Anmelden
(Bild: Desintegrator/Shutterstock.com)
Alle Welt redet darüber, wie gefährlich Anthropics neue KI sein könnte. Jürgen Schmidt von heise security konzentriert sich lieber darauf, was jetzt zu tun ist.
Anthropics Mythos und die Kommentare und Analysen rund um diese (Nicht-)Veröffentlichung dominieren das Security-Geschehen – und das zu Recht: Wir befinden uns aktuell mitten in einer Singularität, wie sie die IT-Security in den vergangenen 10 Jahren nicht gesehen hat. Allerdings produziert das auch Hype, der von den eigentlich wichtigen Dingen ablenkt. Nicht zuletzt deshalb, weil Anthropic sich entschieden hat, das Ganze vor allem als PR-Booster der eigenen Interessen zu nutzen. Deshalb möchte ich einen Schritt zurücktreten und nüchtern analysieren, was tatsächlich das Problem ist, mit dem wir uns konfrontiert sehen – und was daraus für die jetzt nötigen Schritte folgt.
Zunächst: Das Problem ist nicht Anthropics Mythos [1]. Auch andere LLMs hätten die von Mythos aufgedeckten Sicherheitslücken finden können; der aktuelle Vorsprung von Anthropic ist angesichts der sich abzeichnenden Entwicklung nicht relevant. Es ist auch nicht so, dass Angreifer jetzt plötzlich neue, nie dagewesene Fähigkeiten hätten, denen wir machtlos gegenüberstehen. Unser Problem ist Folgendes: LLMs haben jetzt die Fähigkeit, selbstständig echte Sicherheitslücken in Software zu finden. Sie können diese aber (noch?) nicht selbst beseitigen – und auch wenn sie das könnten, wären diese Fixes noch lange nicht beim Nutzer angekommen. Sprich: Das Finden und Ausnutzen von Sicherheitslücken lässt sich vollständig automatisieren und in industriellem Maßstab hochskalieren. Das Fixen dieser Lücken hingegen erfordert immer noch viel menschliche Beteiligung und wird deshalb auf absehbare Zeit deutlich langsamer erfolgen.
Und das alles wird rasant noch sehr viel schlimmer werden. Die existierenden Bug-Fixing-Kapazitäten werden bereits jetzt in die Sättigung getrieben, während die Fähigkeit, neue Bugs zu finden, auf absehbare Zeit weiter steigen wird. Denn die befindet sich aktuell noch in einer sehr frühen Phase. Daraus folgt unmittelbar, dass uns eine Zeit bevorsteht, in der KIs sehr viel mehr Bugs finden, als gefixt werden können. Jedes System, das für Angreifer erreichbar ist, wird angreifbar sein, es wird angegriffen werden und es wird zu einer lange nicht dagewesenen Zahl von Sicherheitsvorfällen kommen. Wie lange diese Phase andauern wird und was danach kommt, werde ich später noch diskutieren. Wichtig ist jetzt erst mal, was sich bereits daraus ableiten lässt. Das Allerwichtigste:
Die Situation ist akut und jede:r, der/die für die Sicherheit von IT verantwortlich ist, sollte unmittelbar handeln und sich darauf vorbereiten.
Das lässt sich nicht mehr wegdiskutieren und „erstmal abwarten“ führt zu absehbaren Katastrophen. Die jetzt dringend erforderlichen Maßnahmen fallen in folgende Bereiche:
Ja, genau – das ist nichts Neues. All das hätte man bereits vor sechs Monaten genau so empfehlen können – und tatsächlich habe ich das sogar. Das kommt unter anderem daher, dass die KIs bislang keine neuartigen Schwachstellen aufdecken. Ob das so bleiben wird, ist eine andere, spannende Frage, die ich mir für später aufhebe. Doch alles, was Mythos & Co derzeit finden, hätte vor sechs Monaten auch ein Mensch aufspüren können. Nur war eben die Wahrscheinlichkeit für jeden einzelnen Fund so gering, dass wir uns da an vielen Stellen auch mit faulen Kompromissen irgendwie durchmogeln konnten. In diesem Bewusstsein haben wir über viele Jahre eine große Menge an Security-Schulden angehäuft. Und die werden jetzt fällig. Also in den nächsten sechs bis zwölf Monaten – um da mal eine konkrete Zahl in den Raum zu stellen. Und die werden ganz bitter.
Deshalb ist es jetzt allerhöchste Zeit, sich darauf vorzubereiten. Also die oben aufgeführten Maßnahmen unter diesem Gesichtspunkt neu zu evaluieren und mit hoher Priorität auf die Agenda der nächsten Monate zu setzen. Da kann der Hype rund um Mythos sogar helfen. Selbst die Geschäftsführung hat vielleicht vom aufziehenden AI Vulnerability Storm [2] und der Notwendigkeit gehört, sich auf Mythos vorzubereiten. Das liefert Anknüpfungspunkte, eigene Vorschläge zur Neubewertung der IT-Sicherheit zu unterbreiten.
Die werden fast schon zwangsläufig auch die Nutzung von KI einfordern, weil man nur mit deren Unterstützung die notwendige Geschwindigkeit bei der Umsetzung und bei der Abarbeitung der neuen Prozesse hinbekommen kann. Doch vieles geht auch ganz oder weitgehend ohne KI. Und das ist deshalb nicht weniger wichtig – im Gegenteil. Denn wie man etwa KI möglichst robust in den Update-/Patch-Zyklus einbaut, ist noch längst nicht wirklich klar. Wir können aktuell nur hoffen, dass die IT-Security-Industrie gemeinsam mit den KI-Firmen und Software-Entwicklern praktikable Lösungen findet und bereitstellt. Da kommen Anthropics Glasswing [3], OpenAIs Aardvark [4] und unzählige innovative Projekte von KI-Startups wie AISLE [5] und ZeroPath [6] ins Spiel.
Doch noch wichtiger sind jetzt die klassischen Security-Basics, die wir viel zu lange vernachlässigt haben. Für Maßnahmen wie Segmentierung, Least Privilege, MFA oder auch Monitoring mit Deception und so weiter gibt es nämlich bereits bewährte Konzepte und Leitfäden. Deshalb würde ich solche soliden Security-Grundlagen sogar höher priorisieren und kurzfristiger umsetzen als zukunftsweisende, wirklich KI-getriebene Prozesse.
Trotz all der Kassandra-Rufe sehe ich die Rolle von KI in der IT-Sicherheit langfristig eher positiv. Denn es ist ja nicht so, dass wir da aktuell ein gut funktionierendes Gesamtkonzept hätten – ganz im Gegenteil. Das knirscht und versagt bereits seit Jahren an allen Ecken und Enden. Langfristig habe ich die Hoffnung, dass wir einen Zustand erreichen, in dem Verteidiger mehr von den Fähigkeiten der LLMs profitieren als die Angreifer. Denn das Fixen von Bugs skaliert letztlich besser als das Ausnutzen mit Real-World-Exploits. Und damit wird es realistisch, dass Software und die darauf aufbauende IT weitgehend sicher und resilient wird. Doch da reden wir von einem Zeithorizont von mehreren Jahren – und einem langen Weg, mit vielen Unbekannten und zahlreichen Möglichkeiten, völlig falsch abzubiegen. Sprich: „Die Lage ist hoffnungslos, aber nicht ernst.“
Diese Analyse schrieb Jürgen Schmidt ursprünglich für den exklusiven Newsletter von heise security PRO [7], wo er jede Woche das Geschehen in der IT-Security-Welt für Sicherheitsverantwortliche in Unternehmen einordnet:
URL dieses Artikels:
https://www.heise.de/-11260797
Links in diesem Artikel:
[1] https://www.heise.de/news/Anthropics-neues-KI-Modell-Mythos-Zu-gefaehrlich-fuer-die-Oeffentlichkeit-11248034.html
[2] https://labs.cloudsecurityalliance.org/research/ai-vulnerability-storm-mythos-ready-security-program/
[3] https://www.anthropic.com/glasswing
[4] https://openai.com/index/introducing-aardvark/
[5] https://aisle.com/platform
[6] https://zeropath.com/
[7] https://pro.heise.de/security/
[8] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[9] mailto:ju@heise.de
Copyright © 2026 Heise Medien
(Bild: heise online / dmk)
Die Updates für Windows Server im April haben Nebenwirkungen. Server starten unerwartet neu oder erlauben keine Admin-Anmeldungen.
Die Windows-Sicherheitsupdates insbesondere für Server aus dem April [1] haben teils schwerwiegende Nebenwirkungen. Einige Windows-Server starten unerwartet neu. Außerdem gibt es Hinweise, dass Domain-Admin-Logins unter Umständen gestört sein könnten. Ein Problem mit unerwarteten Migrationen zu Server 2025 hat Microsoft hingegen gelöst.
Microsoft [2] räumt im Message Center der Windows-Release-Health-Notizen einige der Probleme ein. Nach der Installation des Sicherheitsupdates KB5082063 können [3] „non-Global Catalog“ Domänen-Controller in Umgebungen mit privilegierter Zugangsverwaltung (Privileged Access Management, PAM) Abstürze des LSASS-Dienstes erleiden. In der Folge starten die Server wiederholt neu, wodurch Authentifizierung und Directory-Services nicht laufen – die Domäne ist dann nicht verfügbar. Betroffen sind alle Windows-Server ab Version 2016. Ein Gegenmittel rückt der Microsoft-Business-Support nur auf Anfrage raus. Die Entwickler arbeiten jedoch an einem automatischen Update, um das zu korrigieren.
Uns erreichte ein Leserhinweis, demzufolge es nach den April-Sicherheitsupdates möglicherweise Probleme mit der Anmeldung als Domain-Admin gibt. Laut Fehlermeldung sei das Passwort falsch. Das trat auf mehreren Windows Server 2025 DCE auf. Ein Passwort-Reset mittels der „utilman.exe“-Methode hilft in der Situation. Dahinter verbirgt sich das Umbenennen der „utilman.exe“ aus dem Systemverzeichnis und das Umkopieren von „cmd.exe“ in „utilman.exe“ von einer Boot-DVD aus. Nach dem Systemneustart führt der Aufruf der Optionen zur erleichterten Bedienung dadurch zum Öffnen einer Eingabeaufforderung, an der sich mittels net user <username> <neues passwort> das Passwort ändern und anschließend nutzen lässt.
Es gibt aber auch gute Nachrichten. Microsoft hat die optionalen Upgrades auf Windows Server 2025 wieder scharfgeschaltet. Im November 2024 hatte das Unternehmen das Angebot gestoppt, da dadurch unerwartet und ungeplant einige Server selbständig [4] auf Windows Server 2025 migriert haben. Das betraf insbesondere Umgebungen, die die Softwareverwaltung mit Tools von nicht genannten Drittanbietern verwalten. Laut Eintrag im Message-Center [5] konnten die Entwickler das Problem jetzt aber lösen, Windows Server 2025 steht nun wieder als optionales Update zur Verfügung.
URL dieses Artikels:
https://www.heise.de/-11261652
Links in diesem Artikel:
[1] https://www.heise.de/news/Patchday-Angreifer-attackieren-Edge-und-Microsoft-SharePoint-Server-11257867.html
[2] https://www.heise.de/thema/Microsoft
[3] https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2025#4833msgdesc
[4] https://www.heise.de/news/Microsoft-Windows-Server-automatisch-auf-Version-2025-aktualisiert-10014288.html
[5] https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2025#3404msgdesc
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: solarseven/Shutterstock.com)
Derzeit nutzen Angreifer eine kritische Sicherheitslücke in nginx-ui aus. Davon sind auch Instanzen in Deutschland bedroht.
Sicherheitsforscher warnen vor weltweiten Attacken auf Nginx-Webserver. Dabei erlangen Angreifer die volle Kontrolle über Server. Ein Sicherheitspatch ist seit März dieses Jahres verfügbar, aber offensichtlich noch nicht flächendeckend installiert.
Auch hierzulande sind den Forschern zufolge noch verwundbare Server öffentlich über das Internet erreichbar. In welchem Umfang die Attacken ablaufen, ist aber derzeit unklar.
Die „kritische“ Schwachstelle (CVE-2026-33032) betrifft einer Warnmeldung zufolge [1] nginx-ui MCP (Model Context Protocol). Weil über /mcp_message erreichbare HTTP-Endpoints ohne Authentifizierung ansprechbar sind, können entfernte Angreifer mit präparierten HTTP-Anfragen an der Schwachstelle ansetzen. Im Anschluss können sie unter anderem Konfigurationen ändern und so die volle Kontrolle über Instanzen erlangen.
Vor den Attacken warnen unter anderem Sicherheitsforscher von Pluto in einem Bericht [2]. Darin zeigen sie ausführlich, wie Attacken ablaufen und wie sich das Sicherheitsproblem zusammensetzt. Zusätzlich geben sie an, dass sie über die Suchmaschine Shodan weltweit auf fast 2700 verwundbare, über das Internet erreichbare Instanzen gestoßen sind. Der Großteil davon ist in China und den USA. In Deutschland sind es dem Scan zufolge 235 Instanzen.
Die dagegen abgesicherte nginx-ui-Version v.2.3.4 steht seit Mitte März dieses Jahres zum Download [3]. Aktuell ist die Ausgabe v.2.3.6. Serveradmins sollten umgehend reagieren. Wer den Sicherheitspatch nicht sofort installieren kann, sollte für einen temporären Schutz MCP deaktivieren.
Im Beitrag der Sicherheitsforscher finden Admins Hinweise [4], woran sie bereits erfolgreich attackierte Systeme erkennen können.
URL dieses Artikels:
https://www.heise.de/-11261670
Links in diesem Artikel:
[1] https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-h6c2-x2m2-mwhf
[2] https://pluto.security/blog/mcp-bug-nginx-security-vulnerability-cvss-9-8/
[3] https://github.com/0xJacky/nginx-ui/releases/tag/v2.3.4
[4] https://pluto.security/blog/mcp-bug-nginx-security-vulnerability-cvss-9-8/
[5] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:des@heise.de
Copyright © 2026 Heise Medien
Michael O. Rabin
(Bild: Andrej Bauer, CC BY-SA 2.5 SI)
Im Alter von 94 Jahren ist Michael Oser Rabin gestorben. Er war der einzige Empfänger des Turing-Awards, der im Deutschen Reich geboren wurde.
Michael O. Rabin wurde als Sohn des Rabbiners Israel Rabin und der Schriftstellerin Ester Rabin am 1. September 1931 in Breslau geboren. Die Familie wanderte 1935 in das britische Mandatsgebiet für Palästina aus. Sein mathematisches Interesse wurde durch seinen Lehrer Elisha Netanyahu mit der Aufnahme in einen kleinen Kreis interessierter Schüler gefördert. Als er mit 16 Jahren 1948 im israelisch-arabischen Krieg in die Armee eingezogen werden sollte, setzte sich der berühmte Mathematiker Abraham Fraenkel für seine weitere Ausbildung an der Universität ein. 1952 schloss Rabin das Studium mit einer Masterarbeit über ein von Emmy Noether entdecktes Problem ab, was ihm ein Stipendium an der Universität Princeton einbrachte. Dort studierte er zusammen mit Dana Scott bei Alonzo Church [1], bei dem auch Alan Turing studiert hatte.
Rabin und Scott wurden im Sommer 1957 von IBM eingeladen und schrieben dort die Arbeit über „Finite Automata and Their Decision Problems“, in der sie sich mit den (heute so genannten) neuronalen Netzwerken von Warren McCulloch und Walter Pitts [2] beschäftigten. 1956 hatte der Logiker Stephen Cole Kleene mit seinem Theorem die Klasse der regulären Sprachen in die Informatik eingeführt und deshalb konnten Rabin und Scott mit ihrer Arbeit über nichtdeterministische Automaten Kleenes Annahmen bestätigen. „Wir hatten eigentlich keinen tieferen philosophischen Grund, diesen Nichtdeterminismus in Betracht zu ziehen, obwohl er, wie wir heute wissen, im Zentrum der P = NP-Frage steht – einem Problem von immenser praktischer und theoretischer Bedeutung. Für uns war das lediglich eine von mehreren Varianten“, sagte Rabin im Interview [3] über seinen Lebensweg, das er seinem Schüler Dennis Shasha gewährte. Im Jahre 1976 bekamen er und Scott für diese Arbeit den Turing Award [4], was bis heute Gegenstand von angeregten Diskussionen [5] ist.
Nach dieser Episode beschäftigte sich Rabin mit kryptographischen Problemen, angeregt über ein Problem, das ihm John McCarthy [6] gestellt hat: Wie kann ein Spion, der sein Passwort sagt, zuverlässig von einem Wächter erkannt werden, der das Passwort errechnen soll? Die Antwort war der Aufsatz „Probabilistic Algorithm for Testing Primality“ von Rabin. Der Primzahlentest, heute als Miller-Rabin-Test [7] bekannt, liefert nach sechs Tests bei langen Zahlen schnell mit einer Wahrscheinlichkeit von 99,9 Prozent die Antwort auf die Frage, ob eine Zahl eine Primzahl ist und wird deshalb in vielen kryptografischen Anwendungen eingesetzt. Mit seinem Aufsatz „Digitalized Signatures and Public-Key Functions as Intractable as Factorization“ lieferte Rabin 1979 die Grundlagen für das Rabin-Kryptosystem, das im Gegensatz zum Primzahlentest kaum genutzt wird.
Später war Rabin nach jahrelanger Forschung und Lehre an der Hebrew University, deren Rektor er zeitweilig war, ab 1982 wieder bei IBM und gehörte dort bis 1994 zum Science Advisory Committee. 1987 entwickelte er mit Richard M. Karp den Rabin-Karp-Algorithmus, der bei der Suche nach Plagiaten mit einem effizienten Hash-Verfahren aufwartet. Im Interview über seinen Lebensweg schildert er, wie wichtig die Rolle des Zufalls für seine Arbeit gewesen ist. „Das Einwirken von Zufall bei so vielen algorithmischen Problemen ist mir völlig rätselhaft. Es ist effizient, es funktioniert; aber warum und wie, ist mir ein absolutes Rätsel. Algorithmen benötigen in ihrer Reinform eine physikalische Zufallsquelle. Es handelt sich also um eine Art Zusammenarbeit zwischen uns Informatikern und der Natur als Quelle des Zufalls. Das ist einzigartig und wirft einige Fragen in der Physik und Philosophie auf.“
URL dieses Artikels:
https://www.heise.de/-11261362
Links in diesem Artikel:
[1] https://www.genealogy.math.ndsu.nodak.edu/id.php?id=8011
[2] https://www.heise.de/hintergrund/Zahlen-bitte-Von-2-AND-1-OR-0-NOT-die-wegweisende-McCulloch-Pitts-Zelle-6268289.html
[3] https://cacm.acm.org/news/an-interview-with-michael-rabin/
[4] https://amturing.acm.org/award_winners/rabin_9681074.cfm
[5] https://rjlipton.com/2023/01/19/rabin-scott-time/
[6] https://www.heise.de/news/Requiescat-in-pace-Zum-Tod-von-John-McCarthy-1366069.html
[7] https://asecuritysite.com/primes/rabintest?val=982451652
[8] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[9] mailto:mho@heise.de
Copyright © 2026 Heise Medien
(Bild: Bundeswehr/Dagmar Benner)
Wegen akuter Abhörgefahren durch Russland und China verschärft das Verteidigungsministerium die Regeln für Smartphones und Smartwatches in sensiblen Bereichen.
Im Bundesverteidigungsministerium herrscht Alarmstimmung. Das Haus von Minister Boris Pistorius (SPD) reagiert mit einer dringlichen Sicherheitsanweisung auf die wachsende Bedrohung durch ausländische Geheimdienste. Die Nutzung privater Mobilgeräte sei in sensiblen Bereichen des Wehrressorts sowie in den Dienststellen der Bundeswehr deutlich eingeschränkt worden, schreibt der Spiegel. Die Maßnahme ziele darauf ab, die Kommunikation innerhalb des Apparats vor den neugierigen digitalen Augen und Ohren fremder Mächte zu schützen. Denn das Spionagerisiko wird als so hoch wie selten zuvor eingestuft.
Kern der neuen Richtlinie ist ein striktes Mitbringverbot für private Smartphones, Tablets und sogar Smartwatches bei Besprechungen. Dies gilt laut dem Bericht [1] nicht nur für physische Treffen in den Konferenzräumen. Betroffen seien auch virtuelle Zusammenkünfte, sobald dort Informationen geteilt würden, die mindestens als „Verschlusssache – nur für den Dienstgebrauch“ eingestuft sind.
Im Fokus stehen dabei Runden, in denen es um die Einsatzbereitschaft der Truppe oder die konkrete Planung von Übungsvorhaben und Einsätzen geht. In solchen Fällen müssen die privaten Begleiter zwingend in Schließfächern auf den Fluren verweilen.
Die Tragweite der Entscheidung wird beim Blick auf die räumlichen Konsequenzen deutlich. Die Regelung beschränkt sich nämlich nicht auf explizite Sitzungssäle. Sie erstreckt sich auch auf sämtliche Amtsstuben, in denen als Verschlusssache eingestufte Dokumente lagern. Im Berliner Bendlerblock, dem Hauptsitz des Ministeriums, betrifft das fast jedes Dienstzimmer. Für die Beamten sowie das militärische Personal bedeutet das eine Rückkehr zur strikten Trennung von Privatem und Dienstlichem, die im digitalen Zeitalter vielerorts brüchig geworden ist.
Die Begründung der Sicherheitsabteilung lässt wenig Spielraum für Interpretation. Die Bundeswehr gilt derzeit als eines der prioritären Aufklärungsziele russischer Dienste. Doch nicht nur der Kreml bereitet Sorgen: Auch China wird in der internen Anweisung explizit erwähnt. Demnach verfolgt Peking einen strategischen und langfristigen Ansatz bei der nachrichtendienstlichen Informationsgewinnung.
Die privaten Geräte der Mitarbeiter werden dabei als Achillesferse identifiziert. Während dienstliche Mobiltelefone regelmäßig auf Schadsoftware geprüft werden und speziell abgesichert sind, entziehen sich Privatgeräte der staatlichen Kontrolle.
Das Risiko ist technischer Natur: Über manipulierte Apps oder gezielte Phishing-Angriffe lassen sich Abhörprogramme relativ simpel auf herkömmlichen Smartphones installieren. Da das Ministerium keinen Zugriff auf die privaten Geräte hat, könnten solche Infektionen über Monate oder Jahre unbemerkt bleiben. Das Smartphone in der Hosentasche wird so zum potenziellen Sender, der sensible Details über die Verteidigungsfähigkeit des Landes direkt an gegnerische Geheimdienste übermittelt.
Die Anweisung trifft eine Belegschaft, die sich an die ständige Erreichbarkeit gewöhnt hat. Zwar ist das Personal nahezu flächendeckend mit Dienst-Handys ausgestattet, auf denen auch die Bearbeitung eingestufter Dokumente möglich ist. Doch diese Geräte unterliegen strengen Software-Beschränkungen. Gängige Messenger wie WhatsApp sind dort aus Sicherheitsgründen tabu. Das führte dazu, dass von einfachen Angestellten bis hinauf in die Leitungsebene fast jeder sein privates Zweitgerät ständig bei sich trägt, um privat vernetzt zu bleiben. Damit soll nun in den sicherheitsrelevanten Zonen Schluss sein.
Andere Institutionen haben noch schärfere Vorgaben. Beim Bundesnachrichtendienst (BND) etwa ist das Mitführen privater Elektronik schon lange grundsätzlich untersagt. Auch die NATO setzt auf drakonische Einschränkungen.
URL dieses Artikels:
https://www.heise.de/-11261358
Links in diesem Artikel:
[1] https://www.spiegel.de/politik/deutschland/boris-pistorius-verbannt-privathandys-aus-den-amtsstuben-spionagegefahr-a-f3e7b805-fcf6-4c42-ab20-dbd1cd1fa683
[2] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[3] mailto:mma@heise.de
Copyright © 2026 Heise Medien
(Bild: Tero Vesalainen/Shutterstock.com)
Bundeskriminalamt und Generalstaatsanwaltschaft Frankfurt sind mit internationalen Partnern gegen sogenannte Stresserdienste vorgegangen. Es gab Festnahmen.
Die „Power Off“ genannte Operation sollte Betreiber von Stresserdiensten, mit denen auch technisch weitgehend ahnungslose Nutzer verteilte Überlastungsangriffe buchen konnten, unter Druck setzen. So ein Distributed-Denial-of-Service (DDoS) legt durch viele gleichzeitige Zugriffe Dienste lahm. Bei der Operation gingen das Bundeskriminalamt, die Zentralstelle zur Bekämpfung der Internetkriminalität und internationale Partner koordiniert vor, um Angebote auszuschalten und Tatbeteiligte zu erreichen. Die Zentralstelle ist Teil der Generalstaatsanwaltschaft Frankfurt am Main und bei solchen Verfahren in Deutschland oft federführend.
Die „Stressoren“ werden dabei aus ganz unterschiedlichen Gründen gebucht. „Haktivistische Gruppierungen versuchen unsere Gesellschaft unter Druck zu setzen, Online-Gamer versprechen sich Wettbewerbsvorteile“, erklärt Carsten Meywirth, der beim BKA die Abteilung Cybercrime leitet. Der Leiter der ZIT Benjamin Krause sieht hier ein Muster: „Gerade jüngere Beschuldigte, unter anderem in der Gaming-Szene, nutzen häufig Stresserdienste als vermeintlich harmlosen Spaß oder um sich Vorteile in Spielen zu verschaffen.“ Das Stören fremder Systeme sei jedoch kein Spiel, sondern eine Straftat, betonen die Behörden.
Ein Verfahren in dem Zusammenhang richtet sich laut den deutschen Behörden gegen einen deutschen Staatsbürger, der im Ausland lebt und mit „Fluxstress“ sowie „Netdowner“ zwei der größten Angebote betrieben haben soll. Der Deutsche wurde in Thailand festgenommen, die deutschen Strafverfolger werfen ihm gewerbs- und bandenmäßiges Betreiben einer kriminellen Handelsplattform vor. Bei insgesamt 150 Maßnahmen und 16 Durchsuchungen in 21 Ländern seien in Polen nun zudem zwei mutmaßliche Administratoren und ein weiterer Tatbeteiligter festgenommen worden.
Seit 2019 versuchen die Strafverfolgungsbehörden den Verfolgungsdruck auf derartige „Crime-as-a-Service“-Angebote im Rahmen internationaler Aktionen zu erhöhen und setzen auch auf Abschreckung: Warnhinweise und direkter Kontakt zu Kunden der kriminellen Dienste gehören zum Instrumentarium der Ermittler. Vier Verhaftungen und 53 Domain-Takedowns listet die Website der Operation Power Off [1] derzeit auf – die Behörden gehen davon aus, dass diese Zahlen nach dem heutigen Tag weiter steigen werden. Das Projekt besteht seit Jahren und richtet sich gegen verschiedene Cybercrime-Angebote, immer wieder auch gegen DDoS-Anbieter [2].
URL dieses Artikels:
https://www.heise.de/-11261177
Links in diesem Artikel:
[1] https://www.operation-poweroff.com/
[2] https://www.heise.de/news/Polizei-schliesst-Drogen-Marktplatz-und-DDoS-Booter-10002579.html
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:cku@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Updates für Google Chrome aus der Nacht zum Donnerstag schließen 31 Sicherheitslücken. Fünf davon gelten als kritisches Risiko.
Wer mit Chrome und Chromium-basierten Webbrowsern unterwegs ist, sollte sicherstellen, den aktuellen Softwarestand einzusetzen. Google hat Updates veröffentlicht, mit denen die Entwickler 31 Sicherheitslücken schließen. Fünf davon gelten als kritisch, sie erlauben Angreifern das Einschleusen von Schadcode.
In der Versionsankündigung listen Googles Entwickler [1] die Schwachstellen auf. Manipulierte Webseiten können einen Heap-basierten Pufferüberlauf im WebGL-Backend ANGLE auslösen und dadurch aus der Sandbox ausbrechen (CVE-2026-6296 [2], CVSS 9.6, Risiko „kritisch“). Der Fehlerbericht war Google 90.000 US-Dollar wert, das ist damit eine der bislang höchsten Auszahlungen für eine Chrome-Sicherheitslücke.
Die Proxy-Komponente erlaubt ebenfalls aufgrund einer „Use-after-free“-Schwachstelle, dass Angreifer in „privilegierter Netzwerk-Position“ mit sorgsam präparierten Webseiten aus der Sandbox ausbrechen (CVE-2026-6297 [3], CVSS 8.3, Risiko „hoch“, laut Google aber „kritisch“). In der Grafikbibliothek Skia können manipulierte HTML-Seiten einen Heap-basierten Pufferüberlauf provozieren, der sensible Informationen aus dem Prozessspeicher entweichen lässt (CVE-2026-6298 [4], CVSS 4.3, Risiko „mittel“, laut Google „kritisch“).
Eine „Use-after-free“-Lücke beim Prerendering von Webseiten in Chrome [5] ermöglicht zudem das Einschleusen von Schadcode mit präparierten Webseiten (CVE-2026-6299 [6], CVSS 8.8, Risiko „hoch“, laut Google „kritisch“). In der „Extended Reality“-Komponente (XR) von Chrome auf Android können Angreifer zudem mit manipulierten HTML-Seiten Lesezugriffe außerhalb vorgesehener Speicherbereiche aufgrund einer „Use-after-free“-Lücke auslösen (CVE-2026-6358 [7], CVSS 8.8, Risiko „hoch“, laut Google „kritisch“).
Weitere 22 Sicherheitslücken stufen die Entwickler als hohes Risiko ein, vier zudem als mittleren Bedrohungsgrad. Die Schwachstellen will Google in den Versionen Chrome 147.0.7727.101 für Android und Linux sowie 147.0.7727.101/102 für macOS und Windows ausgebessert haben. Immerhin: Google erwähnt nichts davon, dass die Schwachstellen bereits im Internet attackiert würden.
Ob der Browser bereits aktuell ist, lässt sich im Versionsdialog feststellen. Der findet sich nach Klick auf das Browser-Menü, das sich hinter dem Symbol mit drei übereinander gestapelten Punkten rechts der Adressleiste verbirgt, und dort weiter über „Hilfe“ zu „Über Google Chrome“. Steht ein Update zur Verfügung, lädt der Dialog es herunter und bietet die Installation an. Unter Linux macht das in der Regel die Softwareverwaltung der Distribution. Auf Android-Smartphones kommt es jedoch oftmals zur verzögerten Auslieferung.
Da andere Browser wie Microsofts Edge auf dem Chromium-Code basieren, dürften sich die Schwachstellen auch darin finden. Auch hier sollten Nutzerinnen und Nutzer daher prüfen, ob Aktualisierungen bereitstehen, und diese anwenden.
Derzeit häufen sich die entdeckten und geschlossenen Sicherheitslücken in Chrome. Erst vergangene Woche haben die Entwickler sogar 60 Sicherheitslecks in Chrome [8] geschlossen.
URL dieses Artikels:
https://www.heise.de/-11259775
Links in diesem Artikel:
[1] https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-6296
[3] https://nvd.nist.gov/vuln/detail/CVE-2026-6297
[4] https://nvd.nist.gov/vuln/detail/CVE-2026-6298
[5] https://www.heise.de/thema/Chrome
[6] https://nvd.nist.gov/vuln/detail/CVE-2026-6299
[7] https://nvd.nist.gov/vuln/detail/CVE-2026-6358
[8] https://www.heise.de/news/Google-Chrome-147-Update-stopft-60-Sicherheitsluecken-davon-zwei-kritische-11249800.html
[9] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[10] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Superstar / Shutterstock.com)
Die Richtlinie ist noch immer zu unbekannt und Unternehmen ignorieren die Registrierungspflicht, konstatiert das BSI auf seinem Jahreskongress.
Auf dem 21. Deutschen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschäftigte sich am Mittwoch ein ganzer Vortragsblock mal wieder mit der NIS-2. Die EU-Richtlinie zur Absicherung von Unternehmenssoftware und -netzen trat im Oktober 2024 in Kraft und beschäftigt das BSI und seine Partner nach wie vor. Das liegt vor allem daran, dass bisher viel weniger Firmen die Vorschriften der Richtlinie erfüllen, als man eigentlich bei einem solchen Gesetz erwarten würde.
Wie Manuel Bach aus der BSI-Abteilung Cybersicherheit in der Wirtschaft in seiner Einführung ansprach, ist es sehr schwierig, konkrete Zahlen zur NIS-2-Umsetzung in der deutschen Wirtschaft zu erheben. Im BSI-Portal bleiben die Registrierungszahlen von Firmen, die laut dem Gesetz als „wichtige“ oder „besonders wichtige“ Einrichtungen dazu verpflichtet sind, nach wie vor unter den Erwartungen. Bis zum 6. März [1] hätten sich eigentlich alle entsprechenden Unternehmen beim BSI melden müssen.
Das BSI weiß von mehreren meldepflichtigen Unternehmen, die nach Konsultation der Firmenspitze mit Rechtsbeiständen zu dem Schluss gekommen sind, bewusst die eigene Firma nicht zu melden, so Bach weiter. Ein kürzlich veröffentlichter Bericht der Firma Schwarz Digits [2] legt nahe, dass dies keine Einzelfälle sind – Unternehmenslenker wollen wohl keine schlafenden Hunde wecken.
Bach wies in diesem Zusammenhang darauf hin, dass Geschäftsführungen das Thema ernst nehmen sollten – nicht nur wegen der im Gesetz festgeschriebenen persönlichen Haftung der Betriebsleitung. Nur weil man selbst der Meinung sei, die eigene Firma sei nicht meldepflichtig, entspräche das noch lange nicht der Realität. Bach verglich das mit der Steuerpflicht, da könne man auch nicht selbst entscheiden, ob diese zutreffe.
Dass sich viele Firmen bisher noch nicht beim BSI gemeldet haben, obwohl sie das eigentlich müssten, liegt aber wohl auch daran, dass in vielen Firmen nach wie vor das Bewusstsein fehlt, was die NIS-2 überhaupt ist [3]. Schlimmer noch, es gibt wohl aber auch noch eine große Anzahl an Firmen in Deutschland, die gar nicht wissen, dass die NIS-2 überhaupt existiert. Laut Manuel Bach hat das BSI im Rahmen einer Studie Ende letzten Jahres festgestellt, dass knapp die Hälfte der deutschen Unternehmen zu diesem Zeitpunkt noch nicht einmal den Begriff "NIS-2" gehört hatten.
Younes Ahmadzei, der sich im Rahmen seiner Bachelorarbeit an der Technischen Universität München [4] mit der Umsetzung der NIS-2 bei kleinen und mittelständischen Unternehmen in Deutschland beschäftigt hatte, zeichnete in seinem Vortrag ein ähnliches Bild. Viele der von ihm befragten Unternehmen hätten angegeben, sich erst seit Anfang 2026 mit der NIS-2 auseinanderzusetzen. Laut Ahmadzei sehen viele Firmenvertreter die Umsetzung des Gesetzes als reine Pflichtaufgabe und bezweifelten, dass die damit verbundenen Prozesse die IT-Sicherheit in ihrem Unternehmen verbessern würden.
Am Ende des Vortragsblocks zu diesem Thema stellte auch Manuel Bach vom BSI fest, dass die Bundesregierung – aber auch seine eigene Behörde – beim Thema NIS-2 noch viel Arbeit vor sich habe. Die geringe Kenntnis über dieses Thema in weiten Teilen der Wirtschaft deute klar darauf hin, dass hier noch viel Aufklärungsarbeit zu leisten sei. Und vor allem sieht es so aus, als ob ein nicht unerheblicher Teil der deutschen IT-Landschaft darüber hinaus dann auch noch davon überzeugt werden muss, dass die Umsetzung dieses EU-Gesetzes mehr als eine Arbeitsbeschaffungsmaßnahme durch EU-Kommission und BSI ist.
Wer sich beim Lesen dieser Meldung ertappt fühlt, findet im iX Workshop „NIS-2 - Anforderungen und Vorgaben“ [5] einen kompakten und praxisnahen Einstieg in die gesetzlichen Vorgaben und deren Umsetzung.
URL dieses Artikels:
https://www.heise.de/-11259349
Links in diesem Artikel:
[1] https://www.heise.de/news/BSI-11-500-kritische-Einrichtungen-unter-NIS2-registriert-11202673.html
[2] https://www.heise.de/news/Deutsche-Unternehmen-ignorieren-NIS2-Pflichten-massiv-11200728.html
[3] https://www.heise.de/news/Douglas-Adams-wuerde-NIS2-lieben-11204285.html
[4] https://home.cit.tum.de/~ahmadzei/bachelorarbeit-nis2.html
[5] https://heise-conferences.de/workshop/nis-2-anforderungen-und-vorgaben-3mmPhzjLWmXSea
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:cku@heise.de
Copyright © 2026 Heise Medien
(Bild: Prostock-studio/Shutterstock.com)
Kommissionschefin von der Leyen kündigt eine fertige Lösung zur Altersprüfung an, die anonymes Surfen ermöglichen und Plattformen in die Pflicht nehmen soll.
Die Zeit der unverbindlichen Appelle an große Tech-Konzerne scheint in Brüssel vorbei zu sein. In einer gemeinsamen Erklärung haben EU-Kommissionspräsidentin Ursula von der Leyen (CDU) und die für die Tech-Souveränität zuständige Vizepräsidentin Henna Virkkunen am Mittwoch den Startschuss für eine neue Ära des digitalen Jugendschutzes [1] gegeben. Kern der Offensive ist eine europaweite, von mehreren Staaten bereits getestete App zur Altersverifikation [2], die laut von der Leyen nun technisch bereit ist und in Kürze den Bürgern zur Verfügung stehen werde.
Damit reagiert die Kommission auf die Sorge über Risiken wie Online-Mobbing, Suchtfaktoren durch algorithmisches Design und Cyber-Grooming, also das Heranpirschen an Kinder und Jugendliche übers Netz. Die Diagnose der Kommissionschefin fällt düster aus: Jedes sechste Kind werde online gemobbt. Soziale Medien förderten ferner durch unendliches Scrollen Abhängigkeiten, die die Gehirnentwicklung beeinträchtigen könnten.
Da Plattformen bisher keine wirksamen Mechanismen vorweisen konnten, um Minderjährige vor schädlichen Inhalten zu schützen, greift die EU zur Selbsthilfe. Die neue App soll es Nutzern ermöglichen, ihr Alter gegenüber Online-Diensten nachzuweisen, ohne dabei die gesamte digitale Identität preiszugeben.
Technisch orientiert sich das Projekt am digitalen Covid-Zertifikat [3]. Wie beim Pandemie-Begleiter setzt die Kommission auf ein Modell, das auf Smartphones, Tablets und Computern funktioniert. Nach dem Download wird die App einmalig mit einem Ausweisdokument eingerichtet. Ein besonderes Augenmerk liegt auf der Privatsphäre. Von der Leyen betonte: Die Anwendung erfülle „die weltweit höchsten Datenschutzstandards“. Das Alter werde nachgewiesen, ohne weitere persönliche Informationen preiszugeben. Die App sei „vollkommen anonym – Nutzer können nicht zurückverfolgt werden.“
Die Anwendung basiert auf dem Zero-Knowledge-Proof [4]. Dieses kryptografische Prinzip ermöglicht es, die Korrektheit einer Information – hier das Erreichen eines bestimmten Alters – zu beweisen, ohne die zugrunde liegenden Daten selbst zu offenbaren. Das soll die informationelle Selbstbestimmung wahren. Plattformen erhalten lediglich die Bestätigung „alt genug“, ohne den Ausweis scannen zu müssen. Österreichs Alterskontrolle baut bereits auf diesem Verfahren auf [5].
Der Vorstoß ist eng mit der Durchsetzung des Digital Services Act (DSA) [6] verknüpft. Virkkunen machte deutlich, dass die Kommission gegen Unternehmen wie TikTok, Facebook oder Instagram bereits wegen suchterzeugender Designs vorgehe. Auch gegen pornografische Plattformen seien Maßnahmen eingeleitet worden, da diese oft keine funktionierenden Alterskontrollen verwendeten. Die neue Anwendung entzieht den Konzernen nun die Ausrede, es gäbe keine einfache technische Lösung.
Länder wie Frankreich, Italien und Irland gelten als Vorreiter und planen, die App in ihre nationalen digitalen Brieftaschen zu integrieren. Um einen Flickenteppich zu vermeiden, will Virkkunen noch diesen Monat einen EU-weiten Koordinierungsmechanismus für die Akkreditierung nationaler Lösungen schaffen. Der Quellcode der App ist im Rahmen der digitalen Bürgeridentität EUDI offen zugänglich [7], um Vertrauen zu schaffen und die Einbindung etwa auch in Firmenlösungen zu erleichtern. Hierzulande soll zunächst ein Expertengremium Empfehlungen für die Sicherheit von Kindern im Netz erarbeiten.
URL dieses Artikels:
https://www.heise.de/-11259317
Links in diesem Artikel:
[1] https://germany.representation.ec.europa.eu/news/kinderschutz-online-eu-app-zur-altersuberprufung-steht-2026-04-15_de
[2] https://www.heise.de/news/EU-App-zur-Alterskontrolle-Fuenf-Staaten-beginnen-mit-den-Tests-10487184.html
[3] https://www.heise.de/news/COVID-Zertifikat-EU-Schnittstelle-fuer-digitalen-Impfnachweis-ist-online-6059827.html
[4] https://www.heise.de/hintergrund/Zero-Knowledge-Proofs-2499391.html
[5] https://www.heise.de/news/Oesterreich-zieht-Reissleine-Social-Media-Verbot-fuer-unter-14-Jaehrige-kommt-11220002.html
[6] https://www.heise.de/news/Digital-Services-Act-Wie-die-EU-das-Internet-kuenftig-regulieren-wird-7063328.html
[7] https://github.com/eu-digital-identity-wallet
[8] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[9] mailto:mki@heise.de
Copyright © 2026 Heise Medien
(Bild: Photon photo / Shutterstock.com)
OpenSSL 4.0.0 ist da: Die Kryptobibliothek entfernt Altlasten, führt ECH für mehr Datenschutz ein und bereitet auf Post-Quantum-Kryptografie vor.
OpenSSL 4.0.0 ist erschienen und bringt tiefgreifende Änderungen an der weitverbreiteten Kryptobibliothek. Das Open-Source-Projekt entfernt veraltete Protokolle wie SSLv2 und SSLv3, schafft das Engine-Konzept ab, führt neue Datenschutzfunktionen im TLS-Handshake ein und erweitert die Bibliothek in Richtung Post-Quantum-Kryptografie. Gleichzeitig bereinigen die Entwickler die API und verschärfen sicherheitsrelevante Prüfungen.
OpenSSL gehört zu den zentralen TLS/SSL-Implementierungen und steckt in Webservern, Betriebssystemen, Netzwerkgeräten und unzähligen Anwendungen. Änderungen an der Bibliothek wirken sich unmittelbar auf die Absicherung von Netzwerkverbindungen, Zertifikatsprüfungen und kryptografische Operationen in großen Teilen der IT-Infrastruktur aus.
Zu den wichtigsten Neuerungen gehört die Unterstützung für Encrypted Client Hello (ECH) nach RFC 9849. ECH verschlüsselt Teile des TLS-Handshake – insbesondere die Server Name Indication (SNI). Bislang konnten Dritte wie Netzbetreiber anhand der SNI erkennen, welche Domain ein Client ansteuert. ECH verbirgt diese Information und verbessert so den Datenschutz auf Transportebene deutlich.
Neu sind außerdem hybride Schlüsselaustauschverfahren wie curveSM2MLKEM768. Sie kombinieren klassische elliptische Kurven mit Post-Quantum-Algorithmen und sollen Verbindungen schon heute gegen künftige Angriffe durch Quantencomputer absichern: Selbst wenn ein Angreifer eines der beiden Verfahren bricht, schützt das andere weiterhin die Verbindung.
Die Bibliothek ergänzt mehrere kryptografische Primitive und Standards. Dazu zählt die cSHAKE-Funktion nach SP 800-185 – eine flexiblere Variante von SHA-3, die domänenspezifische Hash-Berechnungen erlaubt. Hinzu kommen Unterstützung für den Signaturalgorithmus ML-DSA-MU sowie SM2/SM3 nach RFC 8998, die unter anderem in regulatorischen Kontexten eine Rolle spielen. Zudem führt OpenSSL 4.0.0 Key-Derivation-Funktionen (KDFs) für SNMP und das Secure Real-time Transport Protocol (SRTP) ein, die in Netzwerkmanagement- und VoIP-Szenarien zum Einsatz kommen. Für TLS 1.2 unterstützt OpenSSL nun außerdem standardisierte Finite-Field-Diffie-Hellman-Gruppen (FFDHE) gemäß RFC 7919. Das verbessert die Interoperabilität und vermeidet unsichere oder proprietäre Parameterwahl beim Schlüsselaustausch.
Die Zertifikatsvalidierung wird an mehreren Stellen strenger. Im Strict-Modus prüft OpenSSL nun zusätzlich die Authority Key Identifier (AKID), und auch die CRL-Prüfung erhält weitere Checks. Im FIPS-Modus erzwingt die Bibliothek jetzt Mindestanforderungen bei PBKDF2 – etwa bei der Zahl der Iterationen –, um schwache Konfigurationen zu unterbinden.
Neu ist außerdem die Möglichkeit, FIPS-Selbsttests verzögert auszuführen. Das ist vor allem in containerisierten Umgebungen nützlich.
Mit Version 4.0 räumt OpenSSL konsequent auf. Neben SSLv2 und SSLv3 fällt auch das Engine-Konzept weg. Hardwarebeschleunigung und externe Kryptomodule laufen künftig ausschließlich über die Provider-Architektur, die Engines bereits seit OpenSSL 3.0 ablöst. Ebenfalls entfernt: feste TLS-Versionsmethoden, ältere elliptische Kurven, diverse Low-Level-Funktionen und das Skript c_rehash. Stattdessen sollen Nutzer openssl rehash verwenden.
Bei der API gibt es mehrere Änderungen, die Anpassungen im Anwendungscode erfordern können. Zahlreiche Funktionssignaturen tragen jetzt const-Qualifier, der Datentyp ASN1_STRING ist nun vollständig gekapselt – Zugriff auf seine internen Felder ist nur noch über Zugriffsfunktionen möglich. Auch die Ausgabe von Hex-Dumps wurde standardisiert: Signaturen werden in 24-Byte-Blöcken dargestellt, alle anderen Daten in 16-Byte-Blöcken. Das soll die Lesbarkeit verbessern und die Ausgabe konsistenter machen. Und veraltete Funktionen zur Zeitprüfung von Zertifikaten weichen der neuen Funktion X509_check_certificate_times(). Auch beim Laufzeitverhalten gibt es Änderungen: OpenSSL verzichtet künftig auf automatisches Aufräumen globaler Daten über atexit() und setzt stärker auf Standardfunktionen der C-Laufzeitbibliothek, etwa bei snprintf.
Für Entwickler und Betreiber bedeutet das Release mehr Sicherheit und modernere Kryptografie – bei gleichzeitig erhöhtem Migrationsaufwand. Anwendungen, die direkt auf OpenSSL-APIs zugreifen oder ältere Funktionen nutzen, müssen angepasst werden. OpenSSL 4.0 legt damit die Grundlage für den Übergang zu post-quantenresistenten Verfahren und besseren Datenschutz im TLS-Handshake. Details zum neuen Release finden sich auf der zugehörigen GitHub-Projektseite [1].
URL dieses Artikels:
https://www.heise.de/-11259152
Links in diesem Artikel:
[1] https://github.com/openssl/openssl/releases/tag/openssl-4.0.0
[2] https://www.heise.de/ix
[3] mailto:fo@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Am April-Patchday behandelt SAP Schwachstellen mit 19 Sicherheitsnotizen. Eine kritische erlaubt das Einschleusen von SQL-Befehlen.
SAP kümmert sich am April-Patchday [1] in 19 neuen Sicherheitsnotizen um Schwachstellen in diversen Produkten. Eine davon gilt als kritisch und erlaubt Angreifern das Einschleusen von SQL-Befehlen, eine weitere als hochriskant. Einen Großteil der Sicherheitslecks hat das Unternehmen als mittleres Risiko eingestuft, zwei sogar nur als niedrigen Bedrohungsgrad.
Die Patchday-Übersicht für den April von SAP [2] listet die einzelnen Schwachstellen sowie zugehörige CVE-Schwachstelleneinträge auf. Am schwerwiegendsten ist eine unzureichende Autorisierungsprüfung in SAP Business Planning and Consolidation sowie in SAP Business Warehouse, durch die authentifizierte Nutzer und Nutzerinnen manipulierte SQL-Statements zum Lesen, Verändern und Löschen von Datenbank-Daten ausführen können (CVE-2026-27681 [3], CVSS 9.9, Risiko „kritisch“).
Als hochriskant gilt den Entwicklern eine fehlende Autorisierungsprüfung in SAP ERP und SAP S/4HANA sowohl in der Private Cloud als auch On-Premise. Die ermöglicht angemeldeten Angreifern, einen bestimmten ABAP-Report auszuführen und damit jeden bestehenden achtstelligen ausführbaren ABAP-Report unbefugt zu überschreiben. Dadurch kann bei überschriebenen Reports die eigentlich angedachte Funktion nicht mehr verfügbar sein (CVE-2026-34256 [4], CVSS 7.1, Risiko „hoch“).
15 weitere Sicherheitslücken erhalten die Einstufung als mittleres Risiko. Sie betreffen
Außerdem hat SAP eine ältere Sicherheitsnotiz SAP S4CORE (Manage Journal Entries) aus dem November 2025 aktualisiert. Die beiden als niedriges Risiko eingestuften Schwachstellen betreffen SAP NetWeaver Application Server ABAP und SAP Landscape Transformation.
IT-Verantwortliche sollten prüfen, ob sie die verwundbare Software einsetzen, und gegebenenfalls die angebotenen Aktualisierungen anwenden. Am SAP-Patchday im März [5] dieses Jahres hatten Admins von SAP Flicken zum Ausbessern von 15 Schwachstellen erhalten. Davon galten zwei als kritische Bedrohung.
URL dieses Artikels:
https://www.heise.de/-11256627
Links in diesem Artikel:
[1] https://www.heise.de/thema/Patchday
[2] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2026.html
[3] https://nvd.nist.gov/vuln/detail/CVE-2026-27681
[4] https://nvd.nist.gov/vuln/detail/CVE-2026-34256
[5] https://www.heise.de/news/SAP-Patchday-NetWeaver-Luecke-ermoeglicht-Einschleusen-von-Schadcode-11205008.html
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Black_Kira / Shutterstock.com)
Ein Sicherheitsupdate schließt unter anderem eine kritische Lücke in wolfSSL.
Aufgrund einer Sicherheitslücke in der TLS-Bibliothek wolfSSL können Angreifer Opfer unter dem Deckmantel einer vertrauenswürdig wirkenden Verbindung auf von ihnen kontrollierte Server locken. Um das zu unterbinden, sollten Admins die dagegen abgesicherte Version installieren. In einer aktuellen Ausgabe haben die Entwickler noch weitere Lücken geschlossen.
Wie aus dem Changelog der aktuellen Version 5.9.1 hervorgeht [1], haben die Entwickler sich insgesamt um 21 Sicherheitsprobleme gekümmert. Am gefährlichsten gilt eine „kritische“ Lücke (CVE-2026-5194), die den Umgang mit Zertifikaten betrifft. Weil es bei über etwa ECDSA/ECC oder DSA ausgestellte Signaturen zu Fehlern kommt, können Angreifer Zertifikate manipulieren, die dann als gültig durchgewinkt werden. So können Angreifer etwa Opfer im Rahmen einer vertrauenswürdig aussehenden Verbindung auf von ihnen kontrollierte Server locken.
Neun weitere Softwareschwachstellen sind mit dem Bedrohungsgrad „hoch“ eingestuft. Nutzen Angreifer diese Lücken erfolgreich aus, können sie Speicherfehler auslösen (etwa CVE-2026-5264). Das führt in der Regel zu Abstürzen, oft gelangt in so einem Kontext aber auch Schadcode auf Systeme.
Setzen Angreifer an den verbleibenden Schwachstellen an, kann es ebenfalls zu Speicherfehlern (etwa CVE-2026-5392 „mittel“) kommen oder Angreifer können eigentlich verschlüsselte Inhalte im Klartext sehen (CVE-2026-5504 „mittel“).
Bislang gibt es keine Hinweise auf Attacken. Admins sollten mit der Installation der gegen die geschilderten möglichen Angriffe gerüsteten Ausgabe aber nicht zu lange zögern. Andernfalls ist die Sicherheit von Verbindungen nicht gewährleistet.
URL dieses Artikels:
https://www.heise.de/-11256250
Links in diesem Artikel:
[1] https://github.com/wolfSSL/wolfssl/releases
[2] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Die Webseite CPUID der System-Analyse-Tools CPU-Z und HWMonitor wurde von Angreifern manipuliert. Sie verteilte Malware.
Wer am Donnerstag oder Freitag vergangener Woche, also dem 9. oder 10. April 2026, die System-Analysewerkzeuge von der CPUID-Webseite wie CPU-Z oder HWMonitor heruntergeladen hat, sollte den Rechner auf Malware-Befall untersuchen. Die Webseite lieferte an diesen Tagen für mehrere Stunden zufällig Links auf Malware anstatt auf die regulären Installationspakete aus.
Den genauen Vorfall mit tiefgehender Malware-Analyse beschreibt ein Dokument des IT-Forschers mit Handle nemesis auf GitHub [1]. Demnach konnten Angreifer die CPUID-Webseite über eine Schwachstelle in einer API kompromittieren. Die Webseite hatte dadurch demnach zufällig bösartige Links angezeigt. Die signierten Originaldateien wurden allerdings nicht verändert.
Die Analyse beschreibt, dass die Malware-Pakete glaubwürdige Dateinamen wie „cpu-z_2.19-en.zip“ trugen und die legitimen CPU-Z-Dateien enthielten, nebst einer bösartigen CRYPTBASE.dll. Die missbraucht die Standard-Windows-Suchreihenfolge, die diese Datei zunächst im aktuellen Verzeichnis und erst dann in Systemverzeichnissen sucht. Dadurch gelangt der Schadcode durch diese sogenannte „DLL Sideloading“-Schwachstelle zur Ausführung. Nach der Ausführung folgt eine mehrstufige Infektionskette. Eine von Kaspersky als „Backdoor.Win64.Alien“ erkannte Backdoor wird dabei persistent im System verankert. Die Analyse liefert diverse Anzeichen für erfolgreiche Angriffe (Indicators of Compromise, IOC).
Der Analyse von vxunderground auf Bluesky [2] zufolge wurde der Angriff etwa ab 1 Uhr morgens am Freitag nach mitteleuropäischer Ortszeit (7 pm EST) entdeckt. Auch das HWMonitor-Paket lag dadurch in manipulierter Fassung als Download vor. Ein weiterer Kommentar [3] weist auf eine Stellungnahme des CPU-Z- und HWMonitor-Maintainers @d0cTB. Demnach dauerten die Untersuchungen noch an, jedoch scheint eine API für sekundäre Funktionen der Webseite für etwa sechs Stunden kompromittiert gewesen zu sein. Dadurch habe die Hauptseite zufällig bösartige Links angezeigt. Die signierten Originaldateien wurden dabei nicht kompromittiert. Der Einbruch wurde entdeckt und daraufhin gestoppt.
Laut der tiefergehenden Analyse von nemesis handelt es sich um einen Lieferkettenangriff, bei dem die offizielle CPUID-Download-Infrastruktur bösartige Dateien ausgeliefert habe. Die Download-Links wurden dabei auf einen Cloudflare-C2-Speicher umgeleitet, anstatt auf die Standard-Infrastruktur von CPUID zu verweisen. Die Angreifer lieferten ihre eigenen trojanisierten Pakete aus, die durch russischsprachige Installer auffielen; die signierten Original-Installer wurden nicht manipuliert. Es gab also zwei Varianten der manipulierten Pakete, einmal die ausführbaren InnoSetup-Installer und dann die neu verpackten .zip-Dateien mit der zusätzlichen bösartigen CRYPTBASE.dll. Die Analyse erwähnt zudem eine ähnliche Malware-Kampagne gegen FileZilla Anfang März 2026, was auf dieselben Angreifer deute.
Wer im fraglichen Zeitraum die Software von CPUID heruntergeladen hat, sollte prüfen, ob es sich um die bekannten Malware-Varianten handelt. Auf VirusTotal [4] sollten die Scanner inzwischen zu einem Großteil darauf anschlagen.
Lieferketten- oder auch Supply-Chain-Angriffe treffen viele Unternehmen. So konnten Angreifer vor rund zwei Wochen durch eine Supply-Chain-Attacke auf LiteLLM auf interne Cisco-Daten zugreifen [5]. Dabei sollen Quellcode und Kundendaten gestohlen worden sein.
URL dieses Artikels:
https://www.heise.de/-11256219
Links in diesem Artikel:
[1] https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84
[2] https://bsky.app/profile/did:plc:q4atj55pxuwvdv5iqxo6hdh4/post/3mj4riucsy52p
[3] https://bsky.app/profile/vxundergroundre.bsky.social/post/3mj4wjs46iu2q
[4] https://www.virustotal.com/
[5] https://www.heise.de/news/Bericht-Cyberkriminelle-stehlen-Quellcode-von-Cisco-und-dessen-Kunden-11244097.html
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: tete_escape / Shutterstock.com)
Eine Sonderauswertung des Cybersicherheitsmonitor von BSI und ProPK zeigt gefährliche Wissenslücken beim Erkennen von KI-Manipulationen und Online-Anlagebetrug.
Künstliche Intelligenz ist im Alltag der Bundesbürger angekommen, doch das Risikobewusstsein hinkt der technischen Entwicklung hinterher. Wie eine Sonderauswertung des Cybersicherheitsmonitors 2026 offenbart, klafft in der Bevölkerung eine große Lücke zwischen Selbsteinschätzung und tatsächlichen Kenntnissen. Zwar gibt fast die Hälfte der befragten Internetnutzer in Deutschland an, KI-generierte Inhalte als solche identifizieren zu können. Doch in der Praxis schauen nur die wenigsten genau hin.
KI-generierte Bilder und Videos sind laut den Ergebnissen der repräsentativen Umfrage [1] im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der polizeilichen Kriminalprävention (ProPK) [2] unter mehr als 3000 Personen längst Normalität: Sieben von zehn Befragten sind online bereits solchen Inhalten begegnet. Bei den unter 30-Jährigen sind es sogar neun von zehn.
47 Prozent der Befragten trauen sich zu, die Fälschungen zu erkennen, Doch bei konkreten Überprüfungsmaßnahmen herrscht Zurückhaltung: Ein Drittel der Deutschen hat noch nie eine der gängigen Methoden zur Verifizierung genutzt. Lediglich 28 Prozent suchten gezielt nach grafischen Unstimmigkeiten wie fehlerhaften Schatten oder deformierten Gliedmaßen. Nur 19 Prozent kontrollierten die Verlässlichkeit der Quelle.
BSI-Präsidentin Claudia Plattner mahnt, für Verbraucher sei es inzwischen unerlässlich, KI-Inhalte zu identifizieren. Nur so könnten sie Risiken und Falschinformationen früh erkennen. Das BSI setze daher verstärkt auf Sensibilisierung und biete Orientierungshilfen [3] an, um die Medienkompetenz im Umgang mit generativer KI zu stärken [4].
Der Bedarf dafür ist groß, denn viele technisch bereits machbare Betrugsszenarien werden von der breiten Masse noch als unmöglich eingestuft. So halten etwa nur 38 Prozent der Befragten die Manipulation eines KI-Agenten zur Preisgabe persönlicher Daten für realistisch. Auch die Gefahr durch unsichtbare, bösartige Anweisungen in Dokumenten, die KI-Sprachmodelle beim Zusammenfassen austricksen können, ist nur einer Minderheit bewusst.
Besonders perfide Formen nimmt der Betrug im Bereich der Geldanlagen an. Laut der ProPK- Vorsitzenden Stefanie Hinz ist Betrug rund um Online-Trading eine Straftat, die im Polizeialltag immer häufiger auftritt. Kriminelle nutzen KI dabei etwa für Deepfakes prominenter Persönlichkeiten, die in täuschend echten Videos [5] für vermeintlich lukrative Kryptowährungen werben.
Die Statistik untermauert die Gefahr: 15 Prozent der Befragten haben in Kryptowährungen investiert. Von diesen ist fast jeder Dritte auf ein betrügerisches Angebot hereingefallen. In den meisten Fällen wurden die Opfer durch gezielte Werbung im Internet auf die Scams aufmerksam.
Das Vertrauen in staatliche Schutzmechanismen ist derweil hoch. Eine breite Mehrheit der Bevölkerung wünscht sich ein konsequentes Eingreifen der Behörden. Ganz oben auf der Wunschliste stehen ein schnelles polizeiliches Handeln bei betrügerischen Webseiten sowie eine verpflichtende Kennzeichnungspflicht für alle mit KI erstellten oder veränderten Inhalte.
URL dieses Artikels:
https://www.heise.de/-11255536
Links in diesem Artikel:
[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Digitalbarometer/CyMon-ProPK-BSI_2026_Kurzbericht_Online-Betrug-KI.pdf?__blob=publicationFile&v=3
[2] https://www.heise.de/news/Schutzlos-im-Netz-So-riskant-ist-der-digitale-Alltag-von-Kindern-10544544.html
[3] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Technologien_sicher_gestalten/Kuenstliche-Intelligenz/KI-Bilderkennung/ki-bilderkennung_node.html
[4] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Wegweiser_Checklisten_Flyer/Brosch_A6_Kuenstliche_Intelligenz.pdf?__blob=publicationFile&v=18
[5] https://www.heise.de/news/EU-Studie-Forscher-sehen-durch-Deepfakes-die-Demokratie-gefaehrdet-6224455.html
[6] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[7] mailto:vbr@heise.de
Copyright © 2026 Heise Medien
(Bild: Basic-Fit)
Bei einem IT-Vorfall haben sich Unbekannte Zugriff auf das System von Basic-Fit verschafft und dabei persönliche Informationen abgegriffen.
Ein unerlaubter Zugriff auf die Daten der börsennotierten Fitnesskette Basic-Fit betrifft Mitglieder in mehreren Ländern, davon allein 200.000 aus den Niederlanden. Er wurde kurz nach seiner Entdeckung am heutigen 13. April vom Sicherheitsteam des Fitness-Unternehmens gestoppt und den zuständigen Behörden gemeldet.
Durch das Datenleck gelangten personenbezogene Daten wie E-Mail-Adresse, Name und Mitgliederinformationen in fremde Hände. Zu Passwörtern und Ausweisdokumenten hatten die Unbefugten laut dem Unternehmen keinen Zugang.
Basic-Fit informierte nach eigenen Angaben [1] die betroffenen Kunden per E-Mail und versichert, dass bisher kein Datenmissbrauch nachgewiesen werden kann. Die Fitnesskette rät ihren Mitgliedern jedoch, besonders achtsam bei Phishing-Versuchen zu sein. Sie hat zudem eine eigene FAQ-Seite [2] erstellt, in der sich die Kunden über das Datenleck informieren können.
Basic-Fit betreibt laut eigenen Angaben 2150 Fitnessstudios in zwölf europäischen Ländern. Sie zählt knapp sechs Millionen Mitglieder.
Sie können sich beispielsweise in einem Phishing-Angriff mit gefälschten E-Mails als Basic-Fit ausgeben und vermeintlich nicht bezahlte Mitgliedsbeiträge oder andere Informationen einfordern. Bei Phishing-Verdacht ist es wichtig, nicht darauf einzugehen und auf keine Links zu klicken.
Fitnessapps und -studios sind häufig von Datenlecks betroffen. So gab es eine massive Datenpanne beim Sportanbieter „Urban Sports Club“ [3], in der tausende sensible Dateien auf einem öffentlich zugänglichen Cloudspeicher lagen. Bei der Ernährungs-App „MyFitnessPal“ [4] brachten Hacker 150 Millionen Nutzerdaten an sich.
URL dieses Artikels:
https://www.heise.de/-11254982
Links in diesem Artikel:
[1] https://corporate.basic-fit.com/docs/Basic-Fit%20informs%20members%20of%20an%20unauthorised%20data%20access?q=3W97qQx2g4cDXrju5NrDeZ
[2] https://www.basic-fit.com/de-de/faq
[3] https://www.heise.de/news/Datenleck-bei-Urban-Sports-Club-Daten-Tausender-Mitglieder-waren-oeffentlich-9668240.html
[4] https://www.heise.de/news/Ernaehrungs-App-MyFitnessPal-150-Millionen-Nutzerdaten-abgegriffen-4009175.html
[5] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:mho@heise.de
Copyright © 2026 Heise Medien
Website, die Apple nachahmt: Nein, so schafft man auf dem Mac keinen Platz.
(Bild: Jamf)
Eine aktuell laufende Malware-Kampagne nutzt Apples Script Editor statt des Terminals, um den Datenklauer Atomic Stealer auf Macs einzuschleusen.
Sicherheitsforscher vom MDM-Spezialisten Jamf haben eine neue Variante der sogenannten ClickFix-Angriffstechnik entdeckt, bei der Nutzer dazu bewegt werden, Kommandos auf ihrem Mac auszuführen, die dann Malware installieren. Die neue Verteilmethode des bekannten Datenklauschädlings Atomic Stealer scheint darauf optimiert zu sein, einen neuen Schutz im macOS-Terminal [1] zu umgehen, den Apple mit macOS 26.4 eingeführt hatte. Dieser soll dafür sorgen, dass problematischer Code nicht mehr so leicht ausgeführt werden kann.
Wie Jamf Threat Labs in einer Analyse [2] schreibt, locken die Angreifer ihre Opfer auf eine gefälschte Apple-Webseite, die vorgibt, dabei zu helfen, Speicherplatz auf dem Mac freizugeben. Ein „Execute“-Button auf der Seite ruft dabei das applescript://-URL-Schema auf. Der Browser fordert daraufhin vom Nutzer die Erlaubnis, Script Editor zu öffnen – eine Aktion, die das Opfer womöglich arglos bestätigt.
Das eigentlich neue an der Methode liegt in der Nutzung des applescript://-URL-Schemas: Beim Aufruf startet Script Editor mit einem von der Website übergebenen, bösartigen AppleScript. Dieses Script führt nach der Ausführung durch den Nutzer eine verschleierte Befehlskette aus. Zunächst wird per curl-Kommando eine Payload von einem externen Server geladen, die nach Dekodierung anschließend an zsh übergeben wird. Eine zweite Stufe dekodiert per Base64 und gunzip weiteren Code, der schließlich die eigentliche Malware – ein Mach-O-Binary des Atomic Stealers – nach /tmp herunterlädt, erweiterte Attribute zum Ausführungsschutz entfernt und die Datei startbar macht.
Interessant dabei ist, dass die Installationskette dabei den Terminal-Paste-Schutz von macOS 26.4 umgeht. Apple hatte diese Schutzfunktion eingeführt, um Nutzer vor ClickFix-Angriffen zu warnen, wenn sie manipulierte Befehle ins Terminal einfügen, wobei das auch nicht immer funktioniert. Durch den Wechsel zu Script Editor wird dieser Mechanismus laut Jamf augenscheinlich ausgehebelt. Um die Malware aktiv zu schalten, muss der User allerdings noch den Abspielknopf (Play) in Script Editor klicken. Dass er das tun soll, wird auf der nachgeahmten Apple-Seite so mitgeteilt.
Atomic Stealer ist ein schon seit 2023 aktiver Infostealer, der unter anderem über Telegram an Kriminelle vermarktet wird. Die Malware stiehlt unter anderem Keychain-Passwörter, Browser-Daten wie Autofill-Einträge, Cookies und Kreditkartennummern sowie Krypto-Wallets. Auch Dateien vom Desktop und aus dem Dokumentenordner können exfiltriert werden.
Neu ist die Verwendung von Script Editor zur Malware-Verbreitung eigentlich nicht, doch die Verbreitung via applescript://-Links ist neu. Nutzer sollten das Aufrufen des Script Editors über eine Website keinesfalls bestätigen. Apple hat bislang noch nicht auf die neue Methode reagiert. Es dürfte relativ leicht sein, diese zu verhindern.
URL dieses Artikels:
https://www.heise.de/-11251412
Links in diesem Artikel:
[1] https://www.heise.de/news/Angriffe-uebers-Terminal-Apple-verhindert-Kommando-Ausfuehrung-11226507.html
[2] https://www.jamf.com/blog/clickfix-macos-script-editor-atomic-stealer/
[3] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[4] https://www.heise.de/mac-and-i
[5] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
(Bild: Artur Szczybylo / Shutterstock.com)
Ein Sicherheitsupdate schließt eine Lücke im API-Gateway VMware Tanzu Spring Cloud Gateway.
Aufgrund eines Fehlers werden bestimmte SSL-Konfigurationen im API-Gateway VMware Tanzu Spring Cloud Gateway nicht angewendet – Nutzer bekommen davon nichts mit. Ein Patch löst nun die Problematik.
In einer Warnmeldung erläutern die Entwickler [1], dass es bei der Konfiguration von SSL-Bundles mittels spring.ssl.bundle zu Fehlern kommen kann. Das führt dazu, dass Einstellungen ignoriert werden und stattdessen die Standard-SSL-Konfiguration genutzt wird.
Nehmen Admins an dieser Stelle individuelle, sicherheitsrelevante Änderungen vor, die dann nicht übernommen werden, entsteht hier ein Sicherheitsrisiko.
Die Entwickler geben an, die Schwachstelle (CVE-2026-22750 „hoch“) in Spring Cloud Gateway 4.2.1 (Enterprise Support Only) geschlossen zu haben. Bislang gibt es noch keine Hinweise auf Attacken.
URL dieses Artikels:
https://www.heise.de/-11254291
Links in diesem Artikel:
[1] https://spring.io/security/cve-2026-22750
[2] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:des@heise.de
Copyright © 2026 Heise Medien
Symbolfoto
(Bild: DC Studio/Shutterstock.com)
Ransomware bis Gewalt auf Bestellung: Der Staat reagiert auf die Umwandlung krimineller Gruppen in arbeitsteilige Ökonomien, die ihre Taten online koordinieren.
Die Zeiten, in denen organisierte Kriminalität (OK) als starr strukturierte Gruppierung agierte, gehört der Vergangenheit an. In ihrer Antwort auf eine Anfrage der AfD-Bundestagsfraktion zeichnet die Bundesregierung das Bild einer hochflexiblen, funktional organisierten kriminellen Ökonomie. Das Schlagwort lautet „Crime-as-a-Service“ (CaaS) [1]: Kriminelle Gruppen gehen dazu über, spezialisierte Dienste einzukaufen, um getrennte Teilprozesse ihrer Taten abzudecken.
Anstatt alle Kompetenzen im eigenen Haus zu bündeln, agieren moderne Täterstrukturen laut der Auskunft konspirativ, international vernetzt [2]. Sie nutzten modernste Technologien sowie Messenger-Dienste, um sich regelmäßig neue, profitable Handlungsfelder zu erschließen.
Im Bereich der Cyberkriminalität ist dieses Modell zum Standard geworden. Dem federführenden Innenministerium zufolge ist CaaS ein elementarer Bestandteil dieses Sektors. In der digitalen Underground Economy werde ein Großteil der für Cyberattacken benötigten Komponenten als Dienstleistung angeboten. Das senke Eintrittshürden: Auch technisch weniger versierte Akteure würden in die Lage versetzt, komplexe Angriffe durchzuführen.
Prominentes Beispiel ist „Ransomware-as-a-Service“ [3]. Dabei vermarkten spezialisierte Entwickler ihre Schadsoftware und stellen sie „Affiliates“ gegen Gebühr oder eine Beteiligung am erpressten Lösegeld zur Verfügung.
Ein Faktor für Planung, Koordination und Verschleierung dieser Aktivitäten ist der Einsatz digitaler Kommunikations- und Infrastruktursysteme. Die Exekutive betont, dass diese strukturellen Entwicklungen systematisch erfasst und analysiert werden müssten, um eine wirksame strategische Bekämpfung zu ermöglichen.
Die Auslagerung von Tatbeiträgen beschränkt sich nicht auf die digitale Welt. Die Regierung berichtet von einer Zunahme von „Violence-as-a-Service“. Dabei werden teils schwerste Auftragstaten wie Drohungen unter Verwendung von Explosivstoffen, physische Gewalt oder sogar Tötungsdelikte über digitale Plattformen koordiniert.
Erschreckend sei vor allem die Rekrutierung, heißt es: Insbesondere Minderjährige und junge Erwachsene würden für diese Aufgaben angeworben. Schweden gilt als stark betroffen und hat ein vierstufiges Rekrutierungsmodell identifiziert, das vom Auftraggeber über Vermittler bis zum ausführenden Täter reicht.
Die Hintermänner nutzen gezielte Strategien zur Risikominimierung, um hochrangige Mitglieder der Netzwerke zu schützen und das Entdeckungsrisiko zu verringern. Zudem dient die Ansprache Jugendlicher der Kostenminimierung, da diese oft geringere Entlohnungen akzeptieren oder leichter manipuliert und ausgebeutet werden können. Zugleich ermöglichen die Kontaktnetzwerke dieser jungen Täter kriminellen Gruppen neue Zugänge zu Abnehmern etwa von Drogen und fördern die territoriale Verankerung. Die Trennung von Planung, Steuerung und operativer Durchführung erschwert die Zurechenbarkeit von Verantwortung.
Daneben umfasst das Portfolio krimineller Dienstleister Angebote in den Bereichen Geldwäsche, Fälschungskriminalität oder die Bereitstellung technischer Infrastruktur wie verschlüsselter Messenger. Zwar waschen laut einer Europol-Studie noch immer 96 Prozent der untersuchten Netzwerke ihre Erträge selbst. Doch der Zugriff auf spezialisierte externe Dienstleister wird beliebter. Diese Profis nehmen inkriminierte Vermögenswerte an und zahlen dafür „sauberes“ Geld an ihre Kunden aus.
Ferner verwenden OK-Mitglieder verstärkt gefälschte oder gestohlene Identitätsdokumente, um unentdeckt zu bleiben und ihre Aktivitäten über lange Zeiträume fortzusetzen. Auch dafür werden teils externe Angebote genutzt, sofern die Gruppen diese Leistungen nicht selbst erbringen können. Das korrespondiert mit einem steigenden Gewaltpotenzial, was Konflikte zwischen rivalisierenden Gruppen vermehrt in den öffentlichen Raum trägt. Das Innenressort sieht in dieser schleichenden Unterwanderung von Staat und Gesellschaft durch OK-Strukturen ein erhebliches Gefahrenpotenzial.
Die Antwort der Sicherheitsbehörden besteht aus mehr internationaler Zusammenarbeit. Ziel bleibt die Zerschlagung krimineller Strukturen. Dabei soll sichergestellt werden, dass Gruppierungen in finanzieller Hinsicht nachhaltig getroffen werden. Der Missbrauch staatlicher und gewerblicher Strukturen wird der Strategie nach durch enge Kooperation verschiedener Institutionen verhindert. Die Regierung unterstreicht, dass eine Kombination repressiver und präventiver Ansätze nötig sei.
Auf europäischer Ebene koordiniert den Kampf die European Multidisciplinary Platform Against Criminal Threats (Empact) [4]. Im laufenden Zyklus bis 2029 liegt ein Schwerpunkt auf der Identifizierung und Zerschlagung der bedrohlichsten kriminellen Netzwerke sowie von Personen in Schlüsselfunktionen. Deutschland integriert Erkenntnisse aus dieser Einschätzung in die strategische Bewertung der OK, um dem Phänomen der Gewaltdelegation und neuen digitalen Geschäftsmodellen begegnen zu können. Empact soll so helfen, einschlägige Netzwerke dauerhaft zu brechen.
URL dieses Artikels:
https://www.heise.de/-11253491
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Missing-Link-Digitalisierung-befeuert-milliardenschwere-Untergrundwirtschaft-9306597.html
[2] https://dserver.bundestag.de/btd/21/051/2105166.pdf
[3] https://www.heise.de/news/DarkSide-Server-der-Pipeline-Erpresser-sind-offline-Geld-ist-angeblich-weg-6046429.html
[4] https://www.heise.de/news/Polizeiaktion-gegen-Safe-Inet-Lieblings-VPN-von-Cyberkriminellen-abgeschaltet-4998278.html
[5] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[6] mailto:nie@heise.de
Copyright © 2026 Heise Medien
(Bild: Rokas Tenys/Shutterstock.com)
Die bekannte Cybercrime-Gruppe Shiny Hunters erpresst Rockstar Games auf ihrer Webseite. Rockstar bestätigt einen Cybervorfall.
Zum wiederholten Mal ist Rockstar Opfer eines Cyberangriffs geworden: Der Entwickler des von vielen sehnsüchtig erwarteten Spiels GTA6 bestätigte, dass es einen Angriff auf seine Systeme gab und Daten entwendet wurden. Die bekannte Cybercrime-Gruppe ShinyHunters richtete derweil auf ihrer Webseite ein Erpresserschreiben an Rockstar.
Rockstar bestätigte Kotaku [1], „dass im Zusammenhang mit einer Datenpanne bei einem Drittanbieter auf eine begrenzte Menge an unwesentlichen Unternehmensdaten zugegriffen wurde.“ Der Vorfall habe keine Auswirkungen auf das Unternehmen oder seine Spieler.
Die Cybergang ShinyHunters erklärte auf ihrer Webseite, sie habe Rockstars Snowflake-Instanzen mithilfe des Drittanbieter-Tools AnoDot kompromittiert. An Rockstar richtete sie die Forderung, bis zum 14. April in Kontakt zu treten und Geld zu zahlen, damit die erbeuteten Daten nicht publik werden. Wieviel die Cyberkriminellen fordern oder welche Daten sie besitzen, sagten sie in dem öffentlichen Statement nicht.
Mit AnoDot können Unternehmen unter anderem ihre Cloud-Kosten überwachen, auch Rockstar tut das. Das KI-Tool soll anhand zahlreicher gesammelter Daten ungewöhnliche Veränderungen erkennen, welche sich negativ auf die Einnahmen des Unternehmens auswirken könnten. Und der Vorfall bei Rockstar Games ist möglicherweise die Folge eines Cyberangriffs auf AnoDot, ebenfalls ausgeführt von ShinyHunters.
BleepingComputer berichtete [2] diese Woche über Probleme, die zunächst bei diversen Cloud- und SaaS-Anbietern auftraten, in deren Software sich das Tool einbinden lässt – etwa auch bei Snowflake. Das Unternehmen konnte das Problem schnell auf AnoDot zurückführen, da sich Angreifer mit AnoDot-Zugangsdaten in die Snowflake-Systeme einloggten.
BleepingComputer erfuhr aus mehreren Quellen, unter anderem von Snowflake, dass es bei AnoDot einen Sicherheitsvorfall gegeben hat. AnoDot selbst informiert auf einer Supportseite [3] darüber, dass derzeit weltweit Probleme beim Abrufen von Datenproben auftreten. AnoDot nahm seine Datenkollektoren für die Dienste Snowflake, S3 und Kinesis demnach bereits am 4. April offline. Die Datenkollektoren sind auch weiterhin offline (Stand: Sonntag, 12. April, 14:55 Uhr).
Derweil läuft die Frist von ShinyHunters für Rockstar Games weiter. Die Bande ist berüchtigt und hat bereits zahlreiche Cyberangriffe durchgeführt, unter anderem stahl sie dabei Millionen von Nutzerdaten beim Konzertkartenshop Ticketmaster [4] und dem Auto-Verkaufsdienstleister Carguru [5]. Dass ShinyHunters jetzt an die Öffentlichkeit geht, könnte dafür sprechen, dass sie durchaus etwas gegen Rockstar in der Hand haben.
Es ist nicht das erste Mal, dass Cyberkriminelle bei Rockstar Daten entwenden. Bei einem anderen Cyberangriff 2022 erbeutete die Cybercrime-Gruppe Lapsus$ Gameplay-Videos von GTA6 und stellte diese ins Netz [6]. Später wurde bekannt, dass der Angriff von einem Teenager ausgeführt wurde, der sich von einem Hotelzimmer aus mit einem Smartphone, einem Amazon Fire TV Stick [7] und einem Fernseher Zugang zu den Cloud-Diensten verschaffte. Für den Angriff auf Rockstar Games wurde er auch angeklagt und verurteilt [8], zu dem Zeitpunkt war er 18 Jahre alt.
URL dieses Artikels:
https://www.heise.de/-11253467
Links in diesem Artikel:
[1] https://kotaku.com/rockstar-games-reportedly-hacked-massive-data-leak-ransom-gta-6-shinyhunters-2000686858
[2] https://www.bleepingcomputer.com/news/security/snowflake-customers-hit-in-data-theft-attacks-after-saas-integrator-breach/
[3] https://status.anodot.com/
[4] https://www.heise.de/news/Bis-zu-560-Millionen-Nutzer-betroffen-Moegliches-Datenleck-bei-TicketMaster-9739661.html
[5] https://www.heise.de/news/CarGurus-ShinyHunters-kopieren-Datensaetze-von-12-5-Millionen-Nutzern-11185847.html
[6] https://www.heise.de/news/GTA-6-Take-Two-geht-gegen-geleakte-Videos-vor-7268497.html
[7] https://www.heise.de/news/GTA-6-Videos-veroeffentlicht-Mitglieder-der-Hackergruppe-Lapsus-vor-Gericht-9286878.html
[8] https://www.heise.de/news/Lapsus-Taeter-mit-Begier-nach-Cybercrime-Psychiatrie-statt-Haft-9581031.html
[9] mailto:nen@heise.de
Copyright © 2026 Heise Medien
(Bild: Sashkin/Shutterstock.com)
Angreifer nutzen eine kritische Schwachstelle in Adobe Acrobat Reader aus. Nun ist ein Sicherheitspatch für macOS und Windows erschienen.
Um aktuell laufende Angriffe auf Adobe Acrobat Reader zu verhindern, müssen Nutzer der PDF-Anwendung die jüngst veröffentlichten reparierten Versionen installieren. Das alleinige Öffnen von manipulierten PDF-Dokumenten reicht aus, damit Attacken erfolgreich sind und Schadcode auf Computer gelangt.
Die Sicherheitslücke ist erst seit Kurzem bekannt [1], dem Entdecker der Schwachstelle zufolge nutzen Angreifer die Sicherheitslücke aber bereits seit vergangenem Dezember aus. In welchem Umfang die Angriffe ablaufen und gegen wen sie sich richten, ist bislang unklar. Nun hat Adobe Sicherheitsupdates veröffentlicht. Aus einer Warnmeldung geht hervor [2], dass die Lücke (CVE-2026-34621) mit dem Bedrohungsgrad „kritisch“ eingestuft ist.
Der Softwareentwickler versichert, die macOS- und Windows-Ausgaben Acrobat DC Continuous 26.001.21411, Acrobat Reader DC Continuous 26.001.21411 und Acrobat 2024 Classic 2024 Windows: 24.001.30362 | Mac: 24.001.30360 gegen die Angriffe gerüstet zu haben. In den Standardeinstellungen installieren sich die Updates Adobe zufolge automatisch.
URL dieses Artikels:
https://www.heise.de/-11253367
Links in diesem Artikel:
[1] https://www.heise.de/news/Warten-auf-Sicherheitsupdate-Angreifer-attackieren-Adobe-Reader-11251640.html
[2] https://helpx.adobe.com/security/products/acrobat/apsb26-43.html
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:des@heise.de
Copyright © 2026 Heise Medien
FreshRSS