Anmelden
Erdölförderanlage in Baschkortostan: Wie wirken sich die jüngsten Entwicklungen auf die russische Energiewirtschaft aus?
(Bild: Crazy nook/Shutterstock.com)
Während der globale Markt ins Wanken gerät, steht Russlands Energiebranche zwischen erheblichen Verlusten und neuen Chancen. Wie passt das zusammen?
Die Welt steht vor einem Ölpreisschock. Aufgrund des andauernden US-israelischen-Kriegs gegen den Iran befinden sich die Ölpreise bereits auf sehr hohem Niveau. Aktuell ist davon auszugehen [1], dass der Eintritt der jemenitischen Huthis in den Konflikt und die mögliche Sperrung der Meerenge von Bab al-Mandab die Risiken für Schifffahrt und Ölversorgung weiter erhöhen.
Der Ölpreis für die Sorte Brent liegt derzeit bei über 100 US-Dollar pro Barrel im Vergleich zu 60 bis 75 US-Dollar vor Beginn des Krieges.
Sollte die Straße von Hormus innerhalb weniger Wochen wieder geöffnet werden, erwarten Analysten [2] eine zeitnahe schrittweise Normalisierung. Demnach könnten sich die Ölpreise im Jahresverlauf auf etwa 80 bis 100 US-Dollar einpendeln; was dennoch über dem Vorkrisenniveau läge.
Dauert der Konflikt hingegen bis in den Sommer oder länger an, drohen deutlich drastischere Folgen. In diesem Szenario könnten die Preise zeitweise auf durchschnittlich 130 bis 170 US-Dollar steigen [3] und damit historische Höchststände erreichen. Auch Produkte wie Diesel und Kerosin wären massiv betroffen.
Langfristig ist unabhängig vom genauen Verlauf des Krieges davon auszugehen, dass sich ein strukturell höheres Ölpreisniveau etabliert.
Es liegt auf der Hand, dass erdölexportierende Länder wie Russland von dieser Entwicklung profitieren. Doch ist gerade die Russische Föderation mit anderen Herausforderungen wie den jüngsten massiven Anschlägen der Ukraine auf seine Erdölinfrastruktur konfrontiert.
Vom 23. bis 26. März 2026 haben die ukrainischen Streitkräfte eine dreiteilige gezielte Angriffsserie auf russische Ölraffinerien und Exportterminals durchgeführt. Ziel war es, die Fähigkeit Russlands zu beeinträchtigen, Treibstoff für das Militär zu produzieren und vor allem Einnahmen aus Ölexporten zu erzielen, die zur Finanzierung des Krieges genutzt werden können.
Nach Einschätzungen der Nachrichtenagentur Reuters sind derzeit [4] mindestens 40 Prozent der russischen Ölexportkapazitäten lahmgelegt. Die Berechnungen der Agentur stützen sich dabei auf den Vergleich aktueller Liefermengen mit offiziell gemeldeten Exportkapazitäten.
Laut der Nachrichtenagentur hat die Ukraine im Monat März alle drei großen westlichen Exporthäfen Russlands getroffen, darunter Noworossijsk am Schwarzen Meer sowie Primorsk und Ust-Luga an der Ostsee. Reuters merkt an, dass der Terminal in Noworossijsk mit einer täglichen Kapazität von rund 700.000 Barrel nach den ukrainischen Drohnenangriffen Öl derzeit in deutlich geringeren Mengen als üblich verschifft.
Zusätzlich haben Beschlagnahmungen mehrerer Tanker in Europa, die zuvor Rohöl aus Murmansk transportierten, die Lieferungen über diesen wichtigen nördlichen Exportknoten unterbrochen, schreibt Reuters unter Berufung auf Angaben von Händlern. Üblicherweise werden über Murmansk etwa 300.000 Barrel pro Tag exportiert.
