(Bild: Erzeugt mit Midjourney durch heise medienwerk)
Die Bewertung von vier Haupttreibern ermöglicht eine solide Kalkulation des Aufwands für die Überführung von Softwarealtlasten in die Cloud.
Viele ältere Anwendungen profitieren deutlich von einer Modernisierung zu einer Cloud‑Native‑Architektur. Dieser Ansatz löst bestehende Probleme durch neue Technologien, bietet Entwicklerinnen und Entwicklern eine moderne Arbeitsumgebung und eröffnet neue Absatzchancen als Software‑as‑a‑Service. Verschiedenen Studien zufolge ist Modernisierung bei einer Mehrheit der Unternehmen unvermeidlich, weil deren Altanwendungen geschäftskritisch sind (siehe Lünendonk: Unternehmen ringen mit der IT-Modernisierung [1] und Thinkwise: Legacy-Modernisierung – Warnsignale ernst nehmen [2]). Daher wächst das Interesse, bestehende Kernsysteme zu modernisieren und fit für die Cloud [3] zu machen.
Vorbereitung: Konzeptionsphase
Einer Modernisierung geht meist ein Konzept voraus. Dieses analysiert alte und neue Anforderungen und beschreibt, wie sie umgesetzt werden sollen. Es benennt betriebliche Anpassungen und konzipiert neue Teamstrukturen. Auf dieser Basis erstellt das Unternehmen Schulungspläne für die beteiligten Mitarbeitenden. Alle Änderungen fließen in eine Roadmap ein, die sowohl verpflichtende als auch optionale Schritte mit ihren jeweiligen Kosten abbildet.
Frühe Aufwandsschätzung
Oft ist schon vor dem Modernisierungskonzept eine erste Aufwandsschätzung nötig, etwa für die Budgetplanung. Diese Schätzung ist schwierig, weil Anwendungen komplex sind und sich konkrete Änderungen erst nach einer Analyse bestimmen lassen. Manchmal stehen mehrere Systeme zur Auswahl. Dann müssen Architektinnen und Architekten den geeignetsten Kandidaten identifizieren und eine grobe Kostenschätzung für die kommenden Jahre entwickeln. Unternehmen erwarten in dieser Phase häufig eine schnelle Einschätzung mit nachvollziehbaren Zahlen – quasi ein fundiertes Bauchgefühl.
Zur Veranschaulichung dient ein reales Beispielprojekt. Das Produkt läuft seit acht Jahren und umfasst ein Team aus einem Frontend-Entwickler, einem Backend-Entwickler und einem Architekten, die sich um die Weiterentwicklung kümmern – alle in Vollzeit. Pro Jahr entstehen rund 600 Personentage an Aufwand; über acht Jahre summiert sich das auf 4800 Personentage. Das Team war zu Beginn möglicherweise größer, dieser Effekt ist über die lange Laufzeit jedoch vernachlässigbar. Der Projektleiter bzw. Product Owner ist in dieser Betrachtung nicht enthalten, da der Fokus für die Berechnung auf den Entwicklungsaufwänden liegen soll.
Aufwandsschätzung Reifegrad 1 – Faustformel
Erfahrungen der vergangenen Jahre zeigen im Allgemeinen, dass für eine minimale Modernisierung und Cloud‑Readiness etwa 10 bis 30 Prozent der ursprünglichen Entwicklungskosten anfallen. Dieser Aufwand umfasst Änderungen an Konfigurationen, den Austausch einzelner Komponenten durch höherwertige Dienste sowie die Anpassung von Querschnittsthemen. Er gilt nicht für reine Lift‑and‑Shift‑Szenarien oder vollständige Neuimplementierungen, da jene deutlich weniger beziehungsweise diese erheblich mehr Aufwand erfordern.
Die Berechnungen setzen voraus, dass das bestehende Team die Modernisierung eigenständig durchführt – ohne externe Unterstützung und zusätzlichen Schulungsbedarf. Für das Beispielprodukt ergibt sich ein Aufwand zwischen 480 und 1440 Personentagen. Diese Spanne ist groß, insbesondere bei älteren Produkten. Je länger ein System läuft, desto größer ist der Anteil der Wartungsphase, die keine neuen Funktionen schafft und dadurch die ursprünglichen Entwicklungsaufwände verwässert. Zudem bleibt unklar, welche Softwareteile konkret angepasst oder modernisiert werden müssen. Der nächste Abschnitt zeigt, wie sich diese Werte genauer herleiten lassen, und nennt die wichtigsten Kostentreiber.
Es gliedert den Lebenszyklus in folgende Phasen (siehe Abbildung unten):
Initial Development
Evolution
Servicing
Phase‑Out
Close‑Down
Das Modell unterscheidet zwischen aktiver (Evolution) und passiver Wartung (Servicing). Aktive Wartung gilt als Entwicklungsaufwand, da sie Erweiterungen durch neue Features, regulatorische Anforderungen oder Mandantenanpassungen umfasst. Passive Wartung betrifft ausschließlich erhaltende Maßnahmen wie Bugfixes oder Bibliotheksupdates und fließt nicht in die Modernisierungskosten ein. Weitergehende Informationen zu Modellen, die unter anderem auch die mit der Zeit steigenden Wartungskosten berücksichtigen, finden sich in: How much does software development cost? In-depth guide for 2025 [9]; Lebenszyklus-Kosten von IT Produkten [10] und IT Project Outsourcing In 2025 – A Comprehensive Guide [11].
Aus der Erfahrung haben sich folgende, in der Abbildung hervorgehobenen Werte bewährt:
Initial Development ≈ 15 Prozent
Evolution ≈ 25 Prozent
Verteilung von Aufwänden auf die Phasen des Software-Lebenszyklus
Die Phasen Phase‑Out, Close‑Down und Servicing bleiben unberücksichtigt, da sie keine relevante Entwicklungstätigkeit enthalten. Der Entwicklungsanteil der Software beträgt (inklusive etwa 5 Prozent für die zu Beginn häufig erhöhte Lernkurve und eventuell benötigte Proof-of-Concepts) somit 40 Prozent von 4800 Personentagen, also 1920 Personentage. Davon entfallen 10 bis 30 Prozent auf die Modernisierung, also 192 bis 576 Personentage. Diese Werte sind realistisch, doch bleibt die Bandbreite groß. Um sie zu verfeinern, müssen die größten Aufwandstreiber identifiziert werden.
Je gründlicher die Analyse einer Modernisierung, desto genauer wird die Schätzung. Für eine solide Näherung genügt es, die zentralen Aufwandstreiber zu erkennen und zu prüfen, ob sie im Projekt relevant sind. Einige Basisbausteine müssen bei jeder Modernisierung angepasst werden, etwa CI/CD‑Pipelines oder Logging‑Mechanismen. Solche Arbeiten lassen sich pauschal mit rund 5 Prozent der Entwicklungsaufwände veranschlagen.
Daneben existieren optionale Basisbausteine, die den Aufwand erheblich steigern können. Diese entscheidenden Faktoren werden sinnbildlich als apokalyptische Reiter bezeichnet. Jeder dieser vier Treiber kann mit etwa 5 Prozent der Entwickleraufwände bewertet werden:
Architektur der Geschäftslogik
Häufig erfolgt eine Umstellung auf Microservices oder Self‑Contained Systems. Dadurch entstehen neue System‑Schnitte, Kommunikationswege und Skalierungsmechanismen, während die Business‑Logik selbst unverändert bleibt.
Architektur des Speicherkonzepts
Ein Wechsel von relationalen Datenbanken zu Dokumenten‑ oder Graphenmodellen oder die Einführung von Event Sourcing/CQRS erfordert umfassende Anpassungen an Persistenz, Migration und Nachrichtenverarbeitung.
Mandantenkonzept
SaaS‑Lösungen verlangen Multi‑Tenant‑Fähigkeit. Altanwendungen nutzen häufig getrennte Installationen je Mandant und sind nicht auf zentrale Datenhaltung oder gemeinsame Berechtigungsmodelle ausgelegt.
Authentifizierung und Autorisierung (AuthN/AuthZ)
Viele Systeme verwenden noch eine eigene Benutzerverwaltung oder veraltete Identity‑Provider. Die Migration zu Cloud‑Providern (z. B. Azure Entra ID) sowie die Einführung verschlüsselter Kommunikation und zentraler Token‑Validierung erhöhen den Aufwand deutlich.
Selten umfasst die Modernisierung zusätzlich ein Redesign des GUI‑Konzepts oder den Wechsel zu einem neuen Frontend‑Framework. Auch dafür kann ein pauschaler Mehraufwand von 5 Prozent angesetzt werden. Darüber hinaus entstehen gelegentlich parallele Projekte für Infrastruktur und Governance (Landing Zones), um die modernisierte Lösung sicher betreiben zu können.
Im Beispielprojekt greifen drei dieser Reiter: die Umstellung auf Microservices (+ 5 %), die Einführung eines Mandantenkonzepts (+ 5 %) und die Modernisierung des Security‑Konzepts (+ 5 %). Zusammen mit der Basisanpassung ergibt sich ein Gesamtaufwand von 20 Prozent der 1920 Entwicklungs‑Personentage, also etwa 384 Personentage.
Fazit: Eine gute Schätzung ersetzt kein Konzept – aber sie zeigt, wo sich Aufwand wirklich lohnt
Die Kombination aus Entwicklungsaufwandsanalyse und Bewertung einzelner Änderungsbausteine liefert eine ausreichend präzise Schätzung. Da genaue Prozentwerte schwer festzulegen sind, empfiehlt sich eine Unterteilung in Fünf‑Prozent‑Schritte, sofern keine detaillierteren Informationen vorliegen. Eine Schätzung bleibt jedoch stets eine Annäherung.
