Google, Stellung zu den Präzisierungsverfahren: Sie sagte, das US-Unternehmen sei besorgt, dass weitere Vorschriften, „die oft eher von Beschwerden der Wettbewerber als vom Interesse der Verbraucher getrieben sind, die Privatsphäre, Sicherheit und Innovation der Nutzer beeinträchtigen werden“.
Die Öffnung von Android für KI-Assistenten und die Weitergabe der zentralen Suchdaten an Dritte sind nur einige von weiteren Punkten, bei denen sich Google im Clinch mit der EU im Rahmen des DMA sieht. So wird dem Unternehmen auch vorgeworfen [5], seine eigenen Dienste in der Suche zu begünstigen und App-Entwickler daran zu hindern, Verbraucher zu Angeboten außerhalb seines Play Stores zu leiten. Zudem geht die EU-Kommission dem Verdacht nach [6], dass Google bestimmte Nachrichteninhalte in den Suchergebnissen benachteiligen könnte.
Im Rahmen des neuen Verfahrens könnte die EU später beschließen, eine formelle Untersuchung einzuleiten, wenn Google sich nicht an die Vorschriften des DMA hält. Es könnte den Weg für mögliche Geldstrafen in Höhe von bis zu 10 Prozent des weltweiten Jahresumsatzes ebnen – jedoch verhängen die Brüsseler Regulierungsbehörden selten die Höchststrafen. So die EU-Kommission verhängte im April 2025 eine Geldstrafe von 500 Millionen Euro gegen Apple wegen Verstößen gegen den Digital Markets Act (DMA). Zur Veranschaulichung: Apple machte 2024 etwa einen Jahresumsatz von 391 Milliarden US-Dollar – 10 Prozent davon wären 39 Milliarden Dollar.
Sowohl Google als auch Apple sind mit dem DMA unzufrieden: Google sagte im September 2025 [7], der DMA richte Schaden bei europäischen Nutzern und kleinen Unternehmen an, während der DMA aus Apples Sicht abgeschafft gehört [8]. Eine Analyse des Dachverbands der europäischen Verbraucherorganisationen [9], Beuc, zeigte auf, dass Verbraucher mit dem Digital Markets Act eine größere Auswahl genießen würden.
URL dieses Artikels:
https://www.heise.de/-11155741
Links in diesem Artikel:
[1] https://www.heise.de/thema/Digital-Markets-Act
[2] https://www.heise.de/news/Digital-Markets-Act-WhatsApp-und-Facebook-Messenger-muessen-interoperabel-werden-9296190.html
[3] https://ec.europa.eu/commission/presscorner/detail/de/ip_26_202
[4] https://www.bloomberg.com/news/articles/2026-01-27/google-android-told-by-eu-to-open-up-to-rival-ai-systems
[5] https://www.heise.de/news/DMA-Alphabet-stellt-EU-Kommission-nicht-zufrieden-10321920.html
[6] https://www.heise.de/news/DMA-EU-Kommission-prueft-moegliche-Mediendiskriminierung-durch-Google-11077426.html
[7] https://www.heise.de/news/Google-Nutzer-und-der-Mittelstand-sind-die-Verlierer-der-EU-Wettbewerbsregeln-10672567.html
[8] https://www.heise.de/news/Apple-Digitalgesetz-DMA-der-EU-gehoert-abgeschafft-10670105.html
[9] https://www.heise.de/news/Analyse-Verbraucher-haben-mit-dem-Digital-Markets-Act-groessere-Auswahl-11071194.html
[10] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[11] mailto:afl@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
IT-Forscher haben fehlerhafte Umsetzungen des FastPair-Protokolls von Google gefunden. BT-Geräte können dadurch zu Wanzen werden.
IT-Sicherheitsforscher haben sich Bluetooth-Geräte mit Unterstützung von Googles Fast-Pair-Protokoll für die einfache und schnelle Kopplung angesehen. Dabei sind sie auf fehlerhafte Umsetzungen gestoßen. Das ermöglicht unter Umständen, Geräte als Wanzen zu missbrauchen oder in einigen Fällen auch deren Tracking mittels Googles „Mein Gerät Finden“-Netzwerk [1].
Heutzutage brauchen Sicherheitslücken für die bessere Wiedererkennbarkeit einen Codenamen, daher haben die IT-Forscher ihr den Spitznamen „WhisperPair“ verpasst und dazu eine eigene Webseite online gebracht [2]. Dort fassen sie ihre Funde auch übersichtlich zusammen.
Um einen Fast-Pair-Vorgang zu starten, sendet ein Seeker (etwa Smartphone) eine Nachricht an den Provider (BT-Zubehör), um anzuzeigen, dass er das Pairing wünscht. Sofern der Provider nicht im Pairing-Modus ist, soll er laut Spezifikation solche Nachrichten nicht beachten. „Viele Geräte scheitern jedoch, diese Prüfung in der Praxis vorzunehmen und erlauben so nicht autorisierten Geräten, den Pairing-Prozess zu starten“, erklären die IT-Analysten. Nach dem Empfang einer Antwort von einem verwundbaren Gerät können Angreifer den Fast-Pair-Prozess durch Einrichtung eines herkömmlichen Bluetooth-Pairings abschließen (CVE-2025-36911 [3], CVSS 7.1, Risiko „hoch“).
Das ermöglicht Angreifern, das Verbinden von anfälligem Fast-Pair-Zubehör wie drahtlosen Kopfhörern oder Earbuds etwa mit einem Laptop zu erzwingen. Angreifer erhalten dadurch volle Kontrolle über das Zubehör, wodurch sie etwa Musik abspielen oder Gespräche über das integrierte Mikrofon mitschneiden können. Angriffsversuche gelangen den IT-Sicherheitsforschern innerhalb von zehn Sekunden aus Entfernungen bis zu 14 Metern. Physischer Zugriff auf verwundbare Geräte ist dazu nicht nötig.