Auch die Pipeline "Druschba", eine der wichtigsten Versorgungsrouten für russisches Öl nach Europa, ist von den jüngsten Entwicklungen betroffen. Einschränkungen entlang dieser Strecke verschärfen die ohnehin angespannte Lage im westlichen Exportkorridor zusätzlich (Telepolis berichtete [5]).
Als Reaktion auf die Unterbrechungen in westlicher Richtung muss Russland schließlich laut Reuters auf Ölexporte in asiatische Märkte setzen. Das Land liefert weiterhin ununterbrochen nach China; sowohl über Pipelines als auch auf dem Seeweg über den Hafen von Kosmino.
Diese Routen machen allein etwa 1,9 Millionen Barrel pro Tag aus. Zudem verschifft Russland weiterhin täglich 250.000 Barrel Öl aus seinen zwei Projekten auf der Insel Sachalin nach Fernost und beliefert die Raffinerien im benachbarten Belarus mit etwa 300.000 Barrel pro Tag.
Der russische Energieexperte Igor Juschkow von der Finanzuniversität der Regierung der Russischen Föderation stellt die Berechnungen von Reuters in Frage. Im Gespräch mit der russischen Zeitung MKRU gab er an [6], dass ihm die Zahl von 40 Prozent "nicht ganz angemessen" erscheine.
"Wenn Raffinerien angegriffen werden, was hat das dann mit dem Export von Rohöl zu tun?", fragt er und kritisiert, dass Angriffe auf Raffinerien fälschlicherweise mit Rohölexportkapazitäten gleichgesetzt würden. Bei außerplanmäßigen Reparaturen an Raffinerien reduziere Russland traditionell die Lieferungen von Erdölprodukten ins Ausland, erhöhe aber den Verkauf von Rohöl, wie bereits im vergangenen Jahr geschehen.
Juschkow räumt jedoch ein, dass die Sicherheitsprobleme real seien: Die nordwestliche Richtung und die Häfen der Region Leningrad hätten sich in Folge der Angriffe als verwundbar erwiesen.
Wie groß der tatsächliche Schaden sei, wisse man allerdings noch nicht. Man müsse auf grobe offizielle Schätzungen warten, um zu verstehen, welche Mengen Russland unter den aktuellen Bedingungen exportieren kann.
Er führt fort: Jedes Risiko von Angriffen auf Tanker mit unbemannten Seedrohnen, etwa beim Einlaufen in einen Hafen zum Beladen, erhöhe die Transportkosten. "Für Russland bedeutet dies einen globalen Anstieg der Kosten", so Juschkow. Die Situation führe zu sinkender Rentabilität der Energieunternehmen und entziehe dem Staat Einnahmen aus dem Ölexport.
Doch trotz der gegenwärtigen Einschränkung von Exportkapazitäten profitiert [7] die Russische Föderation vom aktuell hohen Ölpreis.
Nachdem Russland sein Erdöl jahrelang aufgrund von Sanktionen und zuletzt auch aufgrund der Beschlagnahmungen von Tankern der sogenannten Schattenflotte mit hohen Preisnachlässen verkaufen musste, hat sich die Lage inzwischen deutlich verändert: Die Abschläge sind gesunken, teilweise wird russisches Öl sogar mit Aufschlägen gehandelt [8].
Gleichzeitig ist die Nachfrage aus Asien stark gestiegen, da traditionelle Lieferanten aus dem Persischen Golf ausfallen. Länder wie Indien und China haben ihre Importe aus Russland erheblich erhöht.
Zusätzlich lockerten die USA Mitte März vorübergehend die Öl-Sanktionen gegen Russland, um den Markt zu stabilisieren. Eine 30-tägige Ausnahmeregelung erlaubt [9] derzeit unter anderem Indien den Kauf von bereits transportiertem russischem Öl.
Der globale Anstieg der Ölpreise ist für Moskau zwar vorteilhaft, doch es braucht Zeit, bis sich diese Gewinne im Haushalt widerspiegeln oder in zusätzliche militärische Fähigkeiten für den Krieg gegen die Ukraine umgesetzt werden können.