Vor jeder Modernisierung ist deshalb ein detailliertes Konzept unverzichtbar. Es identifiziert obligatorische und optionale Änderungen, bewertet deren Aufwand und legt einen konkreten Umsetzungsplan fest. Fehlt dieses Konzept, scheitert die Modernisierung oft schon vor dem Projektstart.
URL dieses Artikels: https://www.heise.de/-11154634
Branchenverbände sparen nicht mit Kritik an dem Entwurf des EU Cybersecurity Acts. Sie warnen vor Konsequenzen für die Digitalisierung und hohen Kosten.
Europäische Netzbetreiber kritisieren die Pläne der EU-Kommission, bestimmte Hersteller vollständig aus den Netzen herauszuhalten. Der Entwurf des zweiten Cybersecurity Acts (CSA) [1] sieht vor, dass risikoreiche Zulieferer auch vollständig vom Markt und aus den Netzen verbannt werden sollten. Namen nennt die Kommission nicht, doch richtet sich der Vorstoß offensichtlich gegen chinesische Anbieter wie Huawei oder ZTE.
Damit würde die EU die Lage für europäische Netzbetreiber deutlich verschärfen. Und nicht nur für die: Die Mobilfunker sind bei weitem nicht die einzigen, die Produkte dieser chinesischen Hersteller nutzen. Auch in anderen kritischen Bereichen wie bei der Bahn, im Energiesektor oder in städtischen Netzen sind Produkte dieser Firmen im Einsatz. Darüber hinaus ist Huawei Weltmarktführer bei Wechselrichtern für Solaranlagen.
Deutscher Kompromiss
Für die deutschen Mobilfunknetze gibt es einen Kompromiss zwischen Politik und Wirtschaft [2]: Die Chinesen fliegen aus den Kernnetzen raus und werden auf der Funkseite in absehbarer Zeit dort ersetzt, wo es kritisch werden kann – etwa bei der Software für das Netzwerkmanagement. Antennen und andere Hardware von Huawei & Co. bleiben im Einsatz. Geht es nach den Vorstellungen der EU-Kommission, wäre damit Schluss: Sobald die EU einen Ausrüster wie Huawei als Hochrisiko einstuft, müssten bereits aktive Komponenten zurückgebaut werden.
Noch ist das EU-Gesetz ein Entwurf, doch die betroffenen Branchen bringen sich in Brüssel bereits in Stellung. „Wir warnen vor Maßnahmen, die genau den Sektor erheblich schwächen würden, den sie eigentlich schützen sollen”, heißt es in einer Stellungnahme des Verbands Connect Europe [3], in dem vor allem die ehemals staatlichen Netzbetreiber wie Telekom, Orange und Telefónica vertreten sind.
Pauschale Eingriffe in die Lieferkette würden sich „erheblich und nachteilig auf den Netzausbau, die Betriebskontinuität und die Investitionsplanung auswirken“, mahnt der Verband und fordert vorausschauend schon einmal „mildernde Maßnahmen wie Kostenerstattungsmechanismen“. Grundsätzlich müssten Maßnahmen „risikobasiert, verhältnismäßig und praktikabel sein“.
„Unnötig und unverhältnismäßig“
Auch der Dachverband der Mobilfunkbranche meldet sich scharf zu Wort und wehrt sich gegen eine pauschale Regulierung auf EU-Ebene. „Nicht alle Ausrüstungskomponenten sind gleichermaßen sensibel, sodass pauschale Ansätze unnötig und unverhältnismäßig sind”, warnt die GSMA [4] und betont, für Fragen der nationalen Sicherheit müssten die Mitgliedstaaten zuständig bleiben.
Zwar hätten Sicherheit und Resilienz oberste Priorität, doch könnte der Plan der EU-Kommission die für den weiteren Netzausbau zur Verfügung stehenden Ressourcen verknappen, warnt die GSMA. Gesetzgeberische Maßnahmen müssten „zielgerichtet und risikobasiert“ sein sowie den betroffenen Unternehmen „langfristige Vorhersehbarkeit“ bieten. Dem EU-Vorschlag mangele es an Verhältnismäßigkeit und er berge die Gefahr erheblicher Störungen und Kosten.
Auch Huawei selbst kritisiert den EU-Plan als undifferenziert. „Ein Gesetzesvorschlag, der Nicht-EU-Lieferanten aufgrund ihres Herkunftslandes und nicht aufgrund von Fakten und technischen Standards einschränkt oder ausschließt, verstößt gegen die grundlegenden Rechtsprinzipien der EU in Bezug auf Fairness, Nichtdiskriminierung und Verhältnismäßigkeit sowie gegen ihre Verpflichtungen gegenüber der Welthandelsorganisation WTO“, sagte ein Sprecher gegenüber der Nachrichtenagentur Reuters [5].
URL dieses Artikels: https://www.heise.de/-11160544
Links in diesem Artikel: [1] https://www.heise.de/news/Digitale-Souveraenitaet-EU-blaest-zum-Halali-auf-Hochrisiko-Anbieter-wie-Huawei-11148111.html [2] https://www.heise.de/news/5G-Netze-Bund-und-Netzbetreiber-einigen-sich-auf-Ausschluss-von-Huawei-9798672.html [3] https://connecteurope.org/news/connect-europe-statement-cybersecurity-act [4] https://www.gsma.com/about-us/regions/europe/news/gsma-statement-on-cybersecurity-act-proposals-on-behalf-of-european-mobile-operators/ [5] https://www.reuters.com/business/media-telecom/eu-phase-out-high-risk-tech-targets-huawei-chinese-companies-2026-01-20/ [6] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner [7] mailto:vbr@heise.de
Drei Sicherheitslücken bedrohen verschiedene Druckermodelle von Lexmark – eine wird als kritisch eingestuft.
Über drei Schwachstellen kann Schadcode auf bestimmte Lexmark-Drucker schlüpfen und diese kompromittieren. Nun haben die Entwickler die Sicherheitsprobleme mit Updates gelöst.
Lexmark hat zu den Sicherheitslücken (CVE-2025-65083 [1] „kritisch“, CVE-2025-65079 [2] „mittel“, CVE-2025-65081 [3] „mittel“) jeweils Warnmeldungen veröffentlicht. Die Auflistung der konkret bedrohten Modelle sprengt den Rahmen dieser Meldung. Darunter fallen etwa Laserdrucker wie MX432 und C4342. Die vollständige Liste finden Admins in den Warnmeldungen.
In allen Fällen können Angreifer aus der Ferne Schadcode ausführen. Ansatzpunkte sind das Embedded Solutions Framework und der Postscript-Interpreter. Genauere Informationen zum Ablauf möglicher Attacken sind derzeit nicht verfügbar. Bislang gibt es seitens Lexmark keine Hinweise auf laufende Attacken.
Um möglichen Angriffen vorzubeugen, müssen Admins die in den oben verlinkten Warnmeldungen aufgelisteten Sicherheitspatches installieren.
URL dieses Artikels: https://www.heise.de/-11159713
Links in diesem Artikel: [1] https://www.lexmark.com/content/dam/support/collateral/security-alerts/CVE-2025-65083.pdf [2] https://www.lexmark.com/content/dam/support/collateral/security-alerts/CVE-2025-65079.pdf [3] https://www.lexmark.com/content/dam/support/collateral/security-alerts/CVE-2025-65081.pdf [4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp [5] mailto:des@heise.de
Die quelloffene Kollaborationsplattform La Suite Docs ist in Version 4.5.0 erschienen. Sie bringt unter anderem eine bessere Importfunktion für Word.
Die Entwickler von La Suite Docs haben Version 4.5.0 ihrer Open-Source-Kollaborationsplattform veröffentlicht. Das Update erweitert die Import-Optionen, integriert neue Dienste und behebt eine Sicherheitslücke in einer verwendeten Bibliothek.
Zu den Hauptneuerungen gehört eine vereinfachte Import-Funktion für DOCX- und Markdown-Dateien. Nutzer können künftig Dokumente aus Microsoft Word und anderen Quellen deutlich einfacher in die Plattform übertragen. Hinzu kommen eine konfigurierbare Waffle-Integration im Frontend sowie eine Silent-Login-Funktion, die Authentifizierung ohne explizite Nutzerinteraktion ermöglicht.
Die Entwickler haben zudem die Barrierefreiheit verbessert: Der Emoji-Picker erhält bessere Fokusverwaltung, und die Öffnung von Unterdokumenten wurde überarbeitet. E-Mail-Templates lassen sich nun mit einem neuen Feld für Button-Labels flexibler gestalten. Eine neue Umgebungsvariable DJANGO_EMAIL_URL_APP erweitert die Konfigurationsmöglichkeiten. Details hierzu finden sich in den Release Notes auf GitHub [1].
Sicherheitslücke geschlossen
Ein wichtiger Bestandteil des Updates ist die Behebung einer Sicherheitslücke in der Bibliothek jaraco.context, die durch Trivy-Scans identifiziert wurde. Details zur Lücke und etwa ihren Schweregrad nennen die Entwickler im Changelog nicht.
Zu den weiteren behobenen Fehlern zählen Export-Probleme mit NaN-Spalten, fehlerhafte Favoritenanzeige für untergeordnete Dokumente und Probleme beim Schließen des Emoji-Pickers in der Baumansicht. Auch die End-to-End-Tests für verschiedene Browser funktionieren nun wieder zuverlässig.
Europäisches Gemeinschaftsprojekt
La Suite Docs entsteht in Zusammenarbeit der französischen Interministeriellen Digitaldirektion (DINUM) und des deutschen Zentrums für Digitale Souveränität (ZenDiS). Die Plattform versteht sich als europäische Alternative zu proprietären Diensten wie Notion oder Google Docs und legt besonderen Wert auf Datenschutz und den Eigenbetrieb. Die Software steht unter der freien MIT-Lizenz, wobei einige erweiterte Funktionen wie der PDF-Export auf GPL-lizenzierte Komponenten zurückgreifen.