Ein weiterer Angriff gelang den IT-Forschern auf solche Bluetooth-Geräte, die noch nicht zuvor einen Pairing-Vorgang mit anderen Geräten abgeschlossen haben. Sofern sie das Google „Mein Gerät finden“-Netzwerk unterstützen, können Angreifer das Zubehör auf ihrem eigenen Konto zuordnen und damit dessen Standort tracken. Opfer erhalten jedoch mit hoher Wahrscheinlichkeit in solch einem Fall eine Warnung, dass sie getrackt werden, was die Standardeinstellung von Android ist.
Der praktische Schweregrad der Lücken ist vielleicht nicht ganz so groß, wie zunächst anzunehmen ist. Aus bis zu 14 Metern Entfernung bei freier Sicht könnte man Gespräche sicherlich auch einfacher direkt oder mit kleinem Richtmikrofon belauschen. Vor ungewolltem Tracking warnt das Smartphone potenzielle Opfer zeitnah – solche Tracking-Warnungen vom Smartphone sollten Handybesitzer besser ernst nehmen. Die Gerätehersteller sollten verwundbare Implementierungen zügig mit Software-Aktualisierungen absichern.
URL dieses Artikels:
https://www.heise.de/-11155629
Links in diesem Artikel:
[1] https://www.heise.de/news/Besseres-Google-Mein-Geraet-finden-Netz-mit-optimierter-Einstellung-11106117.html
[2] https://whisperpair.eu/
[3] https://nvd.nist.gov/vuln/detail/CVE-2025-36911
[4] https://www.heise.de/thema/lost%2Bfound
[5] https://www.heise.de/thema/lost%2Bfound
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: chanpipat / Shutterstock.com)
Eine kritische Sicherheitslücke in telnetd der GNU InetUtils erheischt derzeit Aufmerksamkeit. Admins sollten patchen.
Seit dem Wochenende kursieren Meldungen über eine kritische Sicherheitslücke im Telnet-Server der GNU InetUtils. Auch ein Exploit, der den Missbrauch der Umgehung der Anmeldung vorführt, ist bereits verfügbar. Panik ist jedoch nicht angeraten.
Eine Sicherheitsmitteilung haben die Maintainer der Software auf der OpenSource-Security-Mailingliste [1] verteilt. Der Telnet-Dienst telnetd der GNU InetUtils überreicht demnach den Wert der Umgebungsvariable USER, der vom Telnet-Client als letzter Parameter übergeben wird, an „/usr/bin/login“. Mit einer einfachen Manipulation, sodass der USER-Parameter die Zeichenkette „-f root“ sowie gegebenenfalls die telnet-Parameter „-a“ oder „--login“ enthält, erfolgt eine automatische Anmeldung als User „root“. Das umgeht die reguläre Authentifizierung. Da der GNU InetUtils telnetd-Server keine Filterung des USER-Parameters vor dessen Weiterreichen vornimmt, kann das passieren (CVE-2026-24061 [2], CVSS 9.8, Risiko „kritisch“).
Das ist äußerst trivial, dennoch sind dafür auch Proof-of-Concept-Exploits verfügbar [3]. Cyberkriminelle haben es also äußerst einfach, die Lücke massenhaft anzugreifen. Und das tun sie bereits in freier Wildbahn, sodass die US-amerikanische IT-Sicherheitsbehörde CISA am Montag dieser Woche die Schwachstelle [4] in den „Known Exploited Vulnerabilities“-Katalog aufgenommen hat. Betroffen sind die GNU InetUtils 1.9.3 (aus dem Mai 2015) bis einschließlich 2.7. Seit dem 19. Januar 2026 steht ein Patch zum Schließen der Lücke bereit.
Telnet ist ein sehr altes Protokoll, das die Daten im Klartext überträgt. Wer so einen Dienst anbietet, sollte den Zugriff daher ohnehin auf vertrauenswürdige Rechner im LAN oder eventuell VPN beschränken. Eigentlich ist jedoch SSH der seit Dekaden übliche Ersatz dafür. Wer also einen telnetd offen im Internet betreibt, hat vermutlich bereits auch ganz andere Probleme im Netz.
Viel häufiger könnten Telnet-Server etwa auf Internetroutern aktiv sein. Insbesondere auf alten, schlecht oder gar nicht mehr gepflegten Geräten. Dort läuft jedoch üblicherweise eine besonders schlanke Variante aus Busybox, die jedoch die jetzt erkannte Sicherheitslücke wohl nicht enthält. Allerdings bieten tatsächlich auch große Geräte für Organisationen wie Cisco-Router potenziell Telnet-Zugriff – und auch dort stellen sie manchmal ein Sicherheitsrisiko [5] dar.
URL dieses Artikels:
https://www.heise.de/-11155419
Links in diesem Artikel:
[1] https://seclists.org/oss-sec/2026/q1/89
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-24061
[3] https://github.com/cyberpoul/CVE-2026-24061-POC
[4] https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-24061
[5] https://www.heise.de/news/Cisco-kaempft-mit-kritischer-Telnet-Luecke-im-IOS-XE-Betriebssystem-4796230.html
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
Ein aktueller Streit macht auf die Prozesse aufmerksam, mit denen die IETF Standards für das Internet erarbeitet – und wie widerstandsfähig die Verfahren sind.
Die Internet Engineering Task Force ist der Spezialfall unter den Standardisierungsorganisationen. Sie lehnt klassische Abstimmungslösungen ab, verzichtet auf traditionelle Mitgliederstrukturen und -beiträge und bietet praktisch unbeschränkten Zugang zu allen Standardisierungsentwürfen und -dokumenten. („We reject: kings, presidents and voting.“) Grundsätzlich kann jeder technische Vorschläge sogar einfach via Mailingliste einbringen, wenn sie das „Internet besser machen“.