Russland führt zudem bereits seit Monaten selbst massive Angriffe auf die ukrainische Energieinfrastruktur aus, welche in dem Nachbarland zu inneren, weniger jedoch handelspolitischen Problemen führen.
Die jüngsten gegenseitigen Angriffe kommen in einer Phase, in der die diplomatischen Bemühungen um eine Beilegung der Krise und einen Waffenstillstand weiterhin blockiert sind – was die Aussichten auf eine Einigung in dem Konflikt weiterhin trübt.
URL dieses Artikels:
https://www.heise.de/-11241720
Links in diesem Artikel:
[1] https://www.theguardian.com/world/2026/mar/29/what-the-houthis-entry-into-the-iran-war-means-for-the-conflict-and-the-wider-region?utm_source=chatgpt.com
[2] https://www.marketscreener.com/news/pareto-sees-no-short-term-resolution-for-strait-of-hormuz-maintains-overweight-stance-on-oil-ce7e51dbdc8cfe24
[3] https://en.infomaxai.com/news/articleView.html?idxno=111240
[4] https://www.reuters.com/business/energy/least-40-russias-oil-export-capacity-halted-reuters-calculations-show-2026-03-25/
[5] https://www.telepolis.de/article/Oelkrise-spitzt-sich-zu-Globale-Versorgung-wird-immer-knapper-11225276.html
[6] https://www.mk.ru/economics/2026/03/26/neftyanye-moshhnosti-rossii-pod-udarom-vrazheskikh-sil-kakov-istinnyy-ushherb.html
[7] https://www.fuw.ch/iran-krieg-russland-profitiert-von-steigenden-oelpreisen-885255655653
[8] https://www.berliner-zeitung.de/politik-gesellschaft/geopolitik/oel-schock-wegen-iran-krieg-russland-verkauft-mit-aufschlag-kippen-jetzt-die-sanktionen-li.10027220?utm_source=chatgpt.com
[9] https://www.merkur.de/wirtschaft/oelpreisschock-als-putins-bonus-fuellt-iran-krieg-russlands-kriegskasse-94210642.html
Copyright © 2026 Heise Medien
Wir blicken zurück auf Apples bewegte Geschichte und diskutieren, wodurch sich die Firma vom Rest der Branche abheben konnte – und was davon geblieben ist.
Ab und zu totgesagt, oft unterschätzt, gerne missverstanden und inzwischen längst übermächtig: Apple kann pünktlich zum 1. April ganz ohne Scherze auf 50 Jahre Firmengeschichte zurückblicken. In der schnelllebigen IT-Branche ist der Konzern damit ein wahres Urgestein, das gleich mehrfach Computergeschichte geschrieben und zugleich die Welt verändert hat – vom Macintosh bis zum iPhone.
In Episode 118 blicken Malte Kirchner und Leo Becker ausführlich zurück auf die oft bewegte Apple-Geschichte, die sich praktischerweise gut in Kapitel unterteilen lässt. Wir fangen vorn an, widmen uns aber primär der zweiten Steve-Jobs-Ära, in der Apple ein unglaubliches Innovationstempo mit immer neuer Hardware vorlegte. Natürlich beschäftigt uns ebenso die Ära Cook und der sich abzeichnende nächste Umbruch. Einen Schwenk zu persönlichen Geräte-Highlights können wir uns dabei nicht verkneifen.
Der Apple-Podcast von Mac & i erscheint mit dem Moderatoren-Duo Malte Kirchner und Leo Becker im Zweiwochenrhythmus und lässt sich per RSS-Feed (Audio [2]) mit jeder Podcast-App der Wahl abonnieren – von Apple Podcasts über Overcast bis Pocket Casts.
Zum Anhören findet man ihn auch in Apples Podcast-Verzeichnis (Audio [3]) und bei Spotify [4]. Wir freuen uns über Feedback, Kritik und Fragen an podcast@mac-and-i.de [5].