Zu La Suite gehört ebenfalls Visio [2]. Mit der Videokonferenzsoftware will Frankreich in den Behörden aktuell Microsoft Teams und Zoom ablösen.
URL dieses Artikels: https://www.heise.de/-11159781
Links in diesem Artikel: [1] https://github.com/suitenumerique/docs/releases/tag/v4.5.0 [2] https://www.heise.de/news/Frankreich-ersetzt-MS-Teams-und-Zoom-durch-eigene-Videokonferenzsoftware-11155120.html [3] https://www.heise.de/ix [4] mailto:fo@heise.de
Nach knapp 5 Jahren erhalten Apples Bluetooth-Tracker ein Update. Die zweite Generation tönt lauter, bringt Änderungen bei den Funkverbindungen. Was taugt sie?
Es sieht aus wie ein AirTag und ist auch ein AirTag – es handelt sich aber um die zweite Generation (ab 31,90 €) [1] (ab 31,90 €) [1]: Form und Abmessungen von Apples Bluetooth-Tracker haben sich nicht verändert, lediglich das Gewicht nahm um ein knappes Gramm zu.
Der kaubonbondicke AirTag hat den Durchmesser eines Zwei-Euro-Stücks, ein weißes Kunststoffgehäuse sowie einen Deckel aus poliertem Edelstahl.
Dass es sich um die neue Generation handelt, erkennt man nur an der Gravur in Großbuchstaben sowie dem prominenten CE-Zeichen auf der Rückseite. Der AirTag ist weiterhin gemäß IP67-Zertifizierung gegen Staub und kurzzeitiges Untertauchen geschützt.
URL dieses Artikels: https://www.heise.de/-11160732
Links in diesem Artikel: [1] https://heise.de/preisvergleich/apple-airtag-2026-weiss-silber-mfe94zm-a-a3708415.html?ccpid=hocid-mac-and-i&cs_id=1206858352
Die App-Sammlung von Setapp soll künftig um Einzel-Abos erweitert werden. Das ist mittlerweile dazu bekannt.
Für Fans von Setapp [1] kam die Nachricht überraschend: Künftig will der Dienst des ukrainischen Softwareanbieters MacPaw, der Apps für macOS und iOS gegen Zahlung einer Flatrate anbietet, auch Einzelabos offerieren [2]. Das heißt: Statt der aktuell knapp 12 US-Dollar im Monat fielen dann unterschiedlich hohe Kosten an, sollte ein Entwickler sich gegen das All-you-can-eat-Abo entscheiden. Setapp begibt sich damit ins Terrain anderer Anbieter wie Apple selbst [3].
Interessanterweise hatte sich MacPaw zuletzt dazu entschieden, seinen alternativen App-Laden für iOS in der EU wieder dichtzumachen [4]. Die Tatsache, dass Setapp künftig mehr sein will als ein Flatrate-Anbieter, wurde durch eine Änderung seiner Lizenzbedingungen [5], die im Februar in Kraft treten wird, bekannt. Das neue Verkaufsformat nennt sich „Setapp Single App“. MacPaw hat gegenüber Mac & i nun mitgeteilt, was sich dahinter konkret verbirgt.
Nur für den Desktop
Demnach wird es die Einzelabos zumindest derzeit nur auf dem Desktop – also über die Mac-Anwendung von Setapp – geben. Das passt zur Schließung des iOS-Stores. Es handele sich um ein „Update der bestehenden Abonnementmodelle“, so MacPaw. Man erhofft sich eine „verbesserte Erfahrung“ für Nutzer und Entwickler – wobei zumindest Erstere mit dem kostengünstigen Flatratemodell, für das Setapp bislang bekannt war, sicher in den meisten Fällen zufriedener sein dürften.
Developern verspricht MacPaw, dass die Einzelabos keine Zusatzkosten bedeuten. Genaueres will die Firma allerdings erst im Frühjahr verraten. Auf die Frage, ob die Veränderung des Geschäftsmodells zu negativen Reaktionen der Nutzerschaft führen könnten, hieß es nur: „Diese neuen Funktionen bieten Nutzern vielfältige Möglichkeiten, auf ihre bevorzugten Tools auf Setapp zuzugreifen.“
Zusätzliches Verkaufsmodell
Immerhin: MacPaw erwartet nicht, dass Apps von der Flatrate zu Einzelabos wechseln, was Nutzer wohl am meisten stören würde. „Dies sind zusätzliche Modelle, die unser aktuelles Angebot ergänzen und nicht ersetzen sollen.“
Komplett ausgeschlossen scheint das jedoch nicht zu sein. Dass ein Wechsel von Flat zu Single überhaupt nicht möglich ist, wollte MacPaw nicht mitteilen und verwies auf die öffentliche Ankündigung des neuen Modells im Frühjahr.
URL dieses Artikels: https://www.heise.de/-11154968
Links in diesem Artikel: [1] https://www.heise.de/hintergrund/Faltrate-fuer-Apps-Was-Setapp-leistet-und-fuer-wen-es-sich-lohnt-6165525.html [2] https://www.heise.de/news/Setapp-bereitet-Einzel-App-Abos-vor-11148151.html [3] https://www.heise.de/news/Apple-Creator-Studio-Neues-Abo-fuer-Final-Cut-Pro-Logic-Pro-und-mehr-11139794.html [4] https://www.heise.de/news/iPhone-nur-auf-dem-Papier-offen-Erster-App-Marktplatz-in-EU-schliesst-11141103.html [5] https://setapp.com/terms-of-use [6] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html [7] https://www.heise.de/mac-and-i [8] mailto:bsc@heise.de
Apple ist in der EU und weiteren Regionen gezwungen, das iPhone zunehmend zu öffnen. Wäre es nicht besser, wenn iOS gleich die Freiheiten von macOS bekäme?
Wolfgang Kreutz wünscht sich ein iPhone, das Apple nicht künstlich einschränkt.
Als Erstes in der EU, nun Ähnliches in Japan: [4] Regierungen drängen Apple dazu, iOS an einigen Stellen zu öffnen. Statt jedoch weltweit einheitlich vorzugehen, frickelt der Konzern an verschiedenen Varianten. Dabei machen die Öffnungen das System attraktiver: Ich kann jetzt hierzulande Standard-Apps für Telefonate, Messaging und Navigation auswählen, mit Banking-Apps kontaktlos per NFC bezahlen oder künftig Bluetooth-Headsets so einfach wie AirPods koppeln.
Dass mehr Freiheiten automatisch für Sicherheitsprobleme sorgen, ist ein Märchen: Seit Einführung der neuen Funktionen ist uns EU-Usern nichts Schlimmes passiert. Und mit macOS beweist Apple, dass auch ein freieres System gut geschützt sein kann. Etwa, indem ich Zugriffe auf sensible Daten zunächst bestätige. Genauso werden sich beim iPhone mithörende Bluetooth-Wanzen nicht heimlich mit meinem iPhone koppeln können.
Dass ein geschlossenes System nicht zwangsläufig vor schadhaften Apps schützt, demonstriert ausgerechnet Apple selbst: Sie lassen nämlich immer wieder offensichtliche Fake-Apps in ihren Store. So war „LassPass“ tagelang verfügbar [6] und hatte es auf Zugangsdaten des Passwortmanagers „LastPass“ abgesehen.
Apple sollte endlich aufhören, so viele erzwungene Sonderlocken zu drehen. Ein per se offenes iOS muss zudem weniger reguliert werden. Statt die Systeme vorwiegend visuell anzugleichen, wünsche ich mir auch funktionale Gleichberechtigung. Wo bleiben etwa der Finder oder das Terminal? Selbst für einfachste Shell-Skripte muss ich Drittanbieter-Apps vertrauen – obwohl iOS auf Unix basiert. Es muss ja nicht vorinstalliert sein. Root-Zugang und voller Dateisystemzugriff dürfen gerne unmöglich bleiben. Ich fühle mich jedenfalls am offeneren Mac nicht weniger sicher. Apple hat längst bewiesen: Freiheit und Sicherheit schließen einander nicht aus. (wre [7])
CONTRA
Ben Schwan schätzt die Sicherheit und Integrität von Apples geschlossenem System.
Das iPhone ist kein Mac. Von Anfang an hat Apple darauf geachtet, iOS als Plattform gleichzeitig sicher und gut bedienbar zu machen. Das bedeutet, dass ich beispielsweise keinen Kommandozeilenzugriff auf dem iPhone habe und keine App im Dateisystem herumfuhrwerken darf. Das Resultat: Große Angriffswellen, wie sie bei Android immer wieder vorkommen, sind auf dem iPhone unterblieben. Geheimdienste und Regime, die iOS-Nutzer gezielt ausspionieren wollen, müssen für den Kauf sogenannter Zero-Day-Lücken Hunderttausende bis Millionen Euro in die Hand nehmen. Das hat Gründe.
Wenn nun die Europäische Kommission ankommt und Apple per gesetzlichem Holzhammer dazu zwingt, Drittanbietern schwer abzusichernde Türen ins System zu öffnen, ist das unschön. Apple bemüht sich offenbar nach Kräften, Nutzer mit der Umsetzung nicht zu gefährden. An gewissen Stellen ist das meiner Ansicht nach problematisch. Ein Beispiel: Dass Wearables anderer Hersteller Zugriff auf Benachrichtigungen erhalten müssen, klingt erst einmal gut. Doch mein Vertrauen in Drittanbieter wie Meta, die ihr Geld mit Werbung und nicht mit Hardware verdienen, damit keinen Mist zu veranstalten, hält sich in Grenzen. Apple hingegen hat einen Ruf in Sachen Datenschutz zu verlieren.
Ich kann nachvollziehen, dass sie Features wie das iPhone-Mirroring oder die Erfassung besuchter Orte [8] in Apple Maps erst gar nicht in die EU bringt, weil hierfür Regulierung droht. Eine zwangsweise Öffnung der Gerätespiegelung würde anderen Unternehmen weitreichenden Zugriff auf das iPhone eröffnen, die Historie besuchter Orte wäre wiederum ein gefundenes Fressen für Datenkraken. In einer idealen Welt wäre das iPhone offen wie der Mac. Aber in der leben wir nicht. Und wozu kaufe ich ein teures iPhone, wenn ich damit nicht mehr so sicher und privat bin, wie mir Apple das verspricht? (bsc [9])
Nach zwei Umbenennungen ist das KI -Agent-Projekt Openclaw zu einem Sicherheitsalptraum geworden: Es lockt Betrüger und Hacker an.
Openclaw-MaskottchenBild:
OpenClaw
Das Open-Source-Projekt von Peter Steinberger hat innerhalb weniger Wochen bereits dreimal den Namen gewechselt – von Clawdbot über Moltbot zu Openclaw . Die erste Umbenennung erfolgte auf Druck von Anthropic. Im Rahmen der Umbenennungen und wegen der Komplexität gerieten Projekt und Nutzer in gefährliches Fahrwasser.
Der KI-Agent sammelte mehr als 100.000 GitHub-Stars und lockte binnen einer Woche nach der Erstveröffentlichung zwei Millionen Besucher an. Als lokale Alternative zu Cloud-basierten Assistenten konzipiert, ermöglicht das Tool die Computersteuerung über Messaging-Plattformen wie Whatsapp und Slack.
Typosquatting und gefälschte Repositories
Das rapide Wachstum und die Namensverwirrung schufen Einfallstore für böswillige Akteure. Malwarebytes dokumentierte Versuche, Typosquat-Domains zu registrieren.
Die Idee dahinter: Nutzer, die sich vertippen oder nicht genau hinschauen, landen auf der gefälschten Seite oder laden schädliche Software herunter. Bei Open-Source-Projekten wie Openclaw ist das besonders tückisch, weil Entwickler den Code direkt aus dem Repository installieren. Wenn sie versehentlich das falsche Repository erwischen, installieren sie möglicherweise Malware statt der echten Software.
Zunächst wird vom Angreifer das Original-GitHub-Repository geklont und dann umbenannt. Diese gefälschten Repositories wirken legitim, schädlicher Code wird erst in späteren Updates hinzugefügt – eine gängige Technik bei Supply-Chain-Angriffen.
Im Fall von Openclaw war das Problem durch die häufigen Namensänderungen noch größer. Das sorgte für Verwirrung und gab Betrügern weitere Gelegenheiten, ähnlich klingende Namen zu registrieren.
Bitdefender bestätigte ähnliche Funde und beschrieb öffentlich zugängliche Administrationspanels, die Konfigurationsdaten und Chat-Protokolle preisgaben. Die Bedenken gehen über einfache Fehlkonfigurationen hinaus. Der Agent benötigt Root-Zugriff und erhält damit Kontrolle über Shell-Befehle, Dateisysteme, Browserdaten, E-Mails und Kalender.
Token Security stellte fest, dass 22 Prozent seiner Kunden Mitarbeiter hatten, die das Tool innerhalb einer Woche nach Veröffentlichung nutzten. Noma Security behauptete, 53 Prozent der Unternehmenskunden hätten privilegierten Zugriff ohne formelle Genehmigung erteilt. Das Muster deutet auf weitverbreitete Nutzung durch einzelne Mitarbeiter ohne IT-Aufsicht hin.
Das Projekt bewirbt eine einzeilige Bash-Befehlsinstallation, doch die Dokumentation zeigt, wie komplex die Software ist. Nutzer stoßen häufig auf PATH-Probleme, Abhängigkeitskonflikte und Berechtigungsfehler. Der Setup-Prozess erfordert zudem die Verwaltung mehrerer API-Schlüssel und OAuth-Credentials.
Diese Komplexität trägt vermutlich zu unsicheren Konfigurationen bei. Tools, die von Nutzern verlangen, Node-Versionen, Linux-Berechtigungen, Remote-Daemons und Firewall-Regeln zu verwalten, werden von weniger begabten Anwendern tendenziell fehlerhaft oder unvollständig installiert.
Steinberger reagierte mit Updates, darunter 34 sicherheitsrelevante Commits und Dokumentation zu gängigen Schwachstellen. Die neuesten Versionen enthalten Audit-Befehle und Auto-Fix-Modi für Fehlkonfigurationen. Der Sicherheitsleitfaden adressiert Probleme wie unverschlüsselte Kontrollschnittstellen oder exponierte Gateways.
Prompt-Injection-Angriffe mit Systemzugriff
Das Projekt steht auch vor einer weiteren, großen Herausforderung: Prompt-Injection-Angriffe. Während diese Schwachstelle viele KI-Systeme betrifft, unterscheiden sich die Konsequenzen, wenn ein Agent Systemzugriff hat. Ein erfolgreicher Prompt-Injection-Angriff gegen einen Chatbot produziert fehlerhaften Text. Derselbe Angriff gegen einen Agenten mit Administratorrechten könnte schädliche Befehle ausführen.
Für technische Nutzer mag Openclaw als Testumgebung für KI-Agent-Fähigkeiten dienen. Sicherheitsexperten empfehlen den Betrieb auf isolierten Systemen, außerhalb öffentlicher Netzwerke und mit strikten Allow-Lists. Für Nutzer, die bessere digitale Assistenten suchen, ist die Software eher ungeeignet.
Der Ugreen 2.5G USB-C LAN Adapter ist bei Amazon jetzt günstiger und bringt zuverlässiges Highspeed-Internet an den USB-C-Port.
Highspeed-Rabatt: Ugreen 2.5G USB-C LAN Adapter ist für nur rund 20 Euro bei Amazon zu haben.Bild:
Amazon.de
Manchmal reicht das heimische WLAN-Netz einfach nicht aus. Video-Meetings ruckeln, große Dateien stocken beim Upload oder man fliegt ständig aus der Mehrspieler-Lobby und kämpft mit Verzögerungen. In solchen Momenten zeigt der kompakte Ugreen 2.5G USB-C LAN Adapter, wie wohltuend und wichtig eine stabile, kabelgebundene Verbindung sein kann. Der kleine Aluminiumstick liefert hohes Tempo, arbeitet mit modernen Geräten präzise zusammen und macht selbst mobile Geräte netzwerktauglich, die keinen eigenen LAN-Port, sondern nur einen USB-C-Anschluss besitzen.
2.5-Gigabit-LAN-Geschwindigkeit für moderne Geräte
Der Ugreen 2.5G USB-C LAN Adapter liefert Übertragungsraten bis zu 2.500 Mbit/s und bringt gegenüber klassischem Gigabit-LAN spürbare Reserven – ideal für große Datenmengen, Streaming in hoher Auflösung oder Online-Gaming. Das stabile Aluminiumgehäuse unterstützt die Wärmeableitung, während der flexible USB-C-Stecker problemlos und ohne Wackelei an Laptops, Tablets oder Smartphones festsitzt. Kompatibel ist der Adapter mit Windows, MacOS, iPadOS, neueren iPhone-Generationen, Chromebooks und vielen Android-Geräten.
Plug & Play für iOS und Windows
Unter Windows installiert sich der passende Treiber automatisch, MacOS und iPadOS erkennen den Adapter sofort. Auch an aktuellen Geräten wie MacBook Air/Pro, iPhone 16 oder iPad Pro läuft die Verbindung ohne Zusatzaufwand. Wer ein modernes Notebook besitzt, das über keinen klassischen Ethernet-Port verfügt, bekommt hier eine unkomplizierte und performante Lösung, die mit WLAN-Problemen aufräumt.
Ugreen 2.5G USB-C LAN Adapter im Angebot bei Amazon
Der Ugreen 2.5G USB-C LAN Adapter wird aktuell für 20,50 Euro angeboten. Mit 21 Prozent Rabatt ergibt sich eine Ersparnis von 5,49 Euro verglichen mit der UVP von 25,99 Euro. Der Deal ist mit über 500 verkauften Einheiten im vergangenen Monat ein stark nachgefragtes Angebot und könnte schnell vergriffen sein.
Reklame
UGREEN 2.5G USB C LAN Adapter USB C Ethernet Adapter RJ45 2500Mbps Netzwerkadapter kompatibel mit iPhone 17/16 Serien, Mac mini M4, iPad Pro/Air, Mac Pro/Air, Galaxy S24, Windows 11/10/8, macOS usw.
Im Rahmen einer neuen Amazon-Aktion bietet es sich an, einen kostenlosen 30-tägigen Testaccount bei Amazon Prime anzulegen, sofern noch keiner vorhanden ist. Dieser wird für spezielle Deals auch außerhalb von Angebotszeiträumen benötigt und bietet neben einem kostenlosen Versand aller Bestellungen viele zusätzliche Vorteile, etwa den Zugriff auf eine riesige Mediathek.
Reklame
Gratis Premiumversand, preisgekrönte Filme und Serien, exklusive Angebote und mehr 30 Tage kostenlos testen!
Dieser Artikel enthält sogenannte Affiliate-Links. Bei einem Kauf der Produkte über diese Links erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
SpaceX führt vor dem Börsengang Fusionsgespräche mit anderen Musk-Unternehmen. Das IPO könnte rund 1,5 Billionen US-Dollar bringen.
Graffiti im Oktober 2025 in BukarestBild:
Artur Widak/NurPhoto/Reuters
Der Raketenhersteller SpaceX plant noch in diesem Jahr einen Börsengang, der das Unternehmen mit rund 1,5 Billionen US-Dollar bewerten könnte. Wie die Nachrichtenagentur Reuters aus einer ungenannten Quelle und aus regulatorischen Einreichungen berichtet, prüft man eine Fusion mit anderen Unternehmen Elon Musks wie Tesla oder xAI. Es könnte Raketentechnologie, Starlink-Satelliten, die Social-Media-Plattform X und den Chatbot Grok vereinen.
SpaceX ist mit einer Bewertung von 800 Milliarden US-Dollar in einem kürzlich erfolgten Aktienverkauf das wertvollste private geführte Unternehmen der Welt. xAI wurde im November 2025 laut Wall Street Journal mit 230 Milliarden US-Dollar bewertet. Teslas Marktkapitalisierung beträgt 1,4 Billionen US-Dollar.
Zugleich steht Musk laut Kritikern wegen seiner faschistischen Weltanschauung zunehmend unter Druck. Das zeigte sich im Engagement für die AfD und rassischem Mob in Großbritannien, den er mit den Worten "Bürgerkrieg ist unvermeidlich" unterstützte , als Unterkünfte von Geflüchteten und Moscheen angegriffen wurden. Investitionen in seine Unternehnmen stützen diese Taten, wie Kritiker anmerken.
Ross Gerber, ein langjähriger Tesla-Investor, vollzog 2024 und 2025 einen radikalen Kurswechsel . Er reduzierte seine Bestände massiv und riet Anlegern, die Aktie aufgrund des "untragbaren moralischen Risikos" zu meiden.
Investoren für Fusion der Musk-Konzerne
Zwei Konkurrenten von xAI, OpenAI und Anthropic wollen in diesem Jahr ebenfalls einen Börsengang. Musk scheint darauf bedacht zu sein, dass SpaceX zuerst an die Börse geht, sagten einige Insider dem Wall Street Journal .
Bloomberg berichtete, dass Investoren die Idee eines Zusammenschlusses von SpaceX und Tesla vorantreiben. Im Falle einer Fusion von SpaceX und xAI würden xAI-Aktien gegen SpaceX-Aktien getauscht. Um dies zu ermöglichen, wurden zwei Gesellschaften in Nevada gegründet, sagte eine mit der Angelegenheit vertraute Person zu Reuters.
Aus den Einreichungen zur IPO geht hervor, dass die Gesellschaften am 21. Januar gegründet wurden, Angaben zum Zweck oder zur Rolle wurden nicht gemacht. In der einen Gesellschaft ist SpaceX und dessen Finanzvorstand Bret Johnsen als geschäftsführende Gesellschafter genannt, in der anderen als alleiniger Geschäftsführer.
Bei der in Windows eingebauten SSD-Verschlüsselung BitLocker kann der Wiederherstellungsschlüssel bei Microsoft landen. Wir erklären Details und Alternativen.
Die seit vielen Jahren in Windows eingebaute Verschlüsselungsfunktion BitLocker geriet in die Kritik. Denn Microsoft gab den Wiederherstellungsschlüssel auf richterliche Anordnung an Ermittlungsbehörden heraus [1] [1]. Wieso Microsoft das überhaupt kann, wogegen BitLocker schützen soll, wie es sich von der Geräteverschlüsselung in Windows 11 Home unterscheidet und welche Alternativen es gibt, klärt diese FAQ.
Was tut BitLocker?
Was macht BitLocker genau?
BitLocker ist eine in Windows eingebaute Funktion, die den gesamten Inhalt eines Volumes, also eines logischen Laufwerks, mit dem anerkannten kryptografischen Algorithmus AES verschlüsselt (voreingestellt AES-XTS 128, optional 256). Experten sprechen von „Data at Rest“-Verschlüsselung, weil BitLocker die Daten nur schützt, solange der Computer heruntergefahren ist. Sobald Windows läuft, ver- und entschlüsselt BitLocker die Daten transparent, wovon man nichts bemerkt. Bei manchen Windows-Pro-Versionen lässt sich BitLocker auch für Wechseldatenträger wie USB-Sticks einrichten (BitLocker To Go).
URL dieses Artikels: https://www.heise.de/-11159284
OpenAI sucht frisches Kapital in Rekordhöhe. Doch ein möglicher Investor unterstützt bereits den größten Konkurrenten.
Der Online-Handelsriese Amazon baut sein Geschäft im Bereich der Künstlichen Intelligenz [1] weiter aus. Laut Medienberichten könnte das Unternehmen jetzt beim ChatGPT-Entwickler OpenAI einsteigen.
Das berichteten zumindest das Wall Street Journal (WSJ) und Bloomberg übereinstimmend. Demnach befinden sich beide Unternehmen in Verhandlungen über eine Kapitalspritze von bis zu 50 Milliarden US-Dollar.
Größte Finanzierungsrunde der KI-Geschichte
Hintergrund des Geschäfts ist die Suche von OpenAI nach frischem Kapital. Wie es in den Berichten heißt, könnte die aktuelle Finanzierungsrunde historische Dimensionen erreichen. Die Rede ist von 100 Milliarden US-Dollar, die akquiriert werden sollen.
Sollte dies von Erfolg gekrönt sein, könnte der Firmenwert von OpenAI auf bis zu 830 Milliarden US-Dollar steigen, was es zum wertvollsten Start-up weltweit machen würde.
Neben Amazon zeigt wohl auch der japanische Technologieinvestor SoftBank Interesse. Geprüft wird ein Investment von bis zu 30 Milliarden US-Dollar. Ferner sollen auch Gespräche mit dem Chipspezialisten Nvidia [2] sowie mit Staatsfonds aus der Golfregion laufen, berichtet [3] das WSJ.
Mehr als nur Geld: Cloud-Dienste und KI-Technologie im Paket
Die mögliche Vereinbarung umfasst weit mehr als eine klassische Finanzbeteiligung. OpenAI könnte künftig verstärkt auf die Cloud-Infrastruktur von Amazons Tochter AWS zurückgreifen.
Im Gegenzug würde Amazon Zugang zu den KI-Modellen erhalten, die ChatGPT antreiben. Diese Technologie ließe sich dann in Amazon-Produkte integrieren, und auch die Belegschaft des Konzerns könnte die Systeme für ihre tägliche Arbeit nutzen.
Bereits im vergangenen November sicherte sich OpenAI Rechenkapazitäten [4] bei AWS im Wert von 38 Milliarden Dollar über mehrere Jahre, heißt es bei [5]Bloomberg.
Warum OpenAI so viel Kapital verschlingt
Hinter dem enormen Kapitalbedarf steckt ein fundamentales Problem der KI-Branche: Das Training großer Sprachmodelle erfordert gewaltige Rechenressourcen [6] und treibt die Kosten in astronomische Höhen.
Hinzu kommt ein erbitterter Wettbewerb um die klügsten Köpfe, der die Gehälter für Spitzenforscher nach oben treibt.
OpenAI verweist zwar auf mehr als 800 Millionen wöchentlich aktive Nutzer von ChatGPT. Doch Branchenbeobachter stellen seit Monaten die Frage, ob die gewaltigen Investitionen in KI-Infrastruktur [7] jemals entsprechende Erträge abwerfen werden.
Amazon setzt auf zwei Pferde
Der mögliche Einstieg bei OpenAI wirft Fragen zur Strategie des Konzerns auf. Denn Amazon unterstützt seit Jahren auch den direkten Konkurrenten Anthropic, der mit seinem Chatbot Claude gegen ChatGPT antritt. Bis Ende 2024 flossen acht Milliarden Dollar in das Unternehmen.
Zusätzlich finanzierte Amazon einen Rechenzentrums-Komplex in Indiana für elf Milliarden Dollar.
Parallel zum verstärkten KI-Engagement streicht der Konzern in zwei Wellen rund 30.000 Stellen [8] in der Verwaltung.
Weg an die Börse nimmt Konturen an
Neben der Kapitalrunde bereitet OpenAI offenbar einen Gang aufs Parkett vor. Das Unternehmen sondiert, so berichtet [9] das Wall Street Journal, laut Insidern bei mehreren Wall-Street-Banken die Möglichkeiten für eine Aktienplatzierung und verstärkt sein Finanzteam.
Ein Börsengang [10] würde, so die Vermutung, es OpenAI ermöglichen, das Vertrauen der Kapitalmärkte zu gewinnen – gerade angesichts der Zweifel, wie das Unternehmen die enormen Ausgaben für Chips und Rechenzentren langfristig stemmen will.
Nervöser Blick auf die Konkurrenz
In der OpenAI-Führungsetage wächst die Sorge, dass Anthropic beim Börsengang schneller sein könnte. Beide Unternehmen schreiben derzeit tiefrote Zahlen und verbrennen jährlich Milliarden.
Anthropic rechnet internen Unterlagen zufolge damit, 2028 erstmals schwarze Zahlen zu schreiben – zwei Jahre früher als OpenAI, wie es beim WSJ heißt.
Zusätzlichen Druck erzeugt Google, das im Wettbewerb um KI-Chatbots aufholt. OpenAI reagierte mit einer internen Sonderaktion zur Qualitätsverbesserung von ChatGPT [11].
Überschattet wird die Situation von einem Rechtsstreit mit Mitgründer Elon Musk [12], der Schadenersatz von bis zu 134 Milliarden Dollar fordert.
URL dieses Artikels: https://www.heise.de/-11160458
Saudi-Arabien, Pakistan und die Türkei auf der einen Seite – auf der anderen ein Bündnis, das kaum jemand erwartet hätte. Eine Analyse.
In Westasien formieren sich zwei konkurrierende Militärbündnisse, deren Rivalität die südasiatischen Staaten Pakistan und Indien einbezieht. Die wirken ihrerseits zunehmend auf afrikanische Stellvertreterkonflikte ein.
Einerseits steht eine Allianz aus Saudi-Arabien, Pakistan und der Türkei. Auf der anderen Seite haben sich die Vereinigten Arabischen Emirate (VAE), Indien und Israel enger zusammengeschlossen. Beide Konstellationen bergen erhebliche Eskalationsrisiken.
Saudi-Arabien, die Türkei und Pakistan gegen …
Saudi-Arabien und Pakistan unterzeichneten im September 2025 ein gegenseitiges Verteidigungsabkommen [1]. Darin verpflichten sich beide Staaten, einen Angriff auf einen als Angriff auf beide zu behandeln. Das Nato-Mitglied Türkei befindet sich nach Angaben von Bloomberg in fortgeschrittenen Verhandlungen über einen Beitritt [2] zu diesem Pakt.
Diese Allianz bündelt komplementäre Ressourcen: Saudi-Arabien bringt finanzielle Macht ein, Pakistan verfügt über Atomwaffen und ballistische Raketen, und die Türkei stellt militärische Erfahrung sowie eine entwickelte Rüstungsindustrie bereit.
… die VAE, Indien und Israel
Nun aber haben auch die Vereinigten Arabischen Emirate und Indien am 19. Januar ein umfassendes Verteidigungsabkommen ratifiziert. [3] Das Außenministerium der VAE teilte mit, dass die Gespräche zwischen VAE-Präsident Mohammad bin Zayed und dem indischen Premierminister Narendra Modi "die stetige und starke bilaterale Verteidigungs- und Sicherheitskooperation als Kernpfeiler der umfassenden strategischen Partnerschaft" benannt hätten.
Das Abkommen umfasst nicht nur eine vertiefte militärische Zusammenarbeit, ein Erdgasgeschäft und eine Nuklearkooperation, die den "Einsatz großer Kernreaktoren und kleiner modularer Reaktoren (SMRs)" einschließt. Abu Dhabi und Neu-Delhi setzen sich zudem das Ziel, ihren bilateralen Handel innerhalb von sechs Jahren auf 200 Milliarden US-Dollar zu verdoppeln.
Indien, Israel und das IMEC-Projekt
Die Annäherung zwischen den VAE, Indien und Israel wurde durch das faktische Scheitern des India-Middle East-Europe Economic Corridor (Imec) beschleunigt [4]. Dieses im September 2023 beim G20-Gipfel in Delhi angekündigte Infrastrukturprojekt sollte eine logistische Verbindung zwischen emiratisch und israelisch kontrollierten Punkten entlang der Route über die Arabische Halbinsel bis nach Indien schaffen.
Das Projekt wurde aufgrund des Gazakriegs eingefroren. Eine Wiederbelebung scheiterte anschließend an der ausbleibenden Normalisierung der Beziehungen zwischen Saudi-Arabien und Israel. Saudi-Arabien verlangt von Israel Zugeständnisse zur palästinensischen Unabhängigkeit, die die Regierung unter Premierminister Benjamin Netanyahu strikt ablehnt.
Afrika
Israels Anerkennung der Unabhängigkeit von Somaliland im Dezember 2025 verschärfte die Spannungen mit Saudi-Arabien zusätzlich. Bloomberg [5] berichtete am 16. Januar, dass auch Saudi-Arabien kurz davor stehe, eine "neue Militärkoalition" mit Somalia und Ägypten zu einzugehen, die darauf abziele, den Einfluss der VAE einzudämmen.
Somalia hat schon 2024 ein Abkommen zur maritimen Sicherheit mit der Türkei geschlossen [6].
Die Rivalität zwischen der Türkei und Saudi-Arabien einerseits sowie den VAE und Israel andererseits manifestiert sich denn auch zunehmend in den afrikanischen Konflikten. In Somalia unterstützt die saudisch geführte Allianz die Zentralregierung in Mogadischu gegen das von den VAE und Israel unterstützte Somaliland.
Parallel zu seinen Bemühungen am Horn von Afrika arbeitet Saudi-Arabien daran, seine Zusammenarbeit mit Ägypten auszubauen [7]. Dabei geht es vor allem darum, den Einfluss von Kahlifa Haftar in Libyen zurückzudrängen. Zusammen mit den VAE unterstützt Haftar die sogenannten Rapid Support Forces (RSF), die Krieg gegen die Zentralregierung des Sudan führen und einen schwunghaften Goldhandel betreiben.
Pakistan
Bei alldem spielt Pakistan eine wachsende Rolle [8]. Islamabad steht kurz davor, ein Waffengeschäft im Wert von 1,5 Milliarden US-Dollar mit dem Sudan abzuschließen. Im Vormonat hatte Reuters bereits über ein 4-Milliarden-Dollar-Geschäft zur Lieferung von Waffen an libysche Streitkräfte berichtet.
Dabei folgt Pakistan einem Muster: Es schließt Sicherheitsabkommen mit Drittstaaten wie Aserbaidschan, Somalia und nun Libyen kurz nachdem Ankara dies getan hat. Im Sudan geht es um die Unterstützung der Zentralregierung, in Libyen um die Schwächung von Haftar.
Zudem verfügt [9] auch Pakistan seit August 2025 über ein militärisches Abkommen mit Somalia.
Keine "islamische Nato"
Zusammengenommen weisen diese Entwicklungen allerdings keineswegs auf die Bildung einer "islamischen Nato" hin. Vielmehr zeigt sich, dass der Graben zwischen Saudi-Arabien und den VAE immer breiter und tiefer und inzwischen auch mit Blut gefüllt wird.
Zudem fällt auf, dass Saudi-Arabien sich nach immer mehr Seiten [10] verbindlich abzusichern sucht und dabei zu einem neuen sicherheitspolitischen Zentrum in Westasien heranwächst [11]. Doch trotz der weitreichenden Allianzen weit über Westasien hinaus entsteht hier kein formelles Verteidigungsbündnis, wie es die Nato ist.
Vielleicht ist die aktuelle Entwicklung – wenn schon nicht präziser, so doch einleuchtender – als eine Art militär- und rüstungspolitische Konsolidierungsphase des weltweiten Islam zu sehen. Make Islam Great Again. Oder wie sonst ist es zu erklären, dass Indonesien jetzt mit Bosnien einen Verteidigungspakt geschlossen hat [12]? Und wird Pakistan der Türkei erneut folgen [13] und ebenfalls eine strategische Zusammenarbeit mit Nigeria vereinbaren?
Nukleare Komplikationen
Die Risiken, die die neuen Allianzen bergen, sind erheblich, denn in Westasien sind jetzt zwei weitere, atomar bewaffnete Staaten über Verträge zur militärischen Zusammenarbeit involviert (Indien, Pakistan) – wenn auch nur indirekt. Die Anwesenheit nuklear bewaffneter Akteure aber erhöht die Einsätze, begünstigt Fehleinschätzungen, verkürzt Entscheidungsfristen und verstärkt die Angst vor Isolation oder Einkreisung.
Die große Bedeutung der Entwicklungen liegt nicht in einer bestimmten Allianz. Die neuen Koalitionen sind jedoch mit erheblichen und allseitigen Rüstungsanstrengungen verbunden, die die ohnehin reichlich vorhandenen Eskalationsrisiken noch vervielfältigen.
URL dieses Artikels: https://www.heise.de/-11159158
Frankreich plant eine Altersprüfung für soziale Medien, die EU testet Mini-Wallets. Zwischen Datenschutz, Technik und Umgehung wächst der Widerstand.
Frankreich plant ein Verbot unter 15, Australien sperrt Millionen Konten unter 16. Doch während Regierungen auf Altersgrenzen in sozialen Medien setzen, zeigen sich erste Risse: Jugendliche umgehen die Kontrollen, Plattformen wehren sich juristisch – und Forscher zweifeln am Nutzen.
Australien meldet einen Erfolg: Regierungsangaben [1] zufolge wurden mehr als 4,7 Millionen Konten, die nach Behördenangaben unter 16-Jährigen zugeordnet wurden, deaktiviert oder eingeschränkt – ein Hinweis auf erste massive Durchsetzungsbemühungen der neuen Regel.
Unabhängige Daten über die tatsächliche Zugangsreduktion oder Effektivität liegen bislang jedoch nicht vor.
Ohnehin brodelt es hinter dieser Erfolgsmeldung: Gerichtsklagen, Berichte über massenhaft umgangene Alterskontrollen und wissenschaftliche Zweifel stellen das Projekt auf die Probe, wie bereits an dieser Stelle [2] berichtet.
Nationale Alleingänge trotz EU-Rahmen
Das EU-Parlament [3] forderte im November 2025 in einer nicht-gesetzlich verbindlichen Resolution ein EU-weites Mindestalter von 16 Jahren für den Zugang zu sozialen Medien wie TikTok, Instagram oder Facebook, wie die Parlamentswebsite mitteilt. Für 13- bis 16-Jährige [4] soll der Zugang nur mit Zustimmung der Eltern möglich sein.
Der bereits seit 2024 geltende Digital Services Act (DSA) der EU verpflichtet zwar große soziale Netzwerke zum Schutz von Minderjährigen, legt aber laut der EU-Kommission [5] keine verbindlichen Altersgrenzen fest.
Frankreich geht schneller voran. Die Nationalversammlung nahm Ende Januar 2026 ein Gesetz an, das soziale Medien für unter 15-Jährige verbieten soll (Le Monde [6]). Präsident Emmanuel Macron will, dass die Regelung bereits zum nächsten Schuljahr greift.
Altersverifikation: Datenschutz versus Wirksamkeit
Die EU-Kommission entwickelt ein technisches System zur Altersverifikation, das nur das Alter bestätigen soll – nicht die Identität preisgeben [7]. Die erste Version dieser "Mini-Wallet [8]" wurde im Juli 2025 veröffentlicht. Länder wie Dänemark, Frankreich und Spanien testen das System bereits.
In Frankreich sollen alle Nutzer sozialer Netzwerke bis Ende 2026 ihr Alter überprüfen lassen müssen. Nach dem Willen der Regierung soll die Pflicht zur Altersüberprüfung nicht nur Minderjährige betreffen, berichtet Le Monde [9]aktuell unter Berufung auf den Gesetzestext.
Wer ein soziales Netzwerk ohne Login nutzen möchte – etwa ein YouTube-Video an einem gemeinsam genutzten Computer ansehen –, müsse vermutlich bei jeder Verbindung nachweisen, dass er älter als 15 Jahre sei.
Die französische Nationalversammlung nahm den Gesetzesvorschlag in erster Lesung an, wie der Sender LCP [10] berichtet. Das Gesetz muss nun noch den Senat passieren. Die Regierung strebt eine Umsetzung zum nächsten Schuljahr an.
Die zuständige Ministerin Anne Le Hénanff sprach von einer "wahren Dringlichkeit" im Hinblick auf die Erhaltung der psychischen Gesundheit von Jugendlichen. Sie betonte, das Gesetz werde in der Lage sein, der Jugend ihre "Freiheit zurückzugeben", indem es sie von der Entfremdung durch Algorithmen und der Exposition gegenüber digitalen Abweichungen entferne.
In Großbritannien treten ab Juli 2025 noch strengere Regeln in Kraft. Plattformen müssen dort robuste Alterskontrollen wie Gesichtsscans oder Foto-ID einsetzen, wie die britische Regierung [11] erklärt.
Welche Plattformen sind betroffen?
Der Geltungsbereich der Gesetze ist teilweise unklar. In Frankreich könnten nach Angaben von Le Monde auch Gaming-Plattformen mit "sozialen" Funktionen wie Roblox oder Fortnite sowie Messenger mit netzwerkähnlichen Funktionen wie WhatsApp oder Telegram verpflichtet werden, bestimmte Funktionen nur Konten vorzubehalten, deren Alter verifiziert wurde.
Umgehung durch technikaffine Jugendliche
Die praktische Umsetzung erweist sich in Australien als schwierig. Beobachter berichten von zahlreichen Umgehungen [12]. Noah Jones, einer von zwei 15-Jährigen, die gegen das Gesetz klagen, erzählte der Zeitschrift New Scientist, dass Gleichaltrige Accounts auf ihre Eltern übertragen und mit einem Ausweis für Erwachsene verifizieren lassen würden.
Um Algorithmen auszutricksen, würden Kinder auch gezielt Gruppen folgen, in denen vorwiegend ältere Personen aktiv seien.
Die australische Schattenministerin Melissa McIntosh wirft der Regierung einen Fehlstart vor. Die Mechanismen ließen sich mit einfachen Mitteln wie Schminke austricksen. Auch die Diskussionsplattform Reddit hat Klage eingereicht.
Wissenschaftliche Zweifel
Eine aktuelle britische Studie [13] nährt Zweifel an der häufig vorgebrachten Begründung, das soziale Medien psychische Erkrankungen bei Jugendlichen verschärfen.
Die Untersuchung fand keinen Beleg dafür [14], dass häufigere Social-Media-Nutzung die Symptome von Angst oder Depression bei Jugendlichen verstärkt.
Kritiker wie die Grünen-Abgeordnete Alexandra Geese warnen zudem vor biometrischer Überwachung durch Altersverifikationssysteme.
Hinter der Debatte steht eine grundsätzliche Frage digitaler Regulierung: Geht es um wirksame Durchsetzung oder um symbolpolitische Grenzziehungen?
Altersverifikationssysteme verlagern die Verantwortung zunehmend in technische Infrastrukturen – von pädagogischer Begleitung hin zu algorithmischer Kontrolle. Ob technische Governance gesellschaftliche Probleme tatsächlich löst oder nur administrativ verwaltet, wird sich erst im Alltag erweisen.
URL dieses Artikels: https://www.heise.de/-11160588
Die neue Registry enthält ein kuratiertes Set von KI-Coding-Agenten, um sie leichter in JetBrains-IDEs und im Sourcecode-Editor Zed einzubinden.
Der IDE-Anbieter JetBrains und das Unternehmen hinter dem Sourcecode-Editor Zed, Zed Industries, haben gemeinsam die ACP Registry veröffentlicht. Diese soll es Entwicklerinnen und Entwicklern vereinfachen, mit dem Agent Client Protocol (ACP) kompatible KI-Coding Agenten bereitzustellen, aufzufinden und in Entwicklungsumgebungen zu installieren.
Die ACP Registry: KI-Agenten per Klick installieren
In der ACP Registry finden sich derzeit ausschließlich kuratierte KI-Agenten und -Extensions, die Authentifizierung unterstützen [1]. Sie folgen dem Agent Client Protocol (ACP), einem standardisierten, offenen Protokoll für das Zusammenspiel von KI-Agenten und Editoren. ACP wurde von JetBrains und Zed Industries erstmals im Oktober 2025 vorgestellt [2].
Laut den Herstellern war das Protokoll bereits ein großer Schritt nach vorn, doch die Distribution war bisher fragmentiert. Agenten mussten für jeden Client als Extension verfügbar gemacht oder manuell durch User installiert werden. Hier setzt die ACP Registry an: Entwicklerinnen und Entwickler können ihre geeignete Implementierung eines Agenten oder einer Extension einmal registrieren, und diese wird dann für jeden ACP-kompatiblen Client verfügbar [3].
Sowohl Zed als auch die Entwicklungsumgebungen von JetBrains besitzen integrierten ACP-Registry-Support, um die Agenten auf einfache Weise zu installieren und ihre jeweils aktuellste Version zu verwenden. In JetBrains-IDEs – ab Version 2025.3.2 und mit JetBrains AI (253.30387.147) – lassen sich Agenten beispielsweise im Agent-Picker-Menü unter „Install From ACP Registry…“ auswählen und installieren. In Zed sieht die ACP-Registry-Seite wie folgt aus:
Zed bietet eine integrierte Anbindung an die ACP Registry.
Googles KI-Chef Demis Hassabis rechnet in frühestens fünf bis zehn Jahren mit einer AGI. In einem Interview sagte er, was diese können muss.
Es ist das ewige Versprechen der Branche und das Feigenblatt, um bis dahin das Verbrennen von Milliarden Dollar und Unmengen an Energie zu rechtfertigen: die Suche nach der AGI. Die Artificial General Intelligence (Künstliche allgemeine Intelligenz) gilt als heiliger Gral der KI-Forscher. Wenn die Software lernt, ohne menschliche Hilfe zu lernen, sollen undenkbare Fortschritte möglich sein. Manch einer hat auch Angst, dass sich die KI dann gegen den Menschen wendet. Aber in zunehmendem Maße halten Menschen diese Zukunftsvision für eine Fata Morgana und den Weg dorthin noch für sehr weit.
Demis Hassabis, Chef von Googles KI-Sparte DeepMind, hält die AGI für erreichbar. Aber erst in fünf bis zehn Jahren. In einem Interview [1] mit Alex Kantrowitz von Big Technology ließ er kein gutes Haar an seinem Mitbewerber OpenAI [2] und dessen Chef Sam Altman. Man dürfe AGI nicht als Marketingbegriff verwenden, mahnt er. Die allgemeine künstliche Intelligenz sei ein System, das alle kognitiven Fähigkeiten zeigen kann, die Menschen haben, sagt er: „Und ich meine alle.“
Was die AGI können muss
Aber wo ist der Nutzen für die Menschheit? Den würde diese Form von KI erst haben, wenn sie der Menschheit zu neuen Durchbrüchen verhilft, erklärt Hassabis. Es sei nicht damit getan, eine mathematische Gleichung oder eine Vermutung zu lösen. Bahnbrechende Vermutungen sind gefragt, ein neuer Einstein. Oder im künstlerischen Bereich ein Picasso oder ein Mozart. Und zwar mit Fähigkeiten und einer Schlagzahl, wie sie bei Menschen kaum oder gar nicht möglich wäre.
Und obwohl er die Ansicht vertritt, dass die Fähigkeiten heutiger KI-Modelle noch gar nicht alle erkannt und ausgeschöpft sind, zeigt sich Hassabis überzeugt, dass diese noch weit von einer AGI entfernt sind. Heutige KI habe ein „Goldfischgehirn“. Sie kann das Internet durchsuchen, aber dieses Wissen ändere das Modell nicht und sei nach der Sitzung wieder vergessen. Eine Superintelligenz würde sogar noch weitergehen, sie könnte andere Systeme wie Wettersatelliten integrieren oder in 14 Dimensionen denken – Dinge, zu denen kein Mensch fähig wäre.
Mehrere Durchbrüche nötig
KI brauche auf dem Weg zur AGI noch mehrere Durchbrüche: Neben kontinuierlichem Lernen seien das effizientere Kontextfenster und langfristige Planung. Während das menschliche Gehirn mit selektiver Aufmerksamkeit nur das Wichtige verarbeitet, behandelt KI alle Informationen im Kontext gleich. Dies ist ineffizient und teuer.
In dem Bühnengespräch in Davos ging Hassabis auch auf die Frage ein, ob Google wie OpenAI plane, in seinem Chatbot Werbung zu integrieren [3]. Viel Lob verteilte Hassabis für Start-up Anthropic, in das Google bereits Milliarden Dollar investiert hat [4]. Deren Entwicklungs-Tool Claude Code sei sehr gelungen. Google selbst will die Fähigkeiten seines KI-Modells Gemini mit der neu veröffentlichten IDE Antigravity besser zur Geltung bringen.
Googles Smart-Glass-Pläne
Konkret äußerte sich Hassabis zu Smart Glasses: Google arbeitet mit Partnern wie Warby Parker, Gentle Monster und Samsung an einer neuen Generation KI-gestützter Brillen [5], die „vielleicht bis zum Sommer“ auf den Markt kommen sollen. Anders als beim gescheiterten Google Glass vor gut zehn Jahren seien nun sowohl die Form ausgereift als auch – entscheidend – die „Killer-App“ vorhanden: ein universeller digitaler Assistent, der freihändig im Alltag hilft. Hassabis selbst arbeitet persönlich an dem Projekt mit.
URL dieses Artikels: https://www.heise.de/-11160274
Links in diesem Artikel: [1] https://www.youtube.com/watch?v=bgBfobN2A7A [2] https://www.heise.de/thema/OpenAI [3] https://www.heise.de/news/Google-In-Gemini-wird-keine-Werbung-einziehen-11149799.html [4] https://www.heise.de/news/Kuenstliche-Intelligenz-Google-investiert-2-Milliarden-Dollar-in-Anthropic-9347929.html [5] https://www.heise.de/news/Android-XR-Google-ist-bereit-fuer-smarte-Brillen-mit-und-ohne-Bildschirm-10390304.html [6] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner [7] mailto:mki@heise.de
Mit dem CLI-Tool winapp will Microsoft die Windows-Entwicklung für Cross-Platform-Entwickler vereinfachen. Es übernimmt SDK-Management und Packaging.
Microsoft hat ein neues Kommandozeilen-Tool für die Windows-App-Entwicklung vorgestellt. winapp CLI soll den Entwicklungsprozess für Anwendungen vereinfachen, die mit Frameworks wie Electron oder Sprachen wie Rust, C++ und .NET erstellt werden. Es verbindet plattformübergreifende Entwicklung mit der nativen Windows-Umgebung. Das Open-Source-Tool befindet sich derzeit in der Public Preview und ist auf GitHub [1] frei verfügbar.
Das zentrale Versprechen: Was früher zwölf manuelle Schritte erforderte, soll nun ein einziger Befehl erledigen. Der Befehl winapp init lädt die benötigten SDKs wie Windows SDK und Windows App SDK automatisch herunter, generiert Code-Projektionen wie C++/WinRT [2] und konfiguriert Manifeste, Assets, Zertifikate sowie Abhängigkeiten. Das Tool ist bewusst so konzipiert, dass Entwickler ihre gewohnten Editoren – also VS Code genauso wie andere IDEs – weiterverwenden können. Mit winapp restore lässt sich die exakte Entwicklungsumgebung für gemeinsam genutzte Projekte oder in CI/CD-Pipelines wiederherstellen.
Package Identity ohne vollständiges Packaging
Besonders für Cross-Platform-Entwickler interessant ist die Funktion create-debug-identity. Sie fügt einer ausführbaren Datei temporär eine Package Identity hinzu, ohne dass die Anwendung vollständig als MSIX-Paket verpackt werden muss. Das beschleunigt den Entwicklungszyklus erheblich, da moderne Windows-APIs wie die Windows AI APIs, Benachrichtigungen, Shell-Integration oder Hintergrundaufgaben eine solche Identity verwenden.
Für Electron-Entwickler bietet Microsoft [3] ein spezielles npm-Paket an: Mit npm install @microsoft/winappcli --save-dev lässt sich winapp in bestehende Projekte integrieren. Der Befehl winapp node add-electron-debug-identity injiziert die Package Identity direkt in den laufenden Prozess. Zusätzlich stellt das Paket @microsoft/winapp-windows-ai Node.js-Projektionen für Microsofts KI-APIs bereit, etwa für lokale Sprachmodelle oder Text- und Bildverarbeitung.
MSIX-Packaging und CI/CD-Integration
Das Tool übernimmt auch das Erstellen von MSIX-Paketen für die Distribution über den Microsoft Store oder Sideloading. Mit winapp pack ./my-app-files --cert ./devcert.pfx erzeugt es Store-fähige oder für manuelles Deployment vorbereitete Pakete. Entwicklerzertifikate lassen sich per winapp cert generate erstellen und optional lokal installieren. Auch das Aktualisieren von Manifest-Ressourcen funktioniert über die CLI, etwa mit winapp manifest update-assets C:\images\my-logo.png.
Für Continuous-Integration-Workflows bietet Microsoft Actions für GitHub Actions und Azure DevOps an. Die setup-WinAppCli-Action installiert winapp automatisch in der Pipeline. Entwickler können damit konsistente Build-Umgebungen schaffen, ohne manuell SDKs oder Tools konfigurieren zu müssen.
Alternativen zu Visual Studio und MSBuild
winapp CLI ist laut Ankündigung [4] explizit als Ergänzung für Entwickler gedacht, die außerhalb des Visual-Studio-Ökosystems arbeiten. Neben Electron und Rust unterstützt winapp auch C++ mit CMake, .NET, Dart und weitere Sprachen und Frameworks. Guides für diese Technologien sowie Beispielprojekte finden sich im GitHub-Repository.
Die Installation erfolgt wahlweise über WinGet mit winget install Microsoft.winappcli --source winget, als npm-Paket oder manuell über GitHub Releases. Während der Public Preview sammelt Microsoft Feedback über das GitHub-Repository. Welche Features Priorität erhalten und wann eine finale Version erscheint, ist aktuell offen. Für Entwickler, die auf alternative Cross-Platform-Frameworks setzen, bleiben Optionen wie .NET MAUI, Avalonia, Uno Platform oder React Native for Desktop bestehen.
URL dieses Artikels: https://www.heise.de/-11159921
Links in diesem Artikel: [1] https://github.com/microsoft/winappCli [2] https://www.heise.de/blog/Hallo-Developer-hallo-heise-hallo-C-11143422.html [3] https://www.heise.de/thema/Microsoft [4] https://blogs.windows.com/windowsdeveloper/2026/01/22/announcing-winapp-the-windows-app-development-cli/ [5] https://www.heise.de/ix [6] mailto:fo@heise.de
In Ivantis Endpoint Manager Mobile klaffen zwei kritische Sicherheitslecks. Angriffe laufen, Admins sollten schnell updaten.
Zwei Sicherheitslücken mit kritischer Risiko-Einstufung finden sich in Ivantis Endpoint Manager Mobile (EPMM). Angreifer können dadurch Schadcode einschleusen. Der Hersteller warnt, dass die Schwachstellen bereits in freier Wildbahn attackiert wurden. Aktualisierungen stehen bereit, mit denen Admins ihre Netze absichern können.
„Ivanti hat Updates für Endpoint Manager Mobile (EPMM) herausgegeben, die zwei kritische Sicherheitslücken angehen“, schreibt Ivanti in der Sicherheitsmitteilung [1]. „Erfolgreiche Angriffe können zur Ausführung von Code aus dem Netz ohne Authentifizierung führen“, erklärt das Unternehmen weiter. „Wir wissen von einer sehr begrenzten Anzahl von Kunden, deren Lösungen zum Meldungszeitpunkt erfolgreich attackiert wurden.“
Ivanti EPMM: Zwei kritische Lücken
Details zu den Schwachstellen hält Ivanti zurück. Das Unternehmen gibt lediglich an, dass beide Schwachstellen vom Typ CWE-94 gemäß Common Weakness Enumeration sind: Unzureichende Kontrolle bei der Generierung von Code (“Code Injection“); das sind Lücken, bei denen Angreifer auf nicht genanntem Weg eigenen Code einschleusen können, der ausgeführt wird. Ivanti ergänzt jedoch, dass Angreifer für solch einen Angriff keine vorherige Authentifizierung benötigen (CVE-2026-1281, CVE-2026-1340; beide CVSS 9.8, Risiko „kritisch“). Die detaillierte Analyse von Ivanti [2] erörtert jedoch, dass die Schwachstellen die In-House-App-Verteilung und die Android-Dateitransfer-Konfigurationsfunktionen betreffen.
In der Nacht zum Freitag hat Ivanti aktualisierte RPM veröffentlicht, mit denen Admins ihre Instanzen auf einen fehlerkorrigierten Stand bringen können. Betroffen sind Ivanti EPMM 12.5.0.0, 12.6.0.0, 12.7.0.0 sowie 12.5.1.0 und 12.6.1.0 und jeweils ältere Versionen. Die Aktualisierungen stehen jeweils als eigene RPMs für die Reihen 12.x.0.x sowie für 12.x.1.x zur Verfügung. Ivanti erklärt, dass es keine Downtime durch Anwendung des Patches kommt und den Entwicklern auch keine Einflüsse auf etwaige Features bekannt sind.
Ivanti erklärt weiter, dass die bekannten Vorfälle noch untersucht würden und bislang keine verlässlichen Informationen vorliegen, die als Indizien für erfolgreiche Angriffe dienen könnten (Indicators of Compromise, IOCs). Allerdings scheinen sich versuchte und erfolgreiche Angriffsversuche mit 404-Errorcodes im Apache-Log niederzuschlagen, wonach Admins daher suchen können. Allerdings erzeugen gepatchte Installationen ebenfalls derartige Fehlercodes, weshalb Ivanti eine Regular Expression für eine bessere Filterung in der detaillierten Analyse vorschlägt.
IT-Verantwortliche sollten umgehend ihre Instanzen patchen. Zuletzt hatte Ivanti im Dezember eine kritische Sicherheitslücke in Ivantis Endpoint Manager [3] geschlossen – zu dem Zeitpunkt waren jedoch keine Angriffe auf die Lücke bekannt.
URL dieses Artikels: https://www.heise.de/-11159651
Links in diesem Artikel: [1] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US [2] https://forums.ivanti.com/s/article/Analysis-Guidance-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US [3] https://www.heise.de/news/Ivanti-stopft-kritische-Sicherheitluecke-im-Endpoint-Manager-11110277.html [4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp [5] mailto:dmk@heise.de
FreshRSS 