Ein aktueller Vorschlag zur Postquantenverschlüsselung (PQC) würde das Internet allerdings keineswegs besser machen, findet Kryptoforscher Dan Bernstein, Professor an der University of Illinois in Chicago und an der Technischen Universität Eindhoven. Seit April 2025 liefert sich der bekannte Entwickler wichtiger Kryptoverfahren eine Schlacht mit den Gremien der IETF. Er hat nacheinander die Chefs der verantwortlichen Arbeitsgruppe, das Kollegium der für die Peer-Review neuer Standards verantwortlichen Internet Engineering Steering Group (IESG) und das Internet Architecture Board (IAB) angerufen.
Unverantwortlich ist für Bernstein die Bereitschaft der IETF, ein von US-Behörden bevorzugtes PQC-Verschlüsselungsverfahren ganz „ohne den Sicherheitsgurt“ einer zusätzlichen klassischen Verschlüsselung als Request for Comment (RFC) zu veröffentlichen. Für den Kryptoexperten zeigt diese Bereitschaft, eine nicht-hybride Verschlüsselung zu standardisieren, dass US-Behörden, insbesondere die NSA, IETF „Standards kaufen“ können. Als hybride Verfahren bezeichnet man in diesem Kontext das Vorgehen, eine neuartige, quantencomputerresistente Verschlüsselung mit einem etablierten, klassischen Verfahren so zu kombinieren, dass Angreifer beide Verfahren brechen müssen.
URL dieses Artikels:
https://www.heise.de/-11101399
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Streit-um-Post-Quantum-TLS-Ist-die-IETF-Standardisierung-leicht-zu-kapern-11101399.html
[2] https://www.heise.de/ratgeber/Dateien-mit-Cryptomator-verschluesselt-in-der-Cloud-speichern-10335168.html
[3] https://www.heise.de/hintergrund/Wie-Certificate-Transparency-Zertifikate-im-Web-absichert-10039024.html
[4] https://www.heise.de/hintergrund/Grundwissen-Asymmetrische-Kryptografie-erklaert-Teil-1-9585886.html
[5] https://www.heise.de/hintergrund/Grundwissen-Asymmetrische-Kryptografie-erklaert-Teil-2-9608592.html
[6] https://www.heise.de/hintergrund/Grundwissen-Asymmetrische-Kryptografie-erklaert-Teil-3-9642194.html
[7] https://www.heise.de/ratgeber/Kryptographie-Schluessellaenge-eines-Vigenere-kodierten-Textes-bestimmen-9588025.html
[8] https://www.heise.de/hintergrund/Kryptografie-Vigenere-Chiffre-mit-dem-Kasiski-Test-knacken-9532220.html
[9] https://www.heise.de/hintergrund/Historische-Kryptografie-Vigenere-Chiffre-in-Python-programmiert-9339405.html
Copyright © 2026 Heise Medien
(Bild: Gorodenkoff/Shutterstock.com)
Eine Ransomware-Bande behauptet, Daten von Nike erbeutet zu haben. Das Unternehmen untersucht den Vorfall. Angeblich wurden auch Designprototypen gestohlen.
Nike untersucht einen möglichen Datenabfluss, nachdem die Erpressergruppe WorldLeaks behauptet hat, eine gewaltige Menge interner Daten des US-amerikanischen Sportartikelherstellers gestohlen und teilweise veröffentlicht zu haben. Bei dem Cyberangriff sollen persönliche und geschäftliche Daten entwendet worden sein.
„Wir nehmen den Schutz der Privatsphäre unserer Kunden und die Datensicherheit stets sehr ernst“, erklärte Nike am Montag in einer Stellungnahme. „Wir untersuchen einen möglichen Vorfall im Bereich der Cybersicherheit und bewerten die Situation aktiv.“
Die Cyberattacke war am 22. Januar bekannt geworden. Verantwortlich soll die Ransomware-Gruppe WorldLeaks sein. Diese betreibt gezielt Datendiebstahl mittels kompromittierter Webseiten, Phishing-Mails und ungesicherter VPN-Zugänge, um anschließend Unternehmen zu erpressen. Mehr als 100 Unternehmen sollen bereits Opfer der Gruppe geworden sein, darunter der Computerhersteller Dell. Die Gruppe soll eine Umbenennung von Hunters International sein [1], einer Ransomware-Bande, die seit 2023 aktiv ist.
World Leaks erklärte, 1,4 Terabyte (TB) an Daten im Zusammenhang mit den Geschäftsaktivitäten von Nike veröffentlicht zu haben. In einer Liste, die das Webportal The Register eingesehen hat [2], behauptet die Cybercrime-Gruppe, 188.347 Dateien aus den Systemen des Unternehmens gestohlen zu haben. Die veröffentlichten Dateinamen deuteten eher auf Design- und Fertigungsabläufe als auf Kundendatenbanken hin, so The Register weiter. Beispiele hierfür seien Verzeichnisse mit den Bezeichnungen „Women's Sportswear“ (Sportbekleidung für Frauen), „Men's Sportswear“ (Sportbekleidung für Männer), „Training Resource – Factory“ (Schulungsressourcen – Fabrik) und „Garment Making Process“ (Bekleidungsherstellungsprozess). Das deute auf Dateien aus den Bereichen Produktentwicklung und Produktionsprozesse hin. Bislang gibt es keine Anzeichen dafür, dass Kunden- oder Mitarbeiterdaten betroffen sind.
Allerdings verliert kein Unternehmen gern interne Informationen wie Designs, Schulungsunterlagen und Prozessdokumentationen. Laut dem Onlineportal it-daily [3] befinden sich unter den gestohlenen Informationen Details zur geplanten SP27-Kollektion der Nike-Marke Jordan Brand. WorldLeaks erklärte demnach, Zugriff auf technische Produktspezifikationen, Materiallisten sowie Designentwürfe und Prototypen aus verschiedenen Produktzyklen erlangt zu haben. Zudem sollen sensible Informationen zur Fertigung kompromittiert worden sein, darunter Unterlagen zu Qualitätsprüfungen in Produktionsstätten, Angaben zu Zulieferern sowie Dokumentationen zu Herstellungsverfahren.
Laut The Register machen „die unübersichtlichen globalen Lieferketten und der stetige Strom neuer Designs, die zwischen den Partnern hin- und herwandern“, Mode- und Sportbekleidungsunternehmen zu einem beliebten Ziel für Cyberkriminelle. Diese müssten keine Kundendatenbanken erbeuten, um Schaden anzurichten.
Gerade erst ist ein anderes US-amerikanisches Sportbekleidungsunternehmen Opfer eines Cyberangriffs geworden. Eine Ransomware-Bande drang bei Under Armour ein und entwendete massenhaft Daten. In der vergangenen Woche tauchten 72,7 Millionen Datensätze bei Have I Been Pwned auf [4], darunter Namen, E-Mail-Adressen, Geburtsdaten, Geschlecht, geografische Standorte und Kaufinformationen.
URL dieses Artikels:
https://www.heise.de/-11154898
Links in diesem Artikel:
[1] https://www.heise.de/news/Ransomware-Bande-Hunters-International-hoert-auf-10476691.html
[2] https://www.theregister.com/2026/01/26/data_thieves_claim_nike_data_haul/
[3] https://www.it-daily.net/shortnews/nike-gehackt-designprototypen
[4] https://www.heise.de/news/Datenleck-72-Millionen-Datensaetze-von-Under-Armour-geleakt-11148785.html
[5] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[6] mailto:akn@heise.de
Copyright © 2026 Heise Medien
Schlösser mit Zahlencode wie im Symbolbild gibt es bei dormakaba nicht.
(Bild: Daniel AJ Sokolov / heise medien)
Die gut zwanzig Lücken finden sich im Access Manager, der Registriereinheit und im Exos-Server für Unternehmens-Schließsysteme. Der Meldeprozess dauerte Jahre.
Der Schweizer Hersteller für Sicherheits- und Schließsysteme dormakaba hat mehrere, teils kritische Sicherheitslücken in seinen Produkten behoben. Den Fixes war ein jahrelanger Melde- und Verbesserungsprozess vorangegangen. Angreifer mit Netzwerkzugriff auf die dormakaba-Verwaltungsserver in Unternehmen konnten unter anderem hartkodierte Zugangsdaten und einfach zugängliche Lötstellen missbrauchen.
Manches Mal ist eine „Responsible Disclosure“ an einen Hersteller schnell und unproblematisch: Problemmeldung und Behebung durch den Hersteller liegen im Idealfall nur Stunden oder Tage auseinander. Doch bisweilen dauert es länger, so bei dormakaba. Bereits im April 2024, also vor fast zwei Jahren, nahm der Sicherheitsdienstleister SEC Consult mit dem Unternehmen Kontakt auf und meldete zwanzig, teils kritische Sicherheitslücken. Nachdem der Schweizer Konzern zwei Wochen später die internen Zuständigkeiten geklärt hatte, begann ein anderthalbjähriger Meeting- und Konferenzmarathon, an dessen Ende nun die Veröffentlichung aller Lücken steht.
Die Sicherheitsprobleme beziehen sich hauptsächlich auf die Produkte Kaba exos 3000 und den dormakaba Zutrittsmanager („Access Manager“), professionelle Lösungen zur Zutrittssicherung für Unternehmen. Diese bestehen nicht nur aus Soft-, sondern auch aus Hardware: So ist der Zutrittsmanager ein schwarzes Kästchen, das etwa im Schaltschrank installiert wird. Kaba exos 3000 kommt überall dort zum Einsatz, wo sich Schließberechtigungen häufig ändern, etwa durch regelmäßige Besucher.
Viele Sicherheitslücken, sagte ein Vertreter der Melder von SEC Consult heise security, seien bereits vor Veröffentlichung des Sammeleintrags im Unternehmensblog behoben gewesen. Ein dormakaba-Pressesprecher schränkt weiter ein: Um die Schwachstellen ausnutzen zu können, benötige ein Angreifer vorherigen Zugriff auf das Netzwerk des Kunden. „Insgesamt sind uns keine Fälle bekannt, bei denen die identifizierten Schwachstellen ausgenutzt wurden“, sagte der Hersteller.
Dennoch liest sich die Liste der Sicherheitslücken beunruhigend: Von hartkodierten, schwachen Passwörtern ist da die Rede, von ungesicherten APIs und RPC-Diensten (Application Programming Interface bzw. Remote Procedure Call) und einer lokalen Privilegienausweitung. Einige der Fehler ermöglichten „Schlösserknacken, ohne die Hände zu benutzen [1]“ – diesen Titel wählten die Finder für ihren langen Blogartikel mit Details zu allen Lücken.
Folgende Lücken mit hohem und kritischem Schweregrad in Kaba exos 9300 sind behoben:
Im „Access Manager 92xx k5/k7“ gab es ebenfalls einige Funde mit hohem oder kritischem Schweregrad. Teilweise sind sie nicht oder nur durch manuelle Intervention behebbar – Details verrät der Blogartikel von SEC Consult.
Nach Behebung aller Lücken bleibt für die Sicherheitsexperten von SEC Consult eine Schwachstellenmeldung der besonderen Art. „Derartiger Research ist selten, weil diese Systeme für unabhängige Tester fast nie realistisch zugänglich sind, und genau deshalb war es besonders spannend, sie ganzheitlich überprüfen zu können, von Web-Komponenten über Infrastruktur bis hin zu Reverse Engineering und das Zerlegen von Hardware“, beschrieb Sicherheitsforscher Werner Schober.
Und ein dormakaba-Sprecher erläuterte, warum man sich fast zwei Jahre Zeit für Bugfixes ließ: „Wir haben über die Zeit schrittweise via Standard-Releases die Schwachstellen geschlossen; dazu gehören auch Feldtests mit ausgewählten Kunden.“
URL dieses Artikels:
https://www.heise.de/-11138394
Links in diesem Artikel:
[1] https://sec-consult.com/blog/detail/hands-free-lockpicking-critical-vulnerabilities-in-dormakabas-physical-access-control-system/
[2] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:cku@heise.de
Copyright © 2026 Heise Medien
(Bild: Balefire / Shutterstock.com)
Nordkoreanische Cyberkriminelle nehmen Entwickler mit Zugriff auf Blockchains ins Visier. Eine PowerShell-Backdoor scheint von KI programmiert.
Nordkoreanische Cyberkriminelle haben es auf Entwickler mit Blockchain-Zugriff abgesehen. Mit Phishing-Attacken wollen sie diese zur Ausführung von Malware verleiten. Dabei soll Künstliche Intelligenz [1] an der Programmierung der PowerShell-Backdoor mitgewirkt haben.
Das meldet das IT-Sicherheitsunternehmen Checkpoint in einer Analyse [2]. Die kriminelle Vereinigung „Konni“ soll aus Nordkorea stammen oder mit dem Land verbandelt sein. Die Angriffsziele haben die Täter jedoch über ihren sonst üblichen Tätigkeitsbereich hinaus ausgeweitet – ursprünglich konzentrierten sie sich auf Südkorea, nun aber auf die ganze Asien-Pazifik-Region, einschließlich Australien, Indien und Japan.
Sie nehmen dabei Entwickler und Programmier-Teams in den Blick, insbesondere solche, die Zugriff auf mit Blockchain zusammenhängende Ressourcen und Infrastruktur haben. Die Köder-Dokumente sehen aus wie legitime Projektmaterialien und umfassen technische Details wie Architektur, Technik-Stacks und Entwicklungszeitpläne. Daraus leitet Checkpoint ab, dass die Angreifer die Entwicklungsumgebungen unterwandern und dadurch Zugang zu sensiblen Krypto-Assets sowie Infrastruktur, API-Zugangsdaten, Zugänge zu Wallets und schließlich Krypto-Besitztümer ergattern wollen.
Es gibt der Analyse zufolge starke Hinweise darauf, dass die Kriminellen [3] sich von Künstlicher Intelligenz haben helfen lassen. Das PowerShell-Script mit der Backdoor weist demnach eine unüblich polierte Struktur auf. Sie fängt mit menschenlesbarer Dokumentation an, die die Script-Funktion erklärt: „This script ensures that only one instance of this UUID-based project runs at a time. It sends system info via HTTP GET every 13 minutes.“ Diese Ausführlichkeit der Dokumentation ist äußerst unüblich für PowerShell-Schadcode von APTs. Der Code ist zudem in klar definierte logische Sektionen eingeteilt, die jeweils eine spezifische Aufgabe erledigen, die eher modernen Konventionen der Softwareentwicklung entsprechen als spontaner Malware-Entwicklung.
Diese Indizien reichen noch nicht zur gesicherten KI-Zuordnung, jedoch soll ein Kommentar im Programmcode schließlich verräterisch sein: # <– your permanent project UUID. Diese Formulierung ist den IT-Forschern zufolge höchst charakteristisch für LLM-generierten Code, in dem das Modell den Menschen explizit anleitet, wie ein Platzhalterwert angepasst werden muss.
Im Artikel erklären die Checkpoint-Analysten noch detaillierter die Funktionen der Skripte und die Infektionsketten. Außerdem liefern sie eine Liste von Hinweisen auf eine Kompromittierung (Indicators of Compromise, IOCs).
URL dieses Artikels:
https://www.heise.de/-11154421
Links in diesem Artikel:
[1] https://www.heise.de/thema/Kuenstliche-Intelligenz
[2] https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/
[3] https://www.heise.de/thema/Cybercrime
[4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[5] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
Der KI-Inferenzbeschleuniger Maia 200 der Microsoft-Cloudsparte Azure soll mit 10 Pflops FP4-Rechenleistung Google TPU v7 und AWS Inferentia überholen.
Der Hyperscale-Clouddienstleister Microsoft Azure kündigt die zweite Generation seines hauseigenen KI-Rechenbeschleunigers an, den Maia 200. Er verarbeitet 10 Billiarden FP4-Werte pro Sekunde (10 PFlops), steuert 216 Gigabyte schnellen HBM3E-Speicher an und lässt sich mit 1,4 TByte/s mit anderen Maia-200-Knoten koppeln.
Mit diesen Eckdaten sowie unter 900 Watt Leistungsaufnahme soll Maia 200 die aktuellen KI-Beschleuniger von Google Cloud (TPU v7) [1] und Amazon AWS (Trainium 3) [2] übertreffen.
Bei einem KI-Beschleuniger, den Kunden nur in Form von Cloudinstanzen mieten können, ist aber vor allem der Preis dafür spannend; den verrät Azure zunächst nicht. Doch Maia 200 soll 30 Prozent mehr Performance pro Dollar liefern.
Maia-200-Instanzen stellt Microsoft zuerst in der Azure-Region US Central bereit, dann folgt US West 3 bei Phoenix/Arizona.
Um die Vorteile von Maia 200 zu illustrieren, veröffentlicht Microsoft die folgende Tabelle:
| KI-Beschleuniger Microsoft Azure Maia 200 im Vergleich | ||||
| Anbieter | Microsoft Azure | Microsoft Azure | Amazon AWS | Google Cloud |
| KI-Beschleuniger | Maia 200 | Maia 100 | Trainium 3 | TPU v7 |
| Rechenleistung BF16 | 1268 TFlops | 800 TFlops | 671 TFlops | 2307 TFlops |
| Rechenleistung FP8 | 5072 TFlops | k.A. | 2517 TFlops | 4614 TFlops |
| Rechenleistung FP4 | 10145 TFlops | k.A. | 2517 TFlops | – |
| TDP (geschätzt) | 880 W | 500 W | 700 W | 1000 W |
| RAM | 216 GByte HBM3E | 64 GByte HBM2E | 144 GByte HBM3E | 192 GByte HBM3E |
| RAM-Transferrate | 7 TByte/s | 1,8 TByte/s | 4,9 TByte/s | 7,4 TByte/s |
| Interconnect | 1,4 TByte/s | 0,6 TByte/s | 1,2 TByte/s | 0,6 TByte/s |
| Fertigungstechnik | TSMC N3P | TSMC N5 | TSMC N3P | TSMC N3P |
| Chipfläche | k.A. | 820 mm² | k.A. | k.A. |
| Angaben von Microsoft Azure, zu Maia 100: Microsoft Azure von der Hot Chips 2024 | ||||
Die zeigt, dass der Maia 200 vor allem beim Inferencing von großen KI-Modellen mit FP4-Gewichten sehr hohe Rechenleistung liefert. Dabei bleibt die Leistungsaufnahme moderat, wobei nicht ganz klar ist, ob sich diese nur auf den KI-Beschleuniger bezieht oder ob auch das High Bandwidth Memory (HBM3E) und die 28 Ethernetports mit je 400 Gbit/s eingerechnet sind.
Auch der Vergleich des ausdrücklich für Inferencing ausgelegten Maia 200 mit dem AWS Trainium 3 – der vor allem aufs Training zielt – wirkt ungenau. Die Daten des seit 2024 in Microsoft Azure buchbaren Maia 100 [3] haben wir ergänzt.
Nvidias aktueller GB200 (Grace Blackwell Superchip) schafft mit Sparsity bei FP4 bis zu 20.000 TFlops [4], besteht aber auch aus zwei KI-Chips und ist mit rund 1,2 kW Leistung spezifiziert.
Microsoft Azure betont, dass sich bis zu 6144 Maia 200 zusammenschalten lassen, um auch sehr große KI-Modelle zu verarbeiten. Das Microsoft Superintelligence Team nutze Maia 200 bereits, um synthetische Daten zu generieren sowie für Reinforcement Learning.
Ebenso wie Amazon und Google entwickelt Microsoft seine KI-Beschleuniger nicht komplett selbst. Branchenkenner gehen davon aus, dass Microsoft die Firma Marvell als Entwicklungspartner für Maia bezahlt. Marvell soll auch am AWS Trainium beteiligt gewesen sein, während Google für die TPU wohl Broadcom einspannt [5]. Der taiwanische Entwicklungsdienstleister Alchip soll ebenfalls bestimmte Chips für AWS entwickelt haben.
URL dieses Artikels:
https://www.heise.de/-11152444
Links in diesem Artikel:
[1] https://docs.cloud.google.com/tpu/docs/tpu7x?hl=de
[2] https://www.heise.de/news/Amazon-mit-neuem-KI-Beschleuniger-und-kuenftig-mit-Nvidia-Technologie-11100599.html
[3] https://www.heise.de/news/Microsoft-Cobalt-und-Maia-ARM-CPU-und-KI-Beschleuniger-fuer-die-Azure-Cloud-9529727.html
[4] https://www.heise.de/news/Nvidias-neue-KI-Chips-Blackwell-GB200-und-schnelles-NVLink-9658475.html
[5] https://www.heise.de/news/Bit-Rauschen-Nvidia-MediaTek-und-ARM-attackieren-x86-CPU-Markt-10249717.html
[6] https://www.heise.de/ct
[7] mailto:ciw@ct.de
Copyright © 2026 Heise Medien
(Bild: Titima Ongkantong/Shutterstock.com)
Die CISA warnt vor beobachteten Angriffen auf VMware vCenter, Zimbra, Vite Vitejs, Versa Concerto und Prettier.
Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf fünf Produkte. Die Schwachstellen sind offenbar bereits einige Zeit bekannt. Admins sollten unverzüglich Aktualisierungen vornehmen.
Etwa auf Vite Vitejs, Versa Concerto, Prettier und Zimbra konnten in freier Wildbahn Angriffe beobachtet werden, vor denen die CISA in einer Alarmmeldung [1] warnt. Vitejs erlaubt offenbar den Zugriff auf eigentlich blockierte Ressourcen und kann dadurch geschützte Informationen preisgeben (CVE-2025-31125 [2], CVSS 5.3, Risiko „mittel“). In Versa Concerto können Angreifer die Authentifizierung umgehen (CVE-2025-34026 [3], CVSS 9.2, Risiko „kritisch“). „eslint-config-prettier“ hat in einigen Versionen bösartigen Code für einen Lieferkettenangriff enthalten (CVE-2025-54313 [4], CVSS 7.5, Risiko „hoch“).
Angreifer attackieren demnach auch eine Sicherheitslücke in Zimbra. Es handelt sich um eine File-Inclusion-Lücke, bei der Angreifer aus dem Netz ohne Anmeldung sorgsam präparierte Anfragen an den API-Endpunkt „/h/rest“ richten und dadurch das Einbinden beliebiger Dateien aus dem Webroot-Verzeichnis erreichen können (CVE-2025-68645 [5], CVSS 8.8, Risiko „hoch“). Anfang Januar warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, dass in Deutschland viele hunderte Zimbra-Server frei zugänglich im Netz stehen [6] und teils noch für Sicherheitslücken anfällig sind.
Zudem wurden Attacken auf eine Root-Lücke in VMware vCenter Server [7] beobachtet (CVE-2024-37079 [8], CVSS 9.8, Risiko „kritisch“). Es handelt sich um einen Heap-basierten Pufferüberlauf, den Angreifer durch Senden sorgsam präparierter Netzwerkpakete auslösen und in der Folge Schadcode einschleusen und ausführen können.
Die Hersteller stopfen die Sicherheitslücken mit Sicherheitsupdates. IT-Verantwortliche sollten aufgrund der beobachteten Angriffe spätestens jetzt dafür sorgen, dass die Aktualisierungen auch angewendet werden.
URL dieses Artikels:
https://www.heise.de/-11154275
Links in diesem Artikel:
[1] https://www.cisa.gov/news-events/alerts/2026/01/22/cisa-adds-four-known-exploited-vulnerabilities-catalog
[2] https://www.cve.org/CVERecord?id=CVE-2025-31125
[3] https://www.cve.org/CVERecord?id=CVE-2025-34026
[4] https://www.cve.org/CVERecord?id=CVE-2025-54313
[5] https://nvd.nist.gov/vuln/detail/CVE-2025-68645
[6] https://www.heise.de/news/BSI-CERT-Bund-bemaengelt-viele-verwundbare-Zimbra-Server-11135422.html
[7] https://www.heise.de/news/Sicherheitsupdates-Root-Luecke-bedroht-VMware-vCenter-Server-9767493.html
[8] https://nvd.nist.gov/vuln/detail/cve-2024-37079
[9] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[10] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Trend Micro Zero Day Initiative)
Die Veranstalter schütten beim Pwn2Own Automotive 2026 1 Million US-Dollar Preisgeld aus. Die Teilnehmer entdeckten 76 Zero-Day-Sicherheitslücken.
Für Autohersteller wie Tesla war der diesjährige Pwn2Own-Automotive-Wettbewerb ein Debakel. Schließlich haben die teilnehmenden Teams zahlreiche Schwachstellen erfolgreich ausgenutzt und unter anderem „Doom“ auf einer Ladestation gezockt.
Bei Pwn2Own-Wettbewerben treffen Sicherheitsforscher auf Computer, Technik und Autos, um diese zu knacken. Klappt das, gibt es ein Preisgeld und im besten Fall liefern die betroffenen Hersteller zügig Sicherheitspatches aus. Nach dem Pwn2Own Automotive 2026 haben sie auf jeden Fall viel zu tun. Insgesamt haben die Teilnehmer 76 Zero-Day-Sicherheitslücken aufgedeckt. So bezeichnet man Software-Schwachstellen, für die es noch kein Sicherheitsupdate gibt. Ob mittlerweile Patches erschienen sind, ist bislang nicht bekannt.
Den Wettbewerb veranstaltet Trend Micros Zero Day Initiative. In ihrem Blog haben sie die Ergebnisse zusammengetragen [2].
Die Veranstalter geben an, insgesamt knapp über 1 Million US-Dollar Preisgeld ausgeschüttet zu haben. Auf Platz 1 in der Gesamtwertung hat es das Team Fuzzware.io geschafft. Das hat ihm 215.000 US-Dollar eingebracht. Dafür haben sie unter anderem die Ladestation ChargePoint Home Flex (CPH50-K) erfolgreich attackiert.
Bereits am ersten Tag des Wettbewerbs musste Teslas Infotainmentsystem dran glauben. Das Team Synacktiv hat zwei Sicherheitslücken miteinander kombiniert, um über eine USB-basierte Attacke einen Speicherfehler auszulösen. Ein derartiger Zustand ist oft die Basis für das Ausführen von Schadcode.
Mehrere Sicherheitsforscher haben sich die Ladestation Alpitronic HYC50 vorgenommen und am Ende lief darauf der Ego-Shooter „Doom“. Dafür gab es 20.000 US-Dollar. Aus Sicherheitsgründen gibt es zum jetzigen Zeitpunkt keine weiterführenden Details über die im Wettbewerb ausgenutzten Sicherheitslücken. Bleibt zu hoffen, dass die Auto- und Ladesäulenhersteller schnell reagieren und zeitnah Sicherheitspatches veröffentlichen.
URL dieses Artikels:
https://www.heise.de/-11153799
Links in diesem Artikel:
[1] https://www.zerodayinitiative.com/blog/2026/1/23/pwn2own-automotive-2026-day-three-results-and-the-master-of-pwn
[2] https://www.zerodayinitiative.com/blog/
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Sparkassen)
Die Sparkassen haben seit 2020 den Passwort-Manager S-Trust angeboten. Das Angebot rentiert sich nicht und endet daher in Kürze.
Der Passwort- und Dokumenten-Manager S-Trust der Sparkassen wird in Kürze Geschichte sein. Zum 31. März 2026 endet das Angebot. Es hat nicht die erhoffte Marktdurchdringung erreicht.
Das kündigen die Sparkassen jetzt auf der S-Trust [1]-Webseite an. Zu den Hintergründen findet man etwa bei der Sparkasse Hannover etwas mehr [2] Informationen: „Trotz aller gemeinsamen Anstrengungen konnte sich S-Trust in einem stark umkämpften Markt mit internationalen Wettbewerbern nicht dauerhaft durchsetzen. Ein wirtschaftlich tragfähiger Weiterbetrieb ist leider nicht möglich.“
Wer das Angebot nutzt, könne zum Anbieter der originalen Software wechseln – SecureSafe des schweizerischen Unternehmens DSwiss AG. „Nutzende können ihre Daten über eine von DSwiss bereitgestellte technische Transfermöglichkeit zu SecureSafe übertragen, sofern sie sich eigenständig für diesen Dienst entscheiden“, erklärt die Sparkasse. Dafür seien Nutzerinnen und Nutzer verantwortlich, das Angebot stehe ausschließlich bei DSwiss selbst zur Verfügung. Die Hannoveraner Sparkasse liefert in ihrer oben verlinkten Ankündigung die Anleitung zum Wechsel gleich mit.
Wer auf gänzlich andere Anbieter wechseln möchte, findet ebenfalls Hilfestellung dafür [3]. Das ist möglicherweise eine gute Idee: Bei der Prüfung von Passwort-Managern durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) [4] im Dezember vergangenen Jahres kam die IT-Sicherheitsbehörde zu dem Ergebnis, dass der Hersteller theoretisch auf die Daten zugreifen könne, da bei SecureSafe lediglich serverseitig ver- und entschlüsselt wird. Laut BSI muss man dem Hersteller daher vertrauen, dass die „kompensatorischen Maßnahmen“ effektiv derartige Zugriffe unterbinden. Hinter dem S-Trust Password Manager verbirgt sich die SecureSafe-App, lediglich mit Sparkassen-Logo versehen, sodass das auch beim Sparkassen-Abkömmling gilt.
Verknüpfungen mit dem elektronischen Postfach der Sparkassen müssen Nutzer auflösen und zuvor etwaige bei S-Trust gelagerte Dokumente ins Postfach zurückverschieben. Auch andere mit der Dokumentenverwaltung aufbewahrte Dokumente sollten Nutzerinnen und Nutzer woanders speichern, um den Zugriff nicht zu verlieren.
An S-Trust nehmen etwa 80 Prozent der Sparkassen teil. Darunter auch die großen wie Haspa oder die Berliner Sparkasse.
URL dieses Artikels:
https://www.heise.de/-11153815
Links in diesem Artikel:
[1] https://www.s-trust.de/
[2] https://www.sparkasse-hannover.de/de/home/privatkunden/banking-und-bezahlen/banking-service/s-trust.html
[3] https://www.s-trust.de/funktionen/passwort-manager.html#3-passwoerter-aus-s-trust-exportieren
[4] https://www.heise.de/news/BSI-prueft-Passwort-Manager-Einige-ermoeglichen-theoretisch-Herstellerzugriff-11108570.html
[5] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
Der Smart-Meter-Rollout lahmt, aber es gibt weitere Probleme: Häufig registrieren Netzbetreiber die Geräte nicht korrekt. Ausbaden müssen es die Kunden.
Der Smart-Meter-Rollout ist ein leidiges Thema. Obwohl der Startschuss für den Einbau der vernetzten Stromzähler [1] [1] im Jahr 2019 fiel, haben hunderte Stromnetzbetreiber noch kein einziges Exemplar bei ihren Kunden installiert. Vor allem kleine Betreiber, typischerweise Stadtwerke, haben damit auch die gesetzlichen Einbauziele zum Jahresende 2025 verfehlt. Die zuständige Aufsichtsbehörde, die Bundesnetzagentur, droht bereits mit Zwangsgeldern [2] [2].
Weniger bekannt ist: Für Kunden geht der Ärger häufig erst dann los, wenn das „intelligente Messsystem“ installiert ist. In vielen Fällen dauert es nach dem Einbau noch Monate, bis die von dem Gerät gesammelten Daten beim Stromanbieter ankommen und etwa für die Abrechnung dynamischer Tarife genutzt werden können. „Einige unserer Kunden warten bis zu drei Monate, bis die Daten zur Verfügung stehen“, sagt Konrad Schade, Chief Commercial Officer des Stromanbieters Rabot Energy, im Gespräch mit c’t. Verantwortlich dafür seien in erster Linie die Verteilnetzbetreiber und die umständlichen, staatlich vorgegebenen Kommunikationsprozesse in der Energiebranche.
Um die Kritik einordnen zu können, muss man das Zusammenspiel der Akteure im Strommarkt in Grundzügen verstehen: Die Netzbetreiber, etwa Stadtwerke, bauen in der Regel als sogenannte grundzuständige Messstellenbetreiber (gMsb) Smart Meter ein und betreiben sie. Sie nehmen dann zwei gesetzlich definierte Rollen gleichzeitig wahr. Es gibt aber auch „wettbewerbliche“ Messstellenbetreiber (wMsb), die bundesweit Smart Meter einbauen und betreiben. Viele Anbieter dynamischer Stromtarife wie Rabot Energy beauftragen wMsb mit der Installation von Smart Metern bei ihren Kunden. Andere Energieanbieter wie Octopus oder Enpal agieren selbst als wMsb.
URL dieses Artikels:
https://www.heise.de/-11139456
Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/Was-Smart-Meter-leisten-was-sie-kosten-und-wie-man-sie-bekommt-10304507.html
[2] https://www.heise.de/news/Smart-Meter-Rollout-Hunderte-Betreiber-verpassen-offenbar-gesetzliches-Ziel-11127877.html
[3] https://www.heise.de/hintergrund/Smart-Meter-Schnittstelle-fuer-lokalen-Datenabruf-10334463.html
[4] https://www.heise.de/ratgeber/Was-Smart-Meter-leisten-was-sie-kosten-und-wie-man-sie-bekommt-10304507.html
[5] https://www.heise.de/ratgeber/Smart-Meter-Alternativen-Zaehler-Lesekoepfe-Co-im-Ueberblick-10306611.html
[6] https://www.heise.de/hintergrund/Erfahrungsbericht-Ein-Jahr-dynamischer-Stromtarif-mit-Tibber-10241880.html
Copyright © 2026 Heise Medien
FreshRSS