Anmelden
(Bild: iHaMoo / Shutterstock.com)
Staatliche Zero-Day-Exploits sickern auf den Schwarzmarkt durch und dienen für breit gestreuten Datenraub, warnen Sicherheitsforscher. iOS 18 ist betroffen.
Auf Coruna folgt DarkSword: Sicherheitsforscher-Teams haben ein weiteres ausgeklügeltes Exploit-Kit analysiert, das verschiedene Angreifergruppen offenbar breitflächig eingesetzt haben, um Daten von iPhones zu stehlen. Allein durch den Aufruf manipulierter Webseiten seien die Apple-Geräte durch die Kombination mehrerer Zero-Day-Lücken komplett kompromittiert worden, betont die Google Threat Intelligence Group.
Derart aufwendige und teure Malware werde gewöhnlich nur von staatlichen Stellen gezielt gegen einzelne Personen eingesetzt. DarkSword und Coruna [1] belegen allerdings, dass es „einen Second-Hand-Markt für solche Exploits gibt“ und diese dadurch in Hände von Gruppen mit geringeren Ressourcen und finanziellen Motiven gelangen können, erklärt die Sicherheitsfirma Lookout [2].
DarkSword ist demnach in der Lage, innerhalb von Sekunden oder wenigen Minuten eine Vielzahl an Daten von dem kompromittierten iPhone an eigene Server zu übertragen. Dazu zählen den Angaben zufolge iMessage-, SMS, WhatsApp und Telegram-Chats ebenso wie E-Mails, Health-Daten, Dokumente, Passwörter, WLAN-Daten, Browser-Historie plus Kalender, Adress- und Kontaktdatenbanken. Die Malware hat es der Analyse zufolge außerdem auf gängige Krypto-Wallets abgesehen und versucht im Anschluss, ihre Spuren zu verwischen. Hier sei also nicht die gezielte, längerfristige Überwachung eines kompromittierten iPhones das Ziel, sondern ein auch finanziell motivierter, breit gestreuter „Hit and run“, so die Sicherheitsfirma.
Laut den Google-Sicherheitsforschern [3] haben verschiedene Angreifer – darunter die russische Gruppe UNC6353 – das Exploit-Kit bis mindestens Ende 2025 eingesetzt. Die Malware soll sich unter anderem gegen Nutzer in der Ukraine, Türkei, Saudi-Arabien und Malaysia gerichtet haben. DarkSword sei auf die iOS-Version 18.4 bis 18.7 ausgelegt, die möglicherweise noch auf „Hunderten Millionen Geräten“ laufen, merken die Sicherheitsforscher an. Alle ausgenutzten Schwachstellen habe Apple gerade erst mit iOS 26.3 gepatcht.
Apple-Nutzer sollten ihre Geräte dringend auf die neueste Betriebssystemversion bringen, das ist aktuell iOS, iPadOS und macOS 26.3.1. In der Nacht auf Mittwoch hat Apple außerdem einen weiteren, davon möglicherweise unabhängigen, Sicherheitspatch nachgeliefert – 26.3.1 (a) ist die allerneuste Version [4]. Auch in iOS 18.7.3 sind die Schwachstellen angeblich beseitigt.
Auf Geräten, die nicht mehr aktualisiert werden können, raten die Sicherheitsforscher zur Aktivierung des Blockierungsmodus. Dieser schränkt mehrere Funktionen ein und findet sich in „Einstellungen > Datenschutz & Sicherheit“ ganz unten. Ob Apple erneut Patches für ältere iOS-Versionen nachliefert, bleibt vorerst offen.
URL dieses Artikels:
https://www.heise.de/-11216618
Links in diesem Artikel:
[1] https://www.heise.de/news/Coruna-Was-hinter-dem-neuen-Exploitkit-fuer-iPhones-steckt-11205616.html
[2] https://www.lookout.com/threat-intelligence/article/darksword
[3] https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain
[4] https://www.heise.de/news/Schwer-zu-finden-Apple-spielt-Background-Security-Improvement-Update-aus-11215220.html
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.heise.de/mac-and-i
[7] mailto:lbe@heise.de
Copyright © 2026 Heise Medien
(Bild: Sashkin / Shutterstock.com)
Eine Schwachstelle im Zusammenspiel von snapd und systemd unter Ubuntu ermöglicht Angreifern, root-Zugriff zu erlangen.
Eine Schwachstelle in den Standard-Installationen von Ubuntu Desktop ermöglicht Angreifern, auf verwundbaren Systemen root-Rechte zu erlangen. Damit können bösartige Akteure anfällige Systeme vollständig kompromittieren. Aktualisierte Pakete stehen bereit.
Die IT-Forscher von Qualys haben die Schwachstelle entdeckt. In einem Blog-Beitrag erklären sie [1] das Problem, das auf nicht beabsichtigten Wechselwirkungen von zwei Werkzeugen mit erhöhten Rechten basiert. „snap-confine“ soll Snap-Apps in einer Art Sandbox isolieren und die Sicherheit etwa durch das Einrichten von privaten Namespaces gewährleisten, mit set-user-ID-root (SUID). Der Dienst „systemd-tmpfiles“ entrümpelt temporäre Dateien und Verzeichnisse, die älter als ein definierter Zeitraum sind.
Ein Angriff ist durch den langen Zeitraum, den Angreifer bis zum potenziellen Erfolg warten müssen, als komplex eingestuft. In Ubuntu 24.04 dauert es bis zu 30 Tage, in jüngeren Versionen 10 Tage, bis der systemd die kritischen „/tmp/.snap“-Verzeichnisse löscht. Sofern das Verzeichnis gelöscht wurde, können bösartige Akteure es mit niedrigen Rechten im System neu erstellen und bösartigen Code dort ablegen. Bei der nächsten Initialisierung der snapd-Sandbox durch „snap-confine“ bindet das Tool diese Dateien als root ein, wodurch beliebiger Code im root-Kontext ausgeführt werden kann (CVE-2026-3888 [2], CVSS 7.8, Risiko „hoch“).
Ubuntu stellt aktualisierte snapd-Pakete bereit, die die Schwachstelle ausbessern. Für Ubuntu 24.04 LTS löst snapd 2.73+ubuntu24.04.1 das Problem, in 25.10 snapd 2.73+ubuntu25.10.1, in der derzeit in Entwicklung befindlichen 26.04 LTS (Dev) hingegen snapd 2.74.1+ubuntu26.04.1; im Upstream von snapd sind Versionen ab 2.75 fehlerbereinigt. Auch, wenn ältere Ubuntu-Versionen von 16.04 bis 22.04 LTS in der Standardeinstellung nicht verwundbar sind, empfiehlt Qualys die Installation der aktualisierten snapd-Pakete.
Für die alten Ubuntu [3]-Versionen können Admins im Rahmen einer Ubuntu-Pro-Lizenz noch Software-Updates bekommen. Im November 2025 gab Canonical bekannt, dass ab Ubuntu 14.04 bis zu 15 Jahre Sicherheitsupdates [4] im Rahmen dieses Programms erhältlich sind. Damit lässt sich das alte Ubuntu bis ins Jahr 2029 sicher betreiben.
URL dieses Artikels:
https://www.heise.de/-11216189
Links in diesem Artikel:
[1] https://blog.qualys.com/vulnerabilities-threat-research/2026/03/17/cve-2026-3888-important-snap-flaw-enables-local-privilege-escalation-to-root
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-3888
[3] https://www.heise.de/thema/Ubuntu
[4] https://www.heise.de/news/Ubuntu-Linux-Distribution-liefert-15-Jahre-Support-11080739.html
[5] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Tada Images / Shutterstock.com)
Apple hat Updates für Apps wie Replit und Vibecode blockiert. Der Grund: Die Anwendungen verstoßen gegen Regeln zur Ausführung von nachgeladenem Code.
Gegen Vibe-Coding fürs iPhone hat Apple erklärtermaßen keine Einwände. Wer aber auf diese Weise Web-Apps am App Store vorbei entwickeln lässt, geht dem iPhone-Hersteller offenbar zu weit: Dies haben jetzt zwei Anbieter von Vibe-Coding-Apps zu spüren bekommen, deren geplante Updates von Apples App-Store-Kontrolle abgelehnt wurden. Das Unternehmen selbst verweist auf Verstöße gegen die Regeln und zeigt einen möglichen Lösungsweg auf.
Erst vor kurzem hat Apple selbst einen großen Vorstoß in Richtung Vibe-Coding unternommen. Mit der Einführung von agentischer KI in Apples Entwicklungsumgebung Xcode [1] ist es seit Version 26.3 so einfach wie noch nie, ohne Kenntnis von Programmiersprachen ganze Apps entwickeln zu lassen. Dennoch nimmt die Entwicklung dort ihren klassischen Weg, wie Apple ihn seit Anbeginn des App Stores einfordert: Die Entwicklung findet am Mac statt und die fertige App kann der Entwickler sich wahlweise lokal zum Testen installieren, per TestFlight an größere Testerkreise verteilen oder dem App Review zur Prüfung vorlegen, um sie im App Store zu veröffentlichen.
Die beiden Vibe-Coding-Apps Replit und Vibecode gehen einen anderen Weg. Sie dienen weniger dazu, Apps zu erstellen, die auch andere nutzen. Stattdessen werben die Anbieter damit, dass Nutzer sich ohne Programmierkenntnisse maßgeschneiderte Web-Apps erstellen lassen können. Gibt es also keine passende App im App Store, die den Wünschen gerecht wird, können sich Nutzer per Vibe-Coding einfach eine eigene erstellen lassen. Allerdings besteht dadurch je nach Funktionsumfang auch die Möglichkeit, Alternativen zu Kauf- oder Abo-Apps erschaffen zu lassen. Und dann gehen nicht nur deren Entwickler leer aus, sondern auch Apple als Ladenbetreiber, der pro Verkauf eine Provision bekommt.
Aus Apples Sicht sei der Grund für das Blockieren der Updates allerdings ein ganz anderer, berichtet das Apple-Blog 9to5Mac [2]. So gehe es dem Hüter des App Stores in Wirklichkeit darum, dass es Apps untersagt sei, Code nachzuladen oder auszuführen, der ihre Funktionalität verändere. Dies ist eigentlich eine Vorschrift, die Fake-Apps verhindern soll, die etwa im Gewand einer harmlosen App im App Store erscheinen, dann jedoch in Wirklichkeit Inhalte nachladen, die gegen die Regeln verstoßen. Apple wendet die entsprechenden Paragrafen der Nutzungsbedingungen des Entwicklerprogramms nunmehr auch auf Vibe-Coding-Apps an. Konkret beruft sich Apple dabei auf App Store Guideline 2.5.2 sowie Abschnitt 3.3.1(B) des Developer Program License. Dies berichtete zuvor bereits The Information [3].
Unversöhnlich gibt sich Apple allerdings nicht. In drei Telefongesprächen in zwei Monaten habe man den betroffenen Entwicklern mögliche Lösungswege aufgezeigt. Einer soll sein, dass App-Vorschauen im Browser angezeigt werden, anstatt sie innerhalb der App zu generieren. Diesen Umstand dürften die Anbieter der Vibe-Coding-Apps aber eher als unnötige Mühsal für ihre Nutzer ansehen, weil diese dann ständig zwischen zwei verschiedenen Apps – Browser und Vibe-Coding-App – wechseln müssten.
URL dieses Artikels:
https://www.heise.de/-11216714
Links in diesem Artikel:
[1] https://www.heise.de/news/KI-Kehrtwende-vollendet-Apple-liefert-bei-Entwicklern-mit-Xcode-26-3-ab-11193628.html
[2] https://9to5mac.com/2026/03/18/apple-pushing-back-on-vibe-coding-iphone-apps-developers-say/
[3] https://www.theinformation.com/articles/apple-cracks-vibe-coding-apps
[4] https://www.heise.de/mac-and-i
[5] mailto:mki@heise.de
Copyright © 2026 Heise Medien
Der Arrow Lake Refresh kommt auch für Notebooks. Das neue Topmodell soll trotz gleicher Chips acht Prozent schneller sein.
Intel stellt die beiden Mobilprozessoren Core Ultra 9 290HX Plus und Core Ultra 7 270HX Plus vor. Sie gehören wie schon die Plus-Modelle für Desktop-PCs [1] zur Baureihe Arrow Lake Refresh. Die Neuauflage für Notebooks ist nur logisch: Die HX-Prozessoren nutzen die gleichen Chips wie die Desktop-CPUs, Intel kann die Optimierungen also einfach übernehmen. Sie sind für High-End-Notebooks und mobile Workstations gedacht, für die es keine neueren Panther-Lake-Modelle gibt.
Die Notebook-Typen erhalten zwei Verbesserungen: Die Datenverbindung zwischen den Chiplets (Die-to-Die-Taktfrequenz) steigt von 2,1 auf 3,0 GHz. Zudem bietet Intel ein Binary Optimization Tool an, das in bestimmten Spielen und Anwendungen den Code für die Plus-Prozessoren optimiert. Der Hersteller sieht die Optimierungen ausschließlich für den Arrow Lake Refresh vor.
Intel zeigt Vergleichs-Benchmarks in 32 Spielen, die in Full-HD-Auflösung (1920 × 1080 Pixel) und hohen Grafikeinstellungen entstanden sind. Der Core Ultra 9 290HX Plus soll durchschnittlich acht Prozent schneller sein als das bisherige Topmodell Core Ultra 9 285HX. In 12 der 32 Spiele bringt das Binary Optimization Tool Vorteile. In Anwendungen nennt Intel einen Vorteil von sieben Prozent.
Die Produktseiten der neuen Prozessoren zeigen noch Unterschiede bei den Taktfrequenzen: Zwar können die Effizienzkerne in der Spitze minimal höher takten, jedoch sinkt der Basistakt der E-Kerne um 300 MHz auf 1,8 GHz. Bei den Performance-Kernen sinkt der Basistakt minimal, der maximale Turbo bleibt gleich. Der Core Ultra 9 290HX Plus schafft bis zu 5,5 GHz, der Core Ultra 7 270HX Plus 5,3 GHz.
Notebook-Hersteller können ab sofort Geräte mit dem Core Ultra 9 290HX Plus und Core Ultra 7 270HX Plus vorstellen. Zahlreiche Hersteller stellen bestehende Designs um.
Für Desktop-PCs kommt derweil kein Core Ultra 9 290K Plus, weil Intel da weniger Spielraum für Verbesserungen hat. Schon der bereits erhältliche Core Ultra 9 285K hat mit dem 200S Boost [6] eine erhöhte Die-to-Die-Taktfrequenz. Das Binary Optimization Tool allein rechtfertigt offenbar keine Neuauflage.
URL dieses Artikels:
https://www.heise.de/-11216309
Links in diesem Artikel:
[1] https://www.heise.de/news/Core-Ultra-200S-Plus-Intel-spendiert-Mittelklasse-CPUs-mehr-Kerne-11207603.html
[2] https://www.heise.de/bilderstrecke/5048054.html?back=11216309;back=11216309
[3] https://www.heise.de/bilderstrecke/5048054.html?back=11216309;back=11216309
[4] https://www.heise.de/bilderstrecke/5048047.html?back=11216309;back=11216309
[5] https://www.heise.de/bilderstrecke/5048047.html?back=11216309;back=11216309
[6] https://www.heise.de/news/200S-Boost-Intel-gibt-Uebertakterprofil-mit-Garantie-frei-10359866.html
[7] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[8] https://www.heise.de/ct
[9] mailto:mma@heise.de
Copyright © 2026 Heise Medien
(Bild: Zakharchuk / Shutterstock.com)
Viel Neues für Java gibt es von JetBrains für die Entwicklungsumgebung IntelliJ und das Agenten-Framework Koog. Hinzu kommt eine neue Version von Kotlin.
Das Update der Entwicklungsumgebung IntelliJ IDEA 2025.3.4 von JetBrains unterstützt nun das am 17. März veröffentlichte Java 26 vollständig. Außerdem spendiert die Firma dem Agenten-Framework Koog eine Java-API.
Entwicklerinnen und Entwickler können nach dem Update mit allen zehn der großen Neuerungen von Java 26 [1] arbeiten, mit den fünf stabilen, wie HTTP/3, und den fünf Previews, wie Pattern Matching mit Primitives.
Um Preview-Funktionen freizuschalten, stellt man die Sprachstufe in der IDE auf „Language level to 26 (Preview) – Primitive types in patterns (Fourth preview)“. Dann blendet IntelliJ alle Hilfen auch für diese Sprachstufe an, einschließlich Inspections and Quick-fixes ein. Bei den Preview-Funktionen zeigt das Tool zusätzlich einen Warnhinweis, da Anwender sie möglicherweise nicht in Code für die Produktion einsetzen möchten.
JetBrains unterstützt auch noch unreife Incubator-Funktionen von Java 26 wie die Verctor API. Zur Nutzung ist ein spezieller Schalter erforderlich: --add-modules jdk.incubator.vector.
Darüber hinaus gibt es kleinere Bugfixes und Verbesserungen [2] in der IDE. Beispielsweise beseitigt das Update einen Fehler, der falsche HTTP-Requests auslöst; und der Tab für Dependencies in der Funktion Analyze Cyclic Dependencies öffnet sich nun richtig. Im DB-Explorer lassen sich jetzt Knoten von Abfragedateien verstecken und beim Language Server für Astro gibt es Verbesserungen im automatischen Vervollständigen.
Für den Einsatz von Java 26 ist das entsprechende JDK erforderlich. Das lässt sich direkt in IntelliJ oder mithilfe von Tools wie SDKMAN [3] laden. Ebenfalls zum Download steht ein neuer Build von Project Valhalla. Das Update von IntelliJ lässt sich innerhalb der IDE mit der Toolbox installieren, über Ubuntu-Snaps oder von der Webseite [4] laden.
Neu von JetBrains ist zudem eine Java-API für das Agenten-Framework Koog [5], die Zugriff auf alle Funktionen des ursprünglich rein für Kotlin entwickelten Frameworks bietet: Planung und Organisation von agentischen Workflows, alle größeren Modelle, Spring Boot oder Observability.
Ebenfalls ein Update gibt es für die Programmiersprache Kotlin 2.3.30 [6], das ein neues Modell für die Nutzung der C-Bibliotheken bietet und kompatibel zu Gradle 9.3 ist.
URL dieses Artikels:
https://www.heise.de/-11215951
Links in diesem Artikel:
[1] https://blog.jetbrains.com/idea/2026/03/java-26-in-intellij-idea/
[2] https://youtrack.jetbrains.com/articles/IDEA-A-2100662645
[3] https://sdkman.io/
[4] https://www.jetbrains.com/idea/download/
[5] https://blog.jetbrains.com/ai/2026/03/koog-comes-to-java/
[6] https://blog.jetbrains.com/kotlin/2026/03/kotlin-2-3-20-released/
[7] mailto:who@heise.de
Copyright © 2026 Heise Medien
Microsoft investiert 3,2 Milliarden Euro in Deutschland, etwa in einen Rechenzentren-Cluster in NRW. Dafür steht ein halbes Gigawatt Leistung bereit.
Vor zwei Jahren kündigte Microsoft an [1], auch in Deutschland riesige KI-Rechenzentren zu bauen. Nun liegen die ersten Baugenehmigungen für mehrere Gebäude im rheinischen Braunkohlerevier vor, am 12. März erfolgte die Feier zum ersten Spatenstich.
Bisher nannte Microsoft aber keine konkreten Zahlen zur geplanten Gesamtleistung des Clusters aus mehreren Rechenzentren. Doch der Netzbetreiber Westnetz baut dafür das Umspannwerk Bedburg um und legt neue 110-Kilovolt-Leitungen mit einer Gesamtkapazität von 520 Megawatt (MW).
Damit stößt der Microsoft-Azure-Cluster in Nordrhein-Westfalen im Endausbau in ähnliche Dimensionen vor, die auch NTT in Rheinland-Pfalz mit 482 MW [2] plant. Dort sind sogar noch Ausbaureserven auf mehr als 600 MW angedacht.
Zum Vergleich: Der bisher größte deutsche Standort für Rechenzentren ist der Raum Frankfurt/Main. Dort sind nach Schätzungen bisher Rechenzentren mit einer Gesamtleistung von wenig mehr als 1,1 Gigawatt (GW) in Betrieb.
Die soeben von der deutschen Bundesregierung verabschiedete Rechenzentrumsstrategie [3] könnte also aufgehen. Denn insgesamt sind in Deutschland zurzeit Investitionen in Rechenzentren in Höhe von insgesamt 25 bis 30 Milliarden Euro [4] geplant.
(Bild: Westnetz)
Viele der großen geplanten Projekte für Rechenzentren erstrecken sich allerdings über lange Zeiträume. Die jeweiligen Investoren möchten zunächst Interessenten anlocken und bauen die Kapazität erst nach Bedarf aus. Daher sind viele der Projekte in Deutschland auch blockweise in Form mehrerer Gebäude geplant.
Im Vergleich zu den gigantischen KI-Fabriken wie Stargate Abilene [5] oder xAI Colossus 2, die derzeit in den USA im Bau sind oder bereits laufen, wirken die meisten Projekte in Deutschland bescheiden. Laut Elon Musk läuft das 18 Milliarden US-Dollar teure Colossus 2 in Memphis seit Januar mit 1 GW und soll bis auf 2 GW anschwellen. Den Strom liefern teilweise mobile Gasturbinen, weil die Netzkapazität nicht ausreicht.
Bisher gibt es in Deutschland auch keine vergleichbar große Nachfrage nach KI-Rechenleistung, vor allem weil es hier keine Firmen wie Meta, Google, Amazon, Microsoft oder Apple gibt, von denen einige mehrere Milliarden Nutzer bedienen.
Die hierzulande bisher schleppende Nachfrage nach KI-Rechenleistung erwähnte auch Telekom-Chef Höttges bei der Eröffnung des mit 12 MW eher kleinen KI-Rechenzentrums Tucherpark [6] in München. Trotzdem soll schon diese Anlage die bisher in Deutschland mietbare KI-Rechenleistung ungefähr verdoppeln.
Auch die Angebote unterscheiden sich stark. Viele große Rechenzentren in Deutschland sind sogenannte Colocation-Rechenzentren, in denen Mieter jeweils eigene Hardware betreiben. Dann beziehen sich die für das jeweilige Rechenzentrum genannten Investitionssummen vor allem auf die Gebäude, deren Infrastruktur (Stromversorgung, Kühlung, physische Sicherung) und eventuell noch Netzwerktechnik.
Cloud-Hyperscaler wie die Marktführer Amazon AWS, Microsoft Azure und Google Cloud packen hingegen eigene Server in ihre Hallen. Daher fließt der größte Teil ihrer Investitionen an Hardware-Hersteller, von denen die größten wiederum in den USA sitzen (Nvidia, HPE, Dell, AMD, Intel, Cisco, Arista, Supermicro).
Microsoft betont [7], dass die Rechenzentren in NRW grünen Strom verheizen werden. Den kauft Microsoft vorwiegend über Power Purchase Agreements (PPA), unter anderem mit dem großen sächsischen PV-Projekt Energiepark Witznitz.
URL dieses Artikels:
https://www.heise.de/-11216718
Links in diesem Artikel:
[1] https://www.heise.de/news/Microsoft-packt-deutsche-KI-mit-3-2-Milliarden-an-Kanzler-Scholz-freut-sich-9629444.html
[2] https://www.heise.de/news/482-Megawatt-Gigantisches-Rechenzentrum-in-Reinhessen-11118281.html
[3] https://www.heise.de/news/Rechenzentren-Bundesregierung-will-Vervierfachung-bis-2030-11213407.html
[4] https://www.heise.de/hintergrund/KI-Rechenzentren-Ploetzlicher-Boom-in-Deutschland-11083928.html
[5] https://www.heise.de/news/OpenAI-Oracle-und-Meta-im-Wettrennen-um-die-groessten-Gigawatt-Supercomputer-10496337.html
[6] https://www.heise.de/news/Telekom-Rechenzentrum-soll-deutsche-KI-Leistung-um-die-Haelfte-steigern-11165290.html
[7] https://news.microsoft.com/source/emea/2026/03/spatenstich-fuer-rechenzentrums-cluster-in-nordrhein-westfalen-microsoft-staerkt-die-digitale-infrastruktur-fuer-deutschlands-ki-zukunft/?lang=de
[8] https://www.heise.de/ct
[9] mailto:ciw@ct.de
Copyright © 2026 Heise Medien
Barrierefreiheit im Web wird durch das Barrierefreiheitsstärkungsgesetz (BFSG) für viele Organisationen zu einem verbindlichen Thema. Seit Juni 2025 gelten für zahlreiche digitale Angebote Anforderungen an eine barrierefreie Gestaltung. In Projekten bedeutet das, Zugänglichkeit nicht nur als Checkliste zu behandeln, sondern als wiederkehrendes Kriterium in Design, Entwicklung, Qualitätssicherung und Betrieb zu verankern. Als Orientierung dienen dabei häufig die Web Content Accessibility Guidelines (WCAG) sowie die europäische Norm EN 301 549.
Damit Anforderungen nicht abstrakt bleiben, braucht es eine belastbare Einordnung: Welche Pflichten folgen aus dem BFSG, wie werden WCAG-Erfolgskriterien auf konkrete UI-Komponenten heruntergebrochen und welche Rolle spielt EN 301 549 in Beschaffung, Audits und internen Vorgaben? Der Workshop Barrierefreiheit – BFSG, WCAG & Co. setzt an dieser Schnittstelle an und behandelt Grundlagen, Bewertungskriterien und Vorgehensweisen, um aus Anforderungen eine priorisierte Umsetzungsplanung abzuleiten.
Ob Barrierefreiheit im Web in der Praxis erreicht wird, entscheidet sich häufig an Details: semantisches HTML, konsistente Tastaturbedienbarkeit, Fokusführung, sinnvolle Aria-Nutzung und ein sauber aufgebauter Accessibility Tree. Ebenso wichtig ist prüfbare Qualitätssicherung, etwa durch automatisierte Checks mit Lintern, Unit- und End-to-End-Tests sowie die Einbindung in CI/CD-Pipelines. Der Workshop Web-Accessibility in der Praxis – Techniken und Automatisierung legt den Schwerpunkt auf die technische Umsetzung und zeigt, wie sich Prüfungen systematisch in Entwicklungsabläufe integrieren lassen und wo ergänzend manuelle Tests erforderlich bleiben.
Wenn sowohl die Einordnung von Anforderungen als auch die konkrete Umsetzung in einem durchgehenden Rahmen behandelt werden sollen, bietet ein zweitägiges Format die Zusammenführung beider Perspektiven. Dabei werden Anforderungen als überprüfbare Kriterien greifbar und Maßnahmen lassen sich in Reviews, Tests und den laufenden Betrieb einbinden. Der Workshop Grundlagen der Barrierefreiheit im Web kombiniert die Themenblöcke und richtet den Blick auf einen konsistenten End-to-End-Ansatz für Webprojekte.
Alle Workshops werden online durchgeführt; als Arbeitsumgebung genügt ein Webbrowser. Nach Abschluss wird ein Teilnahmezertifikat ausgestellt.
Wer sich vor dem Kauf für den kostenlosen Newsletter der Golem Karrierewelt anmeldet, erhält 10 Prozent Rabatt auf die erste Bestellung bei der Golem Karrierewelt.
Der ehemalige CEO von Uber, Travis Kalanick, hat sich in einem Podcast zur Konkurrenz zwischen Waymo und Tesla im Robotaxi-Geschäft geäußert. Electrek zitiert Kalanick mit den Worten, Waymo habe "offensichtlich" einen Vorteil gegenüber Tesla.
Waymos Herausforderungen sind ihm zufolge weniger auf technischer Seite zu suchen, die Technologie des Alphabet-Konzerns hält der Unternehmer für erprobt. Vielmehr solle es bei dem Robotaxi-Anbieter mittlerweile darum gehen, den Dienst zu skalieren und aggressiv in weiteren Märkten anzubieten.
Teslas Herangehensweise, nur auf Kameras und nicht wie Waymo zusätzlich auf Sensoren wie Radar und Lidar zu setzen, sieht Kalanick kritisch. Ihm zufolge wartet das Unternehmen auf einen "ChatGPT-Moment" , durch den autonomes Fahren nur mit Kameras genauso sicher würde wie mit zusätzlichen Sensoren.
Waymos Telemetrie ist vor allem im Dunkeln und bei schlechtem Wetter zuverlässiger als Teslas System nur mit Kameras. Waymo stellte Anfang 2026 seine neue Technologiegeneration Driver 6 vor , bei der die Anzahl der Kameras von 29 auf 16 reduziert werden konnte.
Das System wurde insgesamt günstiger, Electrek spricht von 20.000 US-Dollar – 50 Prozent weniger als zuvor. Waymo bietet seinen Dienst in mittlerweile zehn Städten in den USA an, mit ca. 400.000 bezahlten Touren pro Woche. Zudem finden in London Testfahrten statt. Tesla betreibt etwa 35 Robotaxis in Austin, Texas, mit Fahrern an Bord, die im Notfall eingreifen können.
Travis Kalanick beabsichtigt, selbst ins Robotaxi-Geschäft einzusteigen. Sein Unternehmen Atoms soll autonome Fahrzeugsysteme entwickeln. Uber soll Kalanicks Vorhaben unterstützen. Angeblich will Kalanick aggressiver auf den Markt drängen als Waymo, das seine Technologie eher vorsichtig und auf Sicherheit bedacht entwickelt.
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
Der beginnende Frühling lädt zu Abenteuern in der Natur ein. Dabei sollte eine Taschenlampe nicht fehlen, denn auch wenn die Tage länger werden, kann die Dunkelheit schneller als erwartet hereinbrechen. Mit einer mobilen Lichtquelle lässt sich die Orientierung behalten oder im Notfall auf sich aufmerksam machen. Damit ist sie auch als Begleiter im Auto gut geeignet.
Eine interessante Taschenlampe von Blukar gibt es derzeit bei Amazon
Die Taschenlampe ist mit einem SLW3535-Chip ausgestattet. Dieser gehört zu den leistungsstärkeren LED-Typen seiner Baugröße. Über die konkret zu erwartende Lichtleistung lässt sich aber keine verlässliche Aussage treffen, da dies auch von Faktoren wie der Kühlung und der Bestromung abhängt. Für alltägliche Einsätze dürfte die Helligkeit ausreichen, wobei fraglich ist, ob die Lampe tatsächlich die beworbene Reichweite von bis zu 1.000 m erreichen kann.
Der Lichtstrahl ist zoombar und es stehen drei Helligkeitsstufen sowie ein Stroboskop- und ein SOS-Modus zur Auswahl.
Für die Energieversorgung ist ein 5.000-mAh-Akku zuständig. Dieser soll eine Betriebsdauer von bis zu 24 Stunden ermöglichen. Der Wert ist nicht vollkommen unrealistisch, dürfte aber nur auf der niedrigsten Helligkeitsstufe zu erreichen sein. Bei höherer Helligkeit dürfte der Akku deutlich schneller schlappmachen. Vier LEDs informieren über den ungefähren Ladestand. Aufgeladen wird die Lampe über USB-C.
Das Gehäuse besteht aus einer Aluminiumlegierung, die vom Hersteller als robust und langlebig beworben wird. Es dürfte gewisse Belastungen aushalten, ob es auch das Überfahren durch einen PKW übersteht, wie es manche Produktbilder suggerieren, ist aber fraglich. Außerdem ist die Taschenlampe nach IP67 zertifiziert. Damit soll sie auch den Einsatz bei Wind und Wetter unbeschadet überstehen.
In der Praxis scheint die Taschenlampe von Blukar zu überzeugen. So erreicht sie bei aktuell mehr als 11.100 Amazon-Bewertungen gute 4,6 von 5 Sternen.
Die Lampe ist beim Versandhändler derzeit besonders günstig
Blukar Taschenlampe LED Aufladbar
Jetzt für keine 13 Euro sichernWenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
Von Blukar gibt es noch weitere Leuchtmittel und Gadgets zu entdecken. Eine Übersicht liefert der Amazon-Store von Blukar
Brüsseler Eingriffe in Gas- und Strompreise könnten Versorgungsengpässe auslösen – Experten warnen vor einem teuren Bumerang.
Die Bundesregierung will, dass künftig mehr Gas zu Heizungszwecken und zur Stromerzeugung genutzt wird, muss jedoch befürchten, dass die Preise infolge der faktischen Blockade der Straße von Hormus sowohl bei Gas als auch Strom steigen werden. Kurzfristige Regulierungen könnten die Netze jedoch ins Chaos stürzen.
Im Zuge des Irankriegs steigen die Preise für Gas.
Die EU-Kommission prüft Eingriffe bei den Gas- und Strompreisen. Auf Anfrage von Telepolis erklärt der Verband kommunaler Unternehmen (VKU [1]) dazu:
"Wir sind bei Eingriffen des Staates skeptisch, weil Gas global gehandelt wird und die Preise sich am Weltmarkt bilden. Die Differenz zwischen dem Weltmarktpreis und dem Deckelpreis des Staates zahlt am Ende der Steuerzahler. Subventionen und Deckel laufen am Ende auf das gleiche hinaus: Ein teures Vergnügen für den Steuerzahler, das zumindest in Deutschland aktuell nicht notwendig ist.
Stadtwerke fahren in der Regel eine konservative Beschaffungsstrategie. Sie kaufen das Gros ihrer Gasmengen hauptsächlich bei Großlieferanten am langfristigen Terminmarkt in mehreren Tranchen ein. Dadurch sind sie in der Lage, kurzfristige Preisspitzen an den Spotmärkten abzufedern und die Preise trotz kurzfristiger Schocks stabil halten zu können.
Sprich: Wer einen laufenden Gasvertrag bei einem Stadtwerk hat, braucht morgen keine Preiserhöhung fürchten. Inwiefern es größere Auswirkungen bei Neuabschlüssen und Folgeverträgen gibt, bleibt abzuwarten. Entscheidend werden Dauer und Intensität des Krieges sein.
Richtig ist grundsätzlich, die weitere Entwicklung der Lage zu analysieren und ggfs. Gegenmaßnahmen zu ergreifen. Wenn die Straße von Hormus länger gesperrt wäre und die Angriffe auf LNG-Exporteure in der Golfregion anhalten, würde sich langfristig auch die Preisniveaus an den Terminmärkten erhöhen.
Ein Preisdeckel auf Großhandelsebene wäre jedoch ein Spiel mit dem Feuer. Läge der Deckel unter dem Weltmarkpreis, könnten Engpässe in der Versorgung entstehen, weil LNG-Tanker die lukrativeren Häfen außerhalb der EU ansteuern. Läge der Deckel über dem Weltmarktpreis, würde er die Preise für den Steuerzahler in die Höhe schrauben.
Ein Deckel für Industrie und Haushalte weckt böse Erinnerungen an das Preisbremsenfiasko: Mehr als 30 Milliarden musste der Steuerzahler aufbringen, um die Differenz zwischen Deckel und Marktpreis zu begleichen, und die Versorger ein bürokratisches Monster bewältigen, das erhebliche Mehrkosten verursachte, die am Ende die Strom- und Gaskunden zahlen müssen. Wenn der Staat eine direkte Entlastung von Industrie und Verbrauchern will, sollte er von seinem Instrument der Direktzahlungen Gebrauch machen."
Der Merit-Order-Effekt wird vielfach nicht verstanden und auch in Brüssel scheint man damit seine Probleme zu haben. Daher haben sich der deutsche BDEW und der französische Stromverband UFE in einem gemeinsamen Brief unter dem Titel "Merit-Order als Grundlage für einen soliden europäischen Strommarkt erhalten" an EU-Kommissionspräsidentin Ursula von der Leyen gewandt:
"Mit großer Besorgnis nehmen wir Ihre Erklärung im Anschluss an das Industrietreffen in Antwerpen und die Klausurtagung der Staats- und Regierungschefs in Alden-Biesen zur Kenntnis, dass die Europäische Kommission dem nächsten Europäischen Rat Optionen zur Änderung des Preisbildungsmechanismus oder zur Beibehaltung der aktuellen Gestaltung des Strommarktes vorlegen könnte.
Im Namen des französischen Elektrizitätsverbandes und des Bundesverbandes der Energie- und Wasserwirtschaft möchten wir die Bedeutung des Erhalts der bewährten und grundlegenden Struktur des europäischen Strommarktes unterstreichen. Jede grundlegende Abkehr vom aktuellen Marktrahmen und seinem Preisbildungsmechanismus würde die übergeordneten Ziele der Europäischen Union untergraben, einen Binnenstrommarkt aufzubauen, der auf Resilienz, Versorgungssicherheit und Bezahlbarkeit basiert, wie im Aktionsplan für bezahlbare Energie dargelegt.
Um diese Ziele zu erreichen, sind marktbasierte Preissignale erforderlich, die ein sicheres, wettbewerbsfähiges und sauberes Stromsystem gewährleisten und den europäischen Volkswirtschaften und Verbrauchern – sowohl der Industrie als auch den privaten Haushalten – erhebliche Wohlfahrtsgewinne bringen.
Eine stärkere Marktintegration kann nur gelingen, wenn die Markteinnahmen ausreichend planbar sind, um Investitionen in CO2-arme Erzeugungsanlagen – erneuerbare und bedarfsgerechte Kapazitäten – zu finanzieren. Die Differenz zwischen dem einheitlichen Marktpreis und den Grenzkosten jeder einzelnen Erzeugungsanlage spielt eine entscheidende Rolle für die notwendige Einnahmenstabilität, um Projekte zu finanzieren und kontinuierliche Investitionen in CO2-arme Erzeugung zu gewährleisten.
Es ist daher unerlässlich, dass die Europäische Kommission den bestehenden Preisbildungsmechanismus beibehält. Die EU-Politik sollte von der Einführung alternativer Systeme absehen, die die Marktsignale verzerren und einen dauerhaften Eingriff in die Großhandelspreisbildung erfordern würden. Wo nötig, sollten Bedenken hinsichtlich Bezahlbarkeit und Wettbewerbsfähigkeit stattdessen durch verhältnismäßige und zielgerichtete Unterstützungsmechanismen außerhalb des Marktes ausgeräumt werden, um dessen Effizienz und Integrität zu wahren. […]"
Ein Ausschalten des Merit-Order-Effekts würde dazu führen, dass jeder Stromanbieter bis auf den letzten Moment für sein Angebot warten würde und damit die Redispatch-Kosten deutlich steigen, wenn man einen Zusammenbruch des Stromnetzes vermeiden will.
URL dieses Artikels:
https://www.heise.de/-11212129
Links in diesem Artikel:
[1] https://www.vku.de/
Copyright © 2026 Heise Medien
(Bild: ivkovmark / Shutterstock.com)
Die USA helfen der Ukraine gegen Russland. Nun revanchiert sich Moskau offenbar – und unterstützt den Iran mit Geheimdienstdaten und Drohnentechnik.
Die USA unterstützen die Ukraine seit Jahren, erst, um die Ukraine aus dem Orbit Moskaus zu ziehen, später dann bei der Verteidigung gegen Russlands völkerrechtswidrigen Angriffskrieg. Waffen, Geheimdienstinformationen, mobiles Internet – die Liste der Hilfen ist lang.
Jetzt dreht Moskau den Spieß offenbar um: Laut Berichten des Wall Street Journal (WSJ) hilft Russland dem Iran im Krieg gegen die USA und Israel [1] – einem Konflikt, der von den beiden Letzteren vom Zaun gebrochen wurde und der ebenfalls auf eklatante Weise gegen das Völkerrecht verstößt.
Moskau stellt, so der jüngste [2] WSJ-Bericht, Teheran Satellitenaufnahmen, Positionsdaten von US-Truppen und weiterentwickelte Drohnentechnik zur Verfügung.
Konkret erhält der Iran, so behauptet das Wall Street Journal, von Russland Koordinaten von US-Kriegsschiffen und -Flugzeugen im Nahen Osten. Die Daten stammen von einer Satellitenflotte der russischen Luft- und Raumfahrtstreitkräfte.
Da Teheran kaum über eigene Aufklärungssatelliten verfügt, füllt selbst eine begrenzte Datenweitergabe [3] eine große Lücke in der iranischen Informationslage.
Der ehemalige CIA-Analyst Jim Lamson, heute Gastwissenschaftler am King's College London, sagte gegenüber dem WSJ dazu:
"Wenn diese von den Russen bereitgestellten Bilder Details enthalten, beispielsweise zu bestimmten Flugzeugtypen, Munitionsdepots, Luftabwehranlagen und Marinebewegungen, die für die Iraner von nachrichtendienstlichem Wert sind, würde das ihnen wirklich helfen."
Neben Aufklärungsdaten gibt Russland auch technisches Wissen weiter. Moskau liefert dem Iran Bauteile für verbesserte Shahed-Drohnen, die präziser navigieren und Ziele genauer treffen sollen.
Zusätzlich berät Russland wohl die iranischen Streitkräfte taktisch – etwa dazu, wie viele Drohnen bei einem Angriff gleichzeitig starten sollten und aus welcher Flughöhe sie am wirksamsten zuschlagen.
Dieses Wissen stammt direkt vom Schlachtfeld in der Ukraine [4], wo Russland seit Kriegsbeginn nach ukrainischen Angaben mehr als 57.000 Shahed-Drohnen eingesetzt hat.
Nicole Grajewski, Professorin an der Pariser Forschungsuniversität Sciences Po, stellte laut WSJ fest: "Die Angriffspakete des Iran ähneln mittlerweile stark denen Russlands".
Die Strategie zeigt offenbar Wirkung: In den vergangenen Tagen trafen iranische Drohnen Radar- und Kommunikationsanlagen in Katar, Jordanien, Kuwait, Bahrain und Saudi-Arabien.
Besonders schwer beschädigt wurde ein Frühwarnradar vom Typ AN/FPS-132 auf dem US-Stützpunkt Al-Udeid in Katar – ein System im Wert von bis zu einer Milliarde Dollar. Auch ein Radar [5] einer THAAD-Raketenabwehrbatterie in Jordanien wurde getroffen.
Das Weiße Haus wiegelt ab. Sprecherin Olivia Wales erklärte gegen dem WSJ: "Nichts, was dem Iran von einem anderen Land zur Verfügung gestellt wird, beeinträchtigt unseren operativen Erfolg". Das US-Militär habe bereits mehr als 7.000 Ziele angegriffen und über 100 iranische Marineschiffe zerstört.
Für Moskau zahlt sich der Konflikt am Golf gleich mehrfach aus. Der Krieg verbraucht US-Abfangraketen, die auch die Ukraine dringend für ihre Luftverteidigung benötigt.
Gleichzeitig könnten Störungen an der Straße von Hormus [6] die Ölpreise nach oben treiben [7] – ein Vorteil für die russische Wirtschaft, die stark abhängig vom Export von Erdöl und Erdgas ist.
Dennoch begrenzt der Kreml seine Hilfe bewusst. Der eigene Krieg in der Ukraine bindet Ressourcen, und Moskau will die laufenden Verhandlungen mit Washington über ein mögliches Ukraine-Abkommen nicht gefährden.
Kreml-Sprecher Dmitri Peskow betonte wohl auch deshalb: "Das ist nicht unser Krieg".
Samuel Charap vom US-Thinktank Rand fasste Moskaus Kalkül dennoch treffend zusammen: "Es ist eine Gelegenheit, uns einen Vorgeschmack auf unsere eigene Medizin zu geben".
URL dieses Artikels:
https://www.heise.de/-11215716
Links in diesem Artikel:
[1] https://www.heise.de/tp/article/USA-und-Israel-Die-Enthauptungsstrategie-gegen-Iran-und-die-Probleme-11194543.html
[2] https://www.wsj.com/world/russia-is-sharing-satellite-imagery-and-drone-technology-with-iran-0dd95e49
[3] https://www.wsj.com/world/russia-secretly-sharing-location-of-u-s-targets-with-iran-u-s-officials-say-127d4f1a
[4] https://www.heise.de/tp/article/Ukraine-Krieg-Wie-totale-Schlachtfeld-Transparenz-die-Militaerdoktrin-veraendert-11088268.html
[5] https://www.wsj.com/world/iran-is-hitting-the-radars-that-underpin-u-s-missile-defenses-2edbfccc
[6] https://www.heise.de/tp/article/Fliegende-Falle-im-Ukraine-Krieg-Shahed-Drohnen-greifen-jetzt-Flugzeuge-an-11136697.html
[7] https://www.heise.de/tp/article/Der-Iran-Krieg-ist-Putins-bestes-Konjunkturprogramm-11209842.html
Copyright © 2026 Heise Medien
Am Cern wurde eine schwere Variante des Protons experimentell nachgewiesen
(Bild: Cern)
Am Teilchenbeschleuniger LHC am CERN wurde das sogenannte Ξcc⁺-Teilchen nachgewiesen – ein protonenähnliches Baryon mit vierfacher Protonenmasse.
Physikern am europäischen Kernforschungszentrum CERN bei Genf ist es gelungen, ein seit den 1970er Jahren theoretisch vorhergesagtes Teilchen erstmals experimentell nachzuweisen [1]. Die LHCb-Kollaboration gab die Entdeckung des Ξcc⁺ (ausgesprochen: Xi-cc-plus) auf der Konferenz Rencontres de Moriond Electroweak bekannt.
Das Teilchen ist rund viermal schwerer als ein gewöhnliches Proton und enthält statt zweier leichter Up-Quarks zwei schwere Charm-Quarks – das Down-Quark des Protons bleibt dabei erhalten.
"Das neu nachgewiesene Teilchen ist wie ein Proton, das ein drastisches Quark-Upgrade bekommen hat", erklärte Bolek Pietrzyk von der LHCb-Kollaboration. Die gemessene Masse des Teilchens beträgt 3.619,97 Megaelektronenvolt – in guter Übereinstimmung mit den theoretischen Erwartungen.
Zum Verständnis des Fundes: Alle sichtbare Materie besteht letztlich aus Quarks, fundamentalen Bausteinen, die sich nicht weiter zerlegen lassen. Das Standardmodell der Teilchenphysik kennt sechs Quark-Sorten in drei Generationen, wobei die Masse von Generation zu Generation erheblich zunimmt.
Protonen und Neutronen gehören zur Gruppe der Baryonen – Teilchen aus jeweils drei Quarks, die durch die starke Kernkraft zusammengehalten werden, vermittelt durch sogenannte Gluonen. Ein Proton besteht aus zwei Up-Quarks und einem Down-Quark. Ein Charm-Quark ist der deutlich schwerere Verwandte des Up-Quarks und wiegt rund 500-mal mehr als dieses.
"Dadurch ähnelt ein Baryon mit zwei Charm-Quarks einem Doppelsternsystem mit Planet: Die beiden schweren Quarks umkreisen einander wie zwei Sterne, das leichte Quark umkreist dieses Doppelsystem als Planet", erklärte Guy Wilkinson von der LHCb-Kollaboration. Die starke Kernkraft verhält sich dabei ungewöhnlich: Sie wird stärker, je größer der Abstand zwischen den Teilchen wird – ähnlich einem Gummiband.
Aufgespürt wurde das Ξcc⁺ in Daten aus Proton-Proton-Kollisionen des Jahres 2024 im LHCb-Detektor. Da das Teilchen äußerst kurzlebig ist – es überlebt weniger als eine billionstel Sekunde – wiesen die Forscher es indirekt über seinen charakteristischen Zerfall in andere Teilchen nach.
Bei der Auswertung der Häufigkeit bestimmter Zerfallsprodukte zeigte sich in der Messkurve ein auffälliger Überschuss von 915 Ereignissen bei einer Masse von rund 3.620 Megaelektronenvolt. Die statistische Signifikanz dieser Häufung liegt bei sieben Sigma – deutlich über der in der Teilchenphysik üblichen Nachweisschwelle von fünf Sigma, ab der von einer gesicherten Entdeckung gesprochen wird.
"Dies ist erst das zweite Baryon mit zwei schweren Quarks, das nachgewiesen wurde – und das letzte liegt schon fast zehn Jahre zurück", sagte LHCb-Sprecher Vincenzo Vagnoni. Das zuvor entdeckte Schwester-Teilchen Ξcc⁺⁺ mit zwei Charm-Quarks und einem Up-Quark war 2017 ebenfalls am LHCb-Experiment nachgewiesen worden und hatte eine Masse von rund 3.621 Megaelektronenvolt. Das neue Ξcc⁺ unterscheidet sich von diesem lediglich durch ein Down- statt eines Up-Quarks und hat daher eine sehr ähnliche Masse – ist aber deutlich kurzlebiger.
Der Nachweis räumt zugleich eine über 20 Jahre währende Kontroverse aus dem Weg. Das SELEX-Experiment hatte Anfang der 2000er-Jahre ein Signal gemeldet, das auf ein deutlich leichteres Ξcc⁺ hindeutete. Nachfolgende Suchen bei den Experimenten FOCUS, BaBar und Belle sowie in früheren LHCb-Datensätzen konnten dieses Ergebnis jedoch nie reproduzieren. Erst der 2023 aufgerüstete LHCb-Detektor ermöglichte nun den Nachweis bei einer Masse, die mit den theoretischen Erwartungen übereinstimmt.
"Die verbesserte Detektionsfähigkeit ermöglichte es uns, das Teilchen nach nur einem Jahr zu finden, während wir es in einem Jahrzehnt an Daten mit dem ursprünglichen LHCb nicht sehen konnten", sagte Prof. Tim Gershon von der University of Warwick, der im Juli die internationale Leitung des LHCb-Experiments übernimmt.
Der Fund hat über den konkreten Nachweis hinaus Bedeutung für das Verständnis grundlegender Naturkräfte. "Das neue Ergebnis wird Theoretikern helfen, Modelle der Quantenchromodynamik zu überprüfen – der Theorie, die die starke Kernkraft erklärt", sagte Vagnoni.
Die Quantenchromodynamik (QCD) beschreibt, wie Quarks und Gluonen über die starke Wechselwirkung miteinander interagieren. "Je mehr wir über diese Teilchen lernen, desto mehr können wir über die starke Kraft erfahren, und das ist dieselbe starke Kraft, die unsere Protonen und Neutronen zusammenhält", erklärte Prof. Chris Parkes von der University of Manchester.
Darüber hinaus könnte das neue Teilchen helfen, die Struktur noch exotischerer Objekte zu verstehen – etwa sogenannte Tetraquarks oder Pentaquarks, also Gebilde aus vier oder fünf Quarks. Der modernisierte Detektor gilt als empfindlich genug, um auch solche seltenen Zustände aufzuspüren. "Dies ist erst der erste von vielen erwarteten Einblicken, die mit dem neuen LHCb-Detektor gewonnen werden können", so Gershon.
Die vollständige wissenschaftliche Publikation der LHCb-Kollaboration soll in Kürze folgen.
URL dieses Artikels:
https://www.heise.de/-11215370
Links in diesem Artikel:
[1] https://lhcb-outreach.web.cern.ch/2026/03/17/observation-of-the-doubly-charmed-heavy-proton-%CE%BEcc/
Copyright © 2026 Heise Medien
BSIs bei Apple werden zum Suchspiel.
(Bild: Ole.CNX / Shutterstock.com)
Apple will mit sogenannten BSIs schneller Geräte aktualisieren, wenn es um kleinere Fixes geht. Das Problem: Die verstecken sich tief in den Einstellungen.
Mini-Update mitten in der Nacht: Apple hat sein erstes sogenanntes Background Security Improvement [1], kurz BSI, für Nutzer von iOS, macOS und iPadOS ausgespielt. Damit wird eine Sicherheitslücke im Apple-Browser Safari [2] (beziehungsweise dessen Browser-Engine WebKit) geschlossen. Allerdings ist die Installation keineswegs simpel, Apple hat sie sogar gut versteckt – und zwar an einer Stelle, wo viele User erst gar nicht suchen. Selbst wenn zuvor automatische Updates aktiviert wurden, spielte sich das BSI nicht ein, wie Tests in der Mac & i-Redaktion zeigten.
BSIs sollen laut Apple [3] dazu dienen, „Updates zwischen Updates“ zu ermöglichen, damit Nutzer nicht zu lange auf Aktualisierungen warten müssen, falls zwischen größeren Update-Paketen Lücken auftauchen. Der Vorteil der BSIs ist auch, dass sie meist nur einen kurzen Reboot der Geräte erfordern – manchmal sogar keinen –, der üblicherweise schneller ist als ein normaler Neustart.
Die nun geschlossene Lücke scheint auf den ersten Blick nicht extrem kritisch zu sein: Es geht darum, böswillige Websites davon abzuhalten, die sogenannte Same Origin Policy [4] zu umgehen. Damit könnte auf Daten in anderen Browser-Fenstern oder Browser-Tabs zugegriffen werden. Ob es bereits dazu kam, ist unklar. Apple nennt in seinen Release Notes zumindest keine „bekannten Berichte“, wie das bei schon vorhandenen Exploits der Fall ist.
Das Problem: Apple setzt auf eine andere Verteilinfrastruktur – und BSIs können sogar untergehen. Statt unter „Allgemein“ und „Softwareupdate“, wie normale Updates, findet man BSIs unter „Datenschutz & Sicherheit“. Dort muss man dann ganz nach unten scrollen zu „Im Hintergrund ausgeführte Sicherheitsverbesserungen“ (deutscher Begriff für BSIs). Hier kann man dann „Automatisch installieren“ aktivieren, wobei selbiges wie erwähnt zumindest bei unseren Versuchen nicht erfolgte – es kann dauern, da sich Apple hier einige Tage Zeit lässt.
Ansonsten taucht hier jedes neue BSI auf, das man dann anklicken muss, um es zu installieren – nach Eingabe der PIN. Die Installation selbst erfolgt wie erwähnt recht schnell. Warum Apple BSIs nicht einfach im Bereich „Softwareupdate“ aufführt, bleibt unklar.
URL dieses Artikels:
https://www.heise.de/-11215220
Links in diesem Artikel:
[1] https://www.heise.de/news/Background-Security-Improvements-Wenig-Klarheit-zu-Apples-neuartigen-Updates-11069474.html
[2] https://support.apple.com/en-us/126604
[3] https://support.apple.com/en-us/102657
[4] https://en.wikipedia.org/wiki/Same-origin_policy
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.heise.de/mac-and-i
[7] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
(Bild: Andreas Wodrich / heise medien)
Das iPad Air ist für Pro-Leistung ohne Pro-Preise bekannt. Apple hat es mit neueren Chips aufgewertet. Wir klären in diesem Test, was M4 und Wi-Fi 7 bringen.
Im iPad Pro arbeitet bereits der M5-Prozesser, das iPad Air hat dagegen den Vorgänger bekommen. Schon beim letzten Update ist Apple so vorgegangen. Kein nennenswertes Manko: Der M4 steckt in vielen aktuellen Macs wie dem iMac und Mac mini.
Die Größe des Arbeitsspeichers hat erhöht und jetzt arbeitet Apples hauseigener WLAN- und Bluetooth-Chip N1 in den Geräten. Die Mobilfunkversion des Tablets stattet der Hersteller nun mit dem zum Großteil in München entwickelten C1X-Baustein aus.
Der kam bisher nur im iPad Pro M5 sowie iPhone Air zum Einsatz und stellt die Verbindung zum Mobilfunknetz her. Zum Test stand uns ein iPad Air 11 Zoll in der Wi-Fi-Variante (ohne C1X) mit 128 GByte Flash zum Preis von 649 Euro zur Verfügung. Tests zum Mobilfunkmodell werden wir sobald wie möglich an dieser Stelle nachreichen.
URL dieses Artikels:
https://www.heise.de/-11215722
Copyright © 2026 Heise Medien
Insta360 X4 Air: Manchmal reicht auch die kleinere Variante.
(Bild: Insta360)
Mit der neuen Einsteiger-3D-Kamera X4 Air von Insta360 lassen sich Rundumvideos in 8K aufzeichnen. Welche Vor- und Nachteile sie hat, zeigt unser Test.
Apple kennzeichnet seine leichteren, kostengünstigeren Geräte, die im Vergleich zu den Profimodellen einige Features weniger bieten, mit dem Zusatz „Air“. Das Konzept hat der Kamerahersteller Insta360 ebenfalls für sich entdeckt.
Die 400 Euro teure X4 Air (ab 329 €) [1] (ab 329 €) [1] richtet sich an Einsteiger, die 360-Grad-Videos drehen, aber nicht auf Profifunktionen verzichten wollen. Wie bei der X4 (ab 333 €) [2] (ab 333 €) [2] (480 Euro und X5 (ab 425 €) [3] (ab 425 €) [3] (590 Euro) handelt es sich um eine Actioncam mit zwei Objektiven und Bildsensoren, die jeweils mit einer Auflösung von bis zu 8K aufnehmen können. Die Elektronik setzt beide Bilder zusammen, sodass ein Kugelpanorama entsteht.
(Bild: Melissa Ramson / heise medien)
Alternativ filmt man nur mit einem Objektiv.
URL dieses Artikels:
https://www.heise.de/-11196095
Links in diesem Artikel:
[1] https://preisvergleich.heise.de/insta360-x4-air-standard-bundle-a3639016.html?ccpid=hocid-mac-and-i&cs_id=1206858352
[2] https://preisvergleich.heise.de/insta360-x4-cinsabma-a3172381.html?ccpid=hocid-mac-and-i&cs_id=1206858352
[3] https://preisvergleich.heise.de/insta360-x5-standard-bundle-cinsaaha-x501-a3475343.html?ccpid=hocid-mac-and-i&cs_id=1206858352
Copyright © 2026 Heise Medien
Es gibt einige Varianten von Android, doch nur eine setzt auf maximale Sicherheit. Die Hosts und ihr Gast erklären, was GrapheneOS anders macht.
Für Smartphones gibt es zwei große Betriebssysteme: Googles Android und Apples iOS. Beiden sind ein mehr oder weniger geschlossenes Ökosystem und Datenschutzbedenken gemein – und ihre Herkunft aus den USA. Wer sich aus der Umklammerung der Tech-Konzerne lösen will, kann Android-Telefone mit verschiedenen „Custom-ROMs“ bestücken. Eines davon, GrapheneOS, stellt die Sicherheit über alles andere. Grund genug für die Hosts, dem wiederholten Wunsch der Hörer und Hörerinnen zu folgen und sich das System genauer anzuschauen.
Sylvester und Christopher haben sich dieses Mal wieder Verstärkung ins virtuelle Studio geholt: c’t-Redakteur Stefan Porteck ist ein langjähriger Kenner und Nutzer von Custom-ROMs für Android. Er hat für die c’t verschiedene Betriebssystem-Alternativen getestet (und im c’t-Podcast „Uplink“ diskutiert [2]). GrapheneOS lässt sich auf Pixel-Geräten installieren und kommt neben den Grundfunktionen auch mit eigenem App-Store. Doch auch Apps aus Quellen wie F-Droid und sogar dem Play Store lassen sich nutzen – sie landen in gehärteten, digitalen Sandkisten, aus denen sie nicht ausbrechen können.
Neben zahlreichen Sicherheits-Features, kleinen und auch großen Verbesserungen am Unterbau des Systems macht dieses umfangreiche Sandboxing GrapheneOS zu einer sicheren und datenschutzfreundlichen Alternative zum Standard-Android – und Nutzer müssen auf wenig Liebgewonnenes verzichten. Das freut auch Sylvester, der GrapheneOS selbst im Einsatz hat, und Christopher, der als „iPhone-Nutzer der zweiten Stunde“ im Podcast seine ersten Gehversuche mit GrapheneOS schildert. Er findet unter anderem die „Duress PIN“ prima, die das Gerät etwa bei einem Raubüberfall löscht. Sylvester hingegen erwärmt sich eher für kleine Besonderheiten wie das zufällig angeordnete Keypad, das bei unerwünschten Blicken über die Schulter helfen kann. Im Podcast diskutieren die Hosts mit ihrem Gast diese und viele andere (Schutz-)Funktionen, die GrapheneOS mitbringt.
Datenschutz- und sicherheitsfreundlich ist GrapheneOS also, doch das Online-Gebahren des heimlichtuerischen Projektteams gewinnt keine Höflichkeitspreise. Dass GrapheneOS zwar oft sachlich richtig, aber im Ton sehr zweifelhaft, gegen andere Projekte und Initiativen keilt, stört die „Passwort“-Macher zwar, aber sie ziehen dennoch ein sehr positives Fazit: GrapheneOS ist gut benutzbar und deutlich sicherer als andere Android-Varianten.
URL dieses Artikels:
https://www.heise.de/-11200104
Links in diesem Artikel:
[1] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[2] https://www.heise.de/news/GrapheneOS-Co-Mit-Custom-ROMs-mehr-Datenschutz-fuer-Android-c-t-uplink-11210085.html
[3] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
Copyright © 2026 Heise Medien
(Bild: Gimp Team / Bearbeitung heise medien)
In der neuen Gimp-Version 3.2 schließen die Entwickler auch zwei hochriskante Schadcode-Lücken. Nutzer sollten rasch aktualisieren.
Am Wochenende hat das Gimp-Projekt die Version 3.2 des mächtigen und quelloffenen [1] Grafikprogramms veröffentlicht. Die neue Fassung bringt aber nicht nur neue und verbesserte Funktionen für Künstler, sondern stopft auch als hochriskant eingestufte Sicherheitslücken.
Die Zero Day Initiative (ZDI) von Trend Micro (nun unter dem Namen „TrendAI“ in dem Unternehmen aufgehängt) hat zwei Sicherheitslücken in den Parsern für bestimmte Bildformate gemeldet. Bei der Verarbeitung von LBM-Dateien [2] – eine Variante des Amiga Interchange File Formats – können Angreifer mit manipulierten Bilddateien einen Pufferüberlauf auf dem Heap provozieren. Der Code kopiert Daten aus den Dateien in einen Zielpuffer, ohne zuvor deren Länge korrekt zu prüfen. Die Lücke ermöglicht die Ausführung von eingeschleustem Code im Kontext des Gimp-Prozesses (CVE-2026-2046, CVSS 7.8, Risiko „hoch“).
Die zweite Schwachstelle betrifft die Verarbeitung von Bildern mit hohem Dynamikumfang (HDR) [3]. Die Behandlung des RGBE-Formats, das Farbinformationen in 32-Bit-Fließkomma speichert, patzt ebenfalls bei der Längenprüfung von Nutzerdaten vor dem Kopieren in einen Heap-Puffer. Auch hier können bösartige Akteure mit sorgsam präparierten Dateien Schadcode einschleusen, der im Kontext des laufenden Prozesses ausgeführt wird (CVE-2026-2049, CVSS 7.8, Risiko „hoch“).
Wer bislang mit dem Update auf Gimp 3.2 gewartet hat, da es vermeintlich lediglich Funktionen verbessert und hinzufügt, sollte jetzt doch nicht länger zögern. Die Aktualisierung auf Gimp 3.2 reduziert die Angriffsfläche für Cyberkriminelle.
Auf der Download-Seite des Gimp-Projekts [4] stehen Installationsdateien für Linux als AppImage für x86_64- und ARM64-Architekturen sowie Verlinkungen zu Flathub und den Snap Store bereit. Ebenso finden macOS-User Installationsdateien für Intel-basierte Systeme und für Apple Silicon – das Projekt weist darauf hin, dass es kein offizielles Paket im Apple App Store anbietet, jedwede Angebote dort stammen von Drittanbietern. Unter Windows empfiehlt sich die Installation aus dem Microsoft Store, da dieser dann auch automatisch Aktualisierungen herunterlädt und installiert. Es gibt jedoch auch einen Direkt-Download, der zudem für 32-bittige x86-CPUs nutzbar ist – zum letzten Mal, ab Gimp 3.2.2 will das Projekt den 32-Bit-Support endgültig beerdigen.
URL dieses Artikels:
https://www.heise.de/-11214979
Links in diesem Artikel:
[1] https://www.heise.de/news/Gimp-3-2-erschienen-Das-aendert-sich-fuer-Designer-und-Pixel-Kuenstler-11211404.html
[2] https://www.zerodayinitiative.com/advisories/ZDI-26-213/
[3] https://www.zerodayinitiative.com/advisories/ZDI-26-214/
[4] https://www.gimp.org/downloads/
[5] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Nan_Got / Shutterstock.com)
Studien des BSI decken erhebliche Sicherheitsmängel in Praxis-, Klinik- und Pflegesoftware auf. Patientendaten sind unzureichend geschützt.
Während der Digitalisierungsdruck infolge gesetzlicher Vorgaben stetig zunimmt, bleibt die IT-Sicherheit zentraler Softwareprodukte im Gesundheitswesen zurück. Zu diesem Ergebnis gelangt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach der Auswertung mehrerer in Auftrag gegebener Studien, die darauf abzielten, den etablierten Stand der IT-Sicherheit besser einzuschätzen und konkrete Verbesserungshinweise zu erarbeiten.
Die verpflichtende Anbindung an die Telematikinfrastruktur (TI), jetzt auch für die Pflege und die elektronische Patientenakte, werde die Angriffsfläche weiter vergrößern, so das BSI. Daher plädiert die Behörde für weitergehende Untersuchungen, der Deutsche Pflegerat fordert gesetzliche Regelungen zur Cybersicherheit mit verbindlichen Herstellerstandards. Das BSI verdeutlicht dabei auch anhand der Untersuchungsergebnisse, dass die IT-Sicherheit im Gesundheitswesen kein Nischenthema bleiben soll, sondern als gemeinsame Aufgabe von Herstellern, Betreibern und Regulierern verstanden wird.
In den Projekten SiKIS (Sicherheitseigenschaften von Krankenhausinformationssystemen), SiPra (Sicherheit von Praxisverwaltungssystemen) und DiPS (Studie zur Sicherheit von digitalen Pflegedokumentationssystemen) gab es insgesamt neun Penetrationstests im Auftrag des BSI. Die drei Studien, die vermutlich zwischen 2024 und Anfang 2025 durchgeführt wurden, ergeben zusammen ein umfassendes Bild der IT-Sicherheitslage der zentralen Softwareprodukte im deutschen Gesundheitswesen. Bereits in früheren Untersuchungen wie dem Projekt CyberPraxMed [1] hatte das BSI in Arztpraxen vor Ort teils schwerwiegende Sicherheitsmängel festgestellt, darunter unzureichenden Schutz vor Schadsoftware, mangelndes Patch-Management und fehlende Backups. Die aktuellen Projekte gehen nun einen Schritt weiter und nehmen nicht die Praxen selbst, sondern die dort eingesetzte Software ins Visier.
Laut BSI [2] ziehen sich fehlende Verschlüsselung, veraltete kryptografische Verfahren, unsichere Authentifizierung und architektonische Schwächen wie ein roter Faden durch Praxisverwaltungssysteme (PVS), Krankenhausinformationssysteme (KIS) und digitale Pflegedokumentationssysteme. In mehreren Fällen gelang es den Testern, über eine Verkettung einzelner Schwachstellen Angriffe aus dem Internet zu konstruieren.
Das BSI ließ durch die Firma ERNW Enno Rey Netzwerke GmbH vier nicht namentlich genannte PVS testen. Die Ergebnisse sind ernüchternd: Obwohl die vier Systeme auf unterschiedlichen Technologien basieren, traten in allen vergleichbare Schwachstellenklassen auf. Bei drei der vier getesteten Produkte konnten die Tester dem SiPra-Abschlussbericht (PDF) [3] zufolge durch eine Verkettung einzelner Schwachstellen Angriffsketten konstruieren, die einen Zugriff aus dem Internet ermöglichen – mit unterschiedlicher Kritikalität, aber durchweg besorgniserregend.
Laut Bericht gibt es unter anderem Architektur- und Konzeptprobleme inklusive unsicherer Annahmen zur Vertrauenswürdigkeit des Praxisnetzes anstelle einer Zero-Trust-Absicherung und granulärer Absicherung. Teilweise waren die PVS-Server über Online-Zugänge direkt im Internet erreichbar und die Authentifizierung umgehbar. Ferner fehlte in mehreren PVS die Transportverschlüsselung. Die Kommunikation im lokalen Praxisnetzwerk wurde unverschlüsselt übertragen – einschließlich medizinischer Patientendaten, Passwort-Hashes und Konfigurationsdaten. Zu weiteren Mängeln zählen fehlende Passwortrichtlinien, veraltete kryptografische Verfahren und unsichere Annahmen zur Vertrauenswürdigkeit von zum Beispiel WLAN oder Mitarbeitern anstelle von Zero Trust.
Hersteller argumentieren zwar, dass das Praxisnetzwerk als vertrauenswürdig gelte, doch bereits in früheren BSI-Untersuchungen zeigte sich, dass dies häufig nicht der Realität entspricht. Ungesicherte WLAN-Netze, offene LAN-Ports in Behandlungsräumen oder mit Malware infizierte Praxis-PCs können dazu führen, dass Dritte den Netzwerkverkehr mitlesen. An verschiedenen Stellen – von Patientenakten und Kommunikationssystemen – konnten demnach Dateien angehängt werden, die in mehreren Fällen beim Öffnen direkt mit dem Standardprogramm des Betriebssystems ausgeführt wurden. In manchen Systemen ließ sich zudem der angezeigte Dateiname verschleiern, sodass selbst technisch geschultes Personal eine als Bilddatei getarnte Schadsoftware nicht erkennen konnte.
Die Veröffentlichung der Ergebnisse hat sich verzögert. Auf Nachfrage von heise online erklärte das BSI Ende 2025: „Aus Sicht des BSI haben die Rückmeldungen der Hersteller zur Identifizierbarkeit der Produkte die Veröffentlichung zwar verzögert, die Qualität des Berichts aber weiter gesteigert.“ Im Juni 2025 habe ein BSI-Mitarbeiter bereits einen Vortrag zum Projekt gehalten. Da die getesteten Produkte aus Neutralitätsgründen des BSI nicht namentlich genannt werden, musste sichergestellt werden, dass die anonymisierten Ergebnisse keine Rückschlüsse auf einzelne Hersteller ermöglichen.
Das Projekt zu Sicherheitseigenschaften von Krankenhausinformationssystemen, kurz SiKIS, [4] (PDF) macht auf zahlreiche Mängel aufmerksam. Im Auftrag des BSI testeten das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) und Open Source Security GmbH zwei repräsentative Krankenhausinformationssysteme (KIS). Für die Tests stellten zwei Krankenhäuser Testumgebungen mit anonymisierten Daten bereit. Zu den Mängeln gehörten unter anderem:
Eines der getesteten KIS nutzte zudem einen einzigen Datenbankzugang für alle Nutzer. Angreifer konnten sämtliche Daten lesen und schreiben und neue Administratorkonten erstellen.
SiKIS untersuchte zusätzlich Datenaustauschformate. Dabei bemängelte das BSI, dass gängige Protokolle wie HL7 v2, das seit Jahren Standard für den Datenaustausch ist [5], über keinerlei Sicherheitsfeatures verfügt. Auch der DICOM-Standard, das umfassende Sicherheitserweiterungen spezifiziert, werde in Krankenhäusern nahezu ausnahmslos ohne selbige eingesetzt. Forscher haben in der Vergangenheit immer wieder gezeigt, wie sich DICOM-Verbindungen angreifen lassen [6]. Da oft einheitliche Vorgaben zu „interoperablen und zueinander kompatiblen sicheren Methoden“ fehlen, ist es laut BSI „in der Praxis oft nicht möglich, mehrere Geräte unterschiedlicher Unternehmen miteinander auf eine nach dem Stand-der-Technik sichere Art und Weise miteinander kommunizieren zu lassen“.
Erstmals neu untersuchte das BSI mit dem Projekt DiPS die Sicherheit von digitalen Pflegedokumentationssystemen [7] (PDF). Das Fraunhofer SIT testete drei weitverbreitete Systeme, die von den Herstellern als On-Premise-Installationen bereitgestellt wurden. Trotz unterschiedlicher Technologien wiesen alle drei Produkte Schwachstellen auf, insgesamt 13 mit hohem oder kritischem Schweregrad. Dazu zählen etwa unsichere Kommunikationskanäle, bei denen Man-In-The-Middle-Angriffe möglich waren, eine schwache Authentifizierung, Installationspakete mit Datenbankpasswörtern, architektonische Schwächen, fehlende Prüfmechanismen bei Update-Prozessen und ein schwaches Schlüsselmanagement.
Die Umfrage unter 52 Pflegediensten zeigte, dass 43 Pflegedienste regelmäßig unterwegs auf das System zugreifen, 16 dabei direkt über das Internet ohne VPN. 25 bestätigten, dass Hersteller oder IT-Dienstleistende einen permanenten Fernzugang zu ihrem Netzwerk haben. Nicht nur in Arztpraxen und Krankenhäusern, auch bei Pflegediensten bemängelten die Experten eine fehlende Transportverschlüsselung, veraltete kryptografische Verfahren, mangelnde Zugriffskontrollen und das Architekturproblem. Fehlende Passwortrichtlinien fanden sich ebenfalls bei PVS und KIS, unsichere Software-Updates bei KIS und Pflegesoftware, fest kodierte Zugangsdaten, insbesondere bei der Pflegesoftware. Das BSI betont allerdings, dass ein Penetrationstest nur das Vorhandensein von Schwachstellen nachweisen kann – nicht deren Abwesenheit. Wenn eine Schwachstellenklasse in einem Projekt nicht auftrat, bedeutet das lediglich, dass sie im begrenzten Testzeitraum nicht identifiziert wurde.
In allen drei Projekten reagierten die Hersteller laut BSI kooperativ. Im SiPra-Projekt zeigten sie „große Offenheit gegenüber Verbesserungsvorschlägen“. Auch die KIS-Hersteller konnten bis zur Veröffentlichung der Studie „schon die meisten Schwachstellen beheben oder mitigieren“. Die Veröffentlichung der Ergebnisse hatte sich deutlich verzögert. Auf Nachfrage von heise online erklärte das BSI Ende 2025 noch: „Derzeit arbeitet das BSI in Abstimmung mit betroffenen Herstellern an der finalen Fassung des Berichts. Aus Sicht des BSI haben die Rückmeldungen der Hersteller zur Identifizierbarkeit der Produkte die Veröffentlichung zwar verzögert, die Qualität des Berichts aber weiter gesteigert.“ Bereits im Juni 2025 hatte ein BSI-Mitarbeiter einen öffentlichen Vortrag zum Projekt gehalten, die vollständige Veröffentlichung erfolgte aber erst im Frühjahr 2026. Da die getesteten Produkte aus Neutralitätsgründen des BSI nicht namentlich genannt werden, musste sichergestellt werden, dass die anonymisierten Ergebnisse keine Rückschlüsse auf einzelne Hersteller ermöglichen.
Dennoch offenbart die Herstellerbefragung strukturelle Defizite, die Sicherheitsstandards variieren stark. „Nicht alle Hersteller haben eine designierte Anlaufstelle, an die sich Kunden wenden können, um Schwachstellen oder Security-Vorfälle zu melden“, heißt es im Bericht. Nur etwa zwei Drittel der antwortenden PVS-Hersteller führen regelmäßig Penetrationstests durch. Kein Hersteller hat ein Bug-Bounty-Programm. Das Tracking von Schwachstellen in Drittbibliotheken erfolgt teils manuell. Auf die Frage nach berücksichtigten Sicherheitsstandards kamen sehr unterschiedliche – und oft gar keine – Angaben. Auf den Webseiten wird selten auf IT-Sicherheit eingegangen; stattdessen werben Hersteller mit Funktionen wie Videosprechstunde, Sprachsteuerung oder KI-gestützten Abrechnungsvorschlägen.
Ein zentrales Ergebnis aller drei Studien ist der Mangel an verbindlichen Sicherheitsanforderungen. Die KBV-Zertifizierung von PVS prüft ausschließlich funktionale Anforderungen. IT-Sicherheitskriterien werden nicht geprüft. Eine Rahmenvereinbarung nach § 332b SGB V können Hersteller freiwillig mit der KBV schließen. Das BSI kommentiert: „Darüber hinaus gibt es trotz der enormen Relevanz des Themas auffällig wenig explizite oder verbindliche Richtlinien zum Thema IT-Sicherheit von PVS.“
Auch für Pflegedokumentationssysteme existiert keine verpflichtende Zulassung. Lediglich bei KIS greift über die ISiK-Zertifizierung [8] ein gewisser Mindeststandard – allerdings betrifft dieser primär die Interoperabilität. Der Deutsche Pflegerat hatte daher wiederholt klare Regeln zur Cybersicherheit gefordert [9].
Zu allen drei Projekten hat das BSI Handlungsempfehlungen veröffentlicht und zur Kommentierung bereitgestellt. An die Hersteller richtet das BSI Forderungen zur Verbesserung der Sicherheitsarchitektur und zum konsequenten Einsatz von TLS. Zudem fordert es die Verwendung moderner Kryptografie sowie das Signieren von Software-Updates. Weiterhin verlangt das BSI die Durchsetzung konfigurierbarer Passwortrichtlinien und die Einführung einer Whitelist zulässiger Dateianhänge. Abschließend sollen Härtungsrichtlinien und Schnittstellendokumentation erstellt und bereitgestellt werden. Leistungserbringer soll das „unterstützen, die IT-Sicherheit ihrer Arztpraxis zu steigern“.
An Betreiber richten sich Empfehlungen wie die Netzwerksegmentierung bei größeren Einrichtungen, regelmäßige Audits aller Nutzerkonten einschließlich Wartungszugängen, Geräteverschlüsselung und sichere Entsperrcodes für mobile Endgeräte, zeitnahes Einspielen von Updates sowie die aktive Nachfrage nach Härtungsrichtlinien beim Hersteller. Für die ambulante Pflege enthält die DiPS-Handlungsempfehlung eine konkrete Checkliste mit zahlreichen Prüfpunkten – von der TLS-Konfiguration bis zum Offboarding-Prozess. Zudem empfiehlt das BSI, proaktiv Verträge mit qualifizierten Incident-Response-Dienstleistern abzuschließen.
URL dieses Artikels:
https://www.heise.de/-11214606
Links in diesem Artikel:
[1] https://www.heise.de/news/IT-Security-in-Arztpraxen-BSI-sieht-schwerwiegende-Sicherheitsmaengel-9663436.html
[2] https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2026/260317_Software-Produkte_Gesundheitswesen.html
[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/SiPra_Abschlussbericht.pdf
[4] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/SiKIS_Abschlussbericht.pdf
[5] https://www.heise.de/hintergrund/Wie-der-Kommunikationsstandard-FHIR-Interoperabilitaet-in-der-Medizin-ermoeglicht-7309910.html
[6] https://www.heise.de/news/Altes-Protokoll-Millionen-Patientendaten-ungeschuetzt-aber-nicht-in-Deutschland-9570743.html
[7] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/DigitaleGesellschaft/DiPS_Abschlussbericht.pdf
[8] https://www.heise.de/hintergrund/Garbage-In-Garbage-Out-Warum-Dokumentation-im-Gesundheitswesen-wichtig-ist-9728393.html
[9] https://www.heise.de/hintergrund/Deutscher-Pflegerat-Digitalisierung-muss-erlebbar-werden-10511281.html
[10] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[11] mailto:mack@heise.de
Copyright © 2026 Heise Medien
(Bild: Zakharchuk/Shutterstock.com)
Open-Source-Projekte leiden unter einer Flut von KI-generierten Änderungswünschen für den Code. Mit Geld aus der KI-Branche will die Linux Foundation helfen.
Die Linux Foundation hat 12,5 Millionen US-Dollar eingesammelt, mit denen Open-Source-Projekte bei der Bewältigung der rasch wachsenden Zahl von KI-generierten Änderungswünschen geholfen werden sollen. Das hat das gemeinnützige Konsortium jetzt [1] mitgeteilt und erklärt, dass das Geld von Anthropic, AWS, GitHub, Google, Google DeepMind, Microsoft und OpenAI stammt. Damit sollen „langfristige, nachhaltige Sicherheitslösungen“ für die weltweite Open-Source-Gemeinschaft entwickelt werden. Mit dem Geld soll den Verantwortlichen für die Projekte direkt geholfen werden, man habe damit die „außergewöhnliche Gelegenheit“, sicherzustellen, dass jene an der Front die Werkzeuge und Standards hätten, um der Entwicklung voraus zu sein.
Das Problem des sogenannten KI-Slops [2] im Open-Source-Bereich war in den vergangenen Wochen in den Fokus gerückt. Dafür verantwortlich sind KI-Coding-Tools wie Claude Code, mit denen seit einiger Zeit auch Menschen ohne IT-Hintergrund Pull-Requests einreichen, also Codeänderungen innerhalb von Open-Source-Projekten beantragen können. Die Hüter des Codes, die Maintainer, sind davon häufig überfordert. Deshalb war beispielsweise das Bug-Bounty-Projekt von curl im Januar eingestellt [3] worden, später kam aber ein Rückzug vom Rückzug [4]. Mitte Februar hat GitHub dann erste Maßnahmen dagegen [5] angekündigt und erklärt, dass Maintainer Änderungsvorschläge leichter löschen können sollen. Das war eine der Hauptforderungen vieler überlasteter Projektverantwortlicher.
Das Geld für den Kampf gegen die „KI-Abfälle“ kommt nun von Firmen, die allesamt selbst KI-Werkzeuge anbieten und damit an der Entwicklung nicht ganz unschuldig sind. Gleichzeitig weiß man bei Anthropic & Co. aber um den Wert von Open Source. Das Ökosystem „bildet die Grundlage für fast jedes Softwaresystem der Welt und seine Sicherheit darf nicht für selbstverständlich erachtet werden“, begründet etwa Vitaly Gudanets, CISO von Anthropic, die Geldspritze. Bei OpenAI spricht man sogar von einem kritischen Moment für die globale Cybersicherheit, die ein nie dagewesenes Maß an Zusammenarbeit erfordere. Die Verteilung des Gelds soll von den Initiativen Alpha-Omega und der Open Source Security Foundation (OpenSSF) verantwortet werden.
URL dieses Artikels:
https://www.heise.de/-11214917
Links in diesem Artikel:
[1] https://alpha-omega.dev/blog/linux-foundation-announces-12-5-million-in-grant-funding-from-leading-organizations-to-advance-open-source-security/
[2] https://www.heise.de/news/AI-Slop-Die-Schattenseite-der-KI-Revolution-10459480.html
[3] https://www.heise.de/news/curl-Projekt-beendet-Bug-Bounty-Programm-11142345.html
[4] https://www.heise.de/meinung/Kommentar-KI-Muell-treibt-curls-Bug-Bounty-Programm-vor-sich-her-11191390.html
[5] https://www.heise.de/news/GitHub-fuehrt-Massnahmen-gegen-KI-Slop-ein-ohne-das-Problem-klar-zu-benennen-11176641.html
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:mho@heise.de
Copyright © 2026 Heise Medien
Das Angebot an Passwortmanagern schrumpft deutlich, wenn man Quelloffenheit voraussetzt. Wir vergleichen fünf Stück, die kaum unterschiedlicher sein könnten.
Ja, Passwortmanager gibt es in rauen Mengen und ohne weitere Vorauswahl könnten wir locker 20 oder 30 davon testen (haben wir auch schon [1] [1]). Wie schaut es aber aus, wenn wir Quelloffenheit zur Voraussetzung für unsere Testkandidaten machen? Überraschung: Das Testfeld wird erheblich dünner.
Im Zuge der anhaltenden Diskussionen zum Thema digitale Souveränität wird zudem oft der Wunsch geäußert, Firmen zu meiden, die unter US-Jurisdiktion stehen. Daher haben wir uns diesmal auf solche Produkte konzentriert, die von europäischen Anbietern kommen – oder Open-Source-Projekte ohne Firmen- oder Konzernbindung sind.
Anders als in früheren [9] [9] Passwortmanager-Vergleichstests [10] [10] ist das Testfeld überschaubar, aber dennoch divers. Passwortmanager der KeePass-Familie gehören zu den Klassikern und sind ausgereift. Wir haben uns die Kombination aus dem Desktop-Programm KeePassXC und der Android-App KeePassDX angeschaut. Ebenfalls ein Klassiker ist Password Safe. Mit Passbolt und Psono haben wir zudem zwei Selfhosting-fähige und auch für Firmenumgebungen geeignete Passwortmanager dabei. Hinzu kommt noch Proton Pass des Schweizer Clouddienstleisters Proton AG.
URL dieses Artikels:
https://www.heise.de/-11172914
Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/Im-Test-25-Passwortmanager-fuer-PC-und-Smartphone-5049332.html
[2] https://www.heise.de/ratgeber/Passwortmanager-Gute-Gruende-fuer-europaeische-Clouds-oder-Self-Hosting-11172904.html
[3] https://www.heise.de/ratgeber/Fuenf-Open-Source-Passwortmanager-im-Vergleich-11172914.html
[4] https://www.heise.de/ratgeber/Passbolt-Den-europaeischen-Open-Source-Passwortmanager-selbst-hosten-11172920.html
[5] https://www.heise.de/ratgeber/Anleitung-Raspberry-Pi-als-Passwort-Server-einrichten-6005925.html
[6] https://www.heise.de/ratgeber/Anleitung-Von-LastPass-zum-Passwortmanager-KeePassXC-wechseln-5075363.html
[7] https://www.heise.de/ratgeber/Im-Test-25-Passwortmanager-fuer-PC-und-Smartphone-5049332.html
[8] https://www.heise.de/tests/15-Passwortmanager-im-Vergleich-4799414.html
[9] https://www.heise.de/tests/15-Passwortmanager-im-Vergleich-4799414.html
[10] https://www.heise.de/ratgeber/Im-Test-25-Passwortmanager-fuer-PC-und-Smartphone-5049332.html
Copyright © 2026 Heise Medien
FreshRSS