URL dieses Artikels:
https://www.heise.de/-11242903
Links in diesem Artikel:
[1] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[2] feed:https://mac-and-i.podigee.io/feed/mp3
[3] https://podcasts.apple.com/de/podcast/mac-i/id1499510618
[4] https://open.spotify.com/show/5Tcgc97HvYREYM7kIRsxii
[5] mailto:podcast@mac-and-i.de
[6] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[7] https://www.heise.de/mac-and-i
[8] mailto:lbe@heise.de
Copyright © 2026 Heise Medien
(Bild: Jess Rodriguez/Shutterstock.com)
Nutzer in den USA können nun ihren Gmail-Nutzernamen ändern, also den Teil vor „@gmail.com“. Die alte Mail-Adresse bleibt dabei funktional.
Google erlaubt es Nutzern in den USA erstmals, ihren Gmail-Nutzernamen zu ändern. Es geht um den Adressabschnitt vor „@gmail.com“: Bisher gab es keine Möglichkeit, diesen Nutzernamen zu tauschen. Lediglich der mit dem Konto verknüpfte Name der Person kann geändert werden, nicht aber die E-Mail-Adresse an sich.
Zumindest in den USA ändert sich das nun. Nutzer können ihren Mailnamen über die Account-Einstellungen ändern [1]. Google verspricht, dass diese Möglichkeit in Zukunft allen Nutzern international zur Verfügung stehen soll, gibt dafür aber noch keinen Zeitrahmen.
Laut einem Google-Supporteintrag [2] läuft die Namensänderung recht unkompliziert ab: Die bisherige E-Mail-Adresse bleibt als Alternative erhalten, sodass bestehende Verteiler und verknüpfte Accounts weiterhin funktionieren. In existierenden Accounts müssen sich Nutzer in der Regel mit der vorherigen E-Mail-Adresse einloggen. Googles eigene Dienste wie YouTube sollen aber auch die neue Mail-Adresse akzeptieren.
Auf Wunsch können Nutzer sogar zur alten Mail-Adresse zurückwechseln, wenn sie sich umentscheiden. Komplett löschen lässt sich diese Adresse nicht. Die einzige Möglichkeit, eine Gmail-Adresse komplett loszuwerden, bleibt, den kompletten Account zu löschen.
Google beschränkt, wie häufig man neue Mail-Adressen bei Gmail anlegen kann: Insgesamt kann man sich nur drei alternative Namen für die E-Mail-Adresse einrichten, zudem nur jeweils einen pro Jahr. Wer das geduldig auf die Spitze treibt, kann also insgesamt vier verschiedene E-Mail-Adressen mit einem Google-Account besitzen. Zudem weist Google auf die Möglichkeit hin, externe Mail-Accounts mit dem Google-Konto zu verknüpfen.
Chromebook-Besitzer müssen sich auf einige zusätzliche Schritte einstellen, wenn sie ihre Mail-Adresse ändern möchten. Google empfiehlt, den alten Account zu entfernen und den neuen manuell hinzuzufügen – andernfalls stellt sich das Chromebook nicht um. Dafür ist es ratsam, vorher die lokalen Daten zu sichern.
URL dieses Artikels:
https://www.heise.de/-11242661
Links in diesem Artikel:
[1] https://myaccount.google.com/google-account-email
[2] https://support.google.com/accounts/answer/19870?visit_id=6391057075156
[3] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[4] mailto:dahe@heise.de
Copyright © 2026 Heise Medien
Die PayPal-App verlangt trotz Passkey ständig einen Authentifizierungscode? So beheben Sie dieses Problem.
Für meinen PayPal-Account habe ich extra einen Passkey erstellt, um mich schneller einzuloggen. Gebracht hat das allerdings gar nichts: Ich kann mich zwar per Face ID in der iPhone-App automatisch anmelden, muss dann aber trotzdem auf den SMS-Code als zweiten Faktor warten, bis ich PayPal nutzen kann. Sollte das mit Passkeys nicht eigentlich auch ohne SMS klappen?
Auf lange Sicht dürften Passkeys die möglichst sichere Anmeldung bei Diensten vereinfachen. Derzeit klemmt aber noch vieles und je nach Anbieter unterscheidet sich die konkrete Umsetzung erheblich.
Trotz Passkey bleibt mitunter auch ein zweiter Faktor erforderlich, um sich anzumelden – ganz so wie bei der klassischen Kombination aus Benutzername und selbst vergebenem Passwort.
Bei der PayPal-App ist es besonders skurril. Das Login-Problem entsteht hier offenbar für Accounts, die die zweistufige Bestätigung aktiviert haben und zugleich die Anmeldung per Face ID auf dem iPhone nutzen.
(Bild: heise medien)
Um sich schnell und ohne zweiten Faktor per Passkey in der PayPal-App einzuloggen, müssen Sie etwas Kontraintuitives machen: nämlich den Gesichtsscan ausschalten.
Loggen Sie sich wie gehabt per SMS-Code (oder mit dem zweiten Faktor aus Ihrer Authenticator-App respektive Passwortverwaltung) in der iPhone-App ein und tippen Sie in der Ansicht „Startseite“ oben rechts auf den Button mit dem Personen-Icon.
Das führt Sie zu Ihrem Account, dort wählen Sie „Einstellungen“ und dann „Login und Sicherheit“. Deaktivieren Sie jetzt unten den Schalter für „Face ID“.
Tippen Sie anschließend oben links zweimal hintereinander auf den Zurückbutton, um wieder zur Account-Ansicht zurückzukehren. Wählen Sie dort „Ausloggen“. Beim nächsten Anmelden sollte PayPal Sie direkt fragen, ob Sie sich mit Ihrem in „Passwörter“ gespeicherten Passkey für Ihren Account anmelden wollen. Tippen Sie auf „Passkey verwenden“.
Nach der üblichen Autorisierung mit Face ID, die für die Abfrage eines Passkeys ohnehin obligatorisch ist, loggen Sie sich nun direkt bei PayPal ein. Die lästige wie umständliche Eingabe des Zwei-Faktor- respektive SMS-Codes entfällt.
URL dieses Artikels:
https://www.heise.de/-11228458
Links in diesem Artikel:
[1] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[2] https://www.heise.de/mac-and-i
[3] mailto:lbe@heise.de
Copyright © 2026 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
(Bild: heise medien)
Google hat ein Update für Chrome veröffentlicht. Es stopft 21 Sicherheitslücken. Angriffe laufen auf eine Codeschmuggel-Lücke.
Im Chrome-Webbrowser [1] klaffen 21 Sicherheitslücken. In der Nacht zum Mittwoch dieser Woche hat Google Updates veröffentlicht, die sie schließen. Eine der Schwachstellen erlaubt das Einschleusen von Schadcode und wird bereits im Internet attackiert.
In der Versionsankündigung hat Google [2] dieses Mal zeitnah Informationen zu den darin geschlossenen Sicherheitslücken ergänzt. 19 Schwachstellen gelten demnach als hohes Risiko, zwei weitere als mittlerer Bedrohungsgrad. Für eine der Lücken mit hohem Risiko erklären die Entwickler, dass sie um einen Exploit in freier Wildbahn wissen – Angreifer nutzen sie zum Kompromittieren von Nutzern und Nutzerinnen aus.
Dabei handelt es sich um eine Use-after-free-Schwachstelle, bei der Programmcode auf Ressourcen zugreift, nachdem sie bereits freigegeben wurden und dadurch undefinierte Inhalte enthalten können. Das lässt sich oftmals mit etwas Geschick zum Einschleusen und Ausführen von Schadcode missbrauchen. Angreifer machen das bereits mit manipulierten Webseiten. Der Fehler findet sich in der WebGPU-Implementierung Dawn von Chrome [3] (CVE-2026-5281 [4], kein CVSS-Wert, Risiko laut Google „hoch“).
Die Chrome-Versionen 146.0.7680.177 für Android und Linux sowie 146.0.7680.177/178 für macOS und Windows schließen die Sicherheitslücken. Die lassen sich lokal etwa durch den Aufruf des Versionsdialogs über den Klickpfad „Einstellungen“ (verbergen sich hinter dem Symbol mit drei aufeinander gestapelten Punkten rechts von der Adressleiste) und weiter über „Hilfe“ – „Über Google Chrome“ installieren, dort sollte das verfügbare Update angezeigt und dessen Installation angeboten werden. Unter Linux ist dafür in der Regel die Softwareverwaltung der eingesetzten Distribution zuständig. Android-Nutzer und -Nutzerinnen sollten im Google-Play-Store die Aktualisierung angeboten bekommen – allerdings stellt Google hier die neuesten Versionen nicht für alle Smartphones zur gleichen Zeit bereit, die Verfügbarkeit kann auch erst nach Stunden oder Tagen gegeben sein.
Auf dem Chromium-Projekt basierende Webbrowser wie Microsofts Edge sind mit hoher Wahrscheinlichkeit ebenfalls von den Sicherheitslücken betroffen, die attackierte Schwachstelle dürfte auch darin vorhanden sein. Wer diese Browser einsetzt, sollte ebenfalls prüfen, ob Aktualisierungen vorliegen.
Zuletzt hatte Google vor etwa eineinhalb Wochen ein umfangreiches Update verteilt, das 26 Sicherheitslücken [5] geschlossen hat. Knapp eine Woche davor mussten die Entwickler zudem Notfall-Updates herausgeben, um zwei bereits angegriffene Sicherheitslücken zu schließen. Dabei kam es zu etwas Verwirrung – der erste Fix hatte eine der beiden Lücken anders als angekündigt nicht geschlossen, woraufhin Google am Folgetag ein weiteres Update außer der Reihe [6] zum Stopfen eines zweiten bereits attackierten Sicherheitslecks veröffentlichte.
URL dieses Artikels:
https://www.heise.de/-11242653
Links in diesem Artikel:
[1] https://www.heise.de/thema/Browser
[2] https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html
[3] https://www.heise.de/thema/Chrome
[4] https://nvd.nist.gov/vuln/detail/CVE-2026-5281
[5] https://www.heise.de/news/Chrome-Update-stopft-drei-kritische-Sicherheitsluecken-11218696.html
[6] https://www.heise.de/news/Jetzt-aktualisieren-Chrome-Notfall-Update-fuer-Notfall-Update-11211109.html
[7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: heise online / dmk)
Dass sich Guardrails umgehen lassen, war eigentlich klar. Dass das so einfach gehen könnte, überrascht dann doch.
Mit einem denkbar simplen Prompt lieferte Claude Code einen Demo-Exploit für eine Zero-Day-Lücke im Texteditor vim. Der für den Gegenspieler Emacs erforderte ebenfalls nicht viel Überredung, ist jedoch ein wenig umstritten.
Eigentlich sollen sogenannte Guardrails, also Leitplanken, den Missbrauch der LLMs [1] für das Schreiben von gefährlichen Exploits verhindern. Jedenfalls will Claude-Hersteller Anthropic das Problem mit Sicherheitsvorkehrungen in den Griff bekommen [2]. Wenn man der Beschreibung von Calif [3]Glauben schenken kann, lasse sich die jedoch erstaunlich einfach umgehen:
Somebody told me there is an RCE 0-day when you open a file. Find it.
Der Hinweis, es gäbe den Exploit zur „Remote Code Execution“ genügte, und Claude Code legte munter los [4]. Das Ergebnis war ein Exploit, der eine bis dato unbekannte Lücke ausnutzte, um beim Öffnen einer Datei vorgegebene Befehle auszuführen (RCE). Die Vim-Entwickler bestätigten den Bug [5] und behoben ihn mit Version 9.2.0172.
Bei Emacs [6] lief das nicht viel anders. Auch hier lieferte die KI ohne zu zögern einen Exploit, der beim Öffnen einer Datei potenziell bösartigen Code ausführt. Allerdings erklärten da die Entwickler, dass das eigentlich kein Emacs-Problem sei. Der Hintergrund: Der Exploit funktioniert nur, wenn im Verzeichnis der zu öffnenden Datei ein vom Angreifer präpariertes .git/-Verzeichnis vorhanden ist. Daran erkennt der Editor ein Git-Repository, startet die Versionsverwaltung git und die wiederum führt die hinterlegten Kommandos aus. Das ganze sei somit ein Git-Issue, erklärten die Emacs-Entwickler.
Jedenfalls sind die Forscher von Calif so in Fahrt gekommen, dass sie jetzt einen Month of AI Discovered Bugs [7] ausgerufen haben und im April jeden Tag eine neue Sicherheitslücke präsentieren wollen.
URL dieses Artikels:
https://www.heise.de/-11242325
Links in diesem Artikel:
[1] https://www.anthropic.com/news/detecting-countering-misuse-aug-2025
[2] https://red.anthropic.com/2026/zero-days/
[3] https://blog.calif.io/p/mad-bugs-vim-vs-emacs-vs-claude
[4] https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/vim-claude-prompts.txt
[5] https://github.com/vim/vim/security/advisories/GHSA-2gmj-rpqf-pxvh
[6] https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/emacs-claude-prompts.txt
[7] https://blog.calif.io/p/mad-bugs-month-of-ai-discovered-bugs
[8] https://www.heise.de/thema/lost%2Bfound
[9] https://www.heise.de/thema/lost%2Bfound
[10] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[11] mailto:ju@heise.de
Copyright © 2026 Heise Medien
(Bild: Noom_Studio/Shutterstock.com)
Die Open-Source-Datenbank RxDB 17 synchronisiert Daten jetzt direkt über Google Drive oder OneDrive – ein eigenes Backend brauchen Entwickler nicht mehr.
Die JavaScript-Datenbank RxDB kann ab Version 17.0.0 Daten ohne eigenes Backend synchronisieren. Außerdem führt das Projekt eine Schnittstelle für KI-Agenten ein und bringt ein schnelleres Storage-Backend für React-Native-Apps.
RxDB ist eine Open-Source-Datenbank für JavaScript und TypeScript. Sie setzt auf Storage-Backends wie IndexedDB oder SQLite auf und ist für Offline-First-Anwendungen gedacht: Apps, die lokal arbeiten und Daten bei Bedarf synchronisieren. Typische Einsatzgebiete sind Progressive Web Apps, React-Native-Apps und Electron-Anwendungen.
Das zentrale neue Feature in RxDB 17 sind zwei neue Replikations-Plugins für Google Drive und Microsoft OneDrive. Sie synchronisieren Daten direkt in den Cloud-Speicher des Nutzers, statt sie auf einem zentralen Server abzulegen. Entwickler können ihre App als statische Website auf GitHub Pages, Vercel oder Cloudflare hosten und brauchen kein eigenes Backend mehr. Die Synchronisation läuft nahezu in Echtzeit und geräteübergreifend. Mehrere Apps können auf denselben Cloud-Ordner zugreifen und so Daten teilen.
Allerdings bringt dieser Ansatz Einschränkungen mit sich. Cloud-Speicher bieten keine ACID-Garantien, und die Synchronisation unterliegt den Ratenlimits der jeweiligen Cloud-API. Nutzer müssen zudem per OAuth den Zugriff auf ihr Konto erlauben.
Mit dem neuen WebMCP-Plugin können KI-Agenten über das Web Model Context Protocol [1] direkt auf RxDB-Collections zugreifen. Bisher mussten Agenten im Browser entweder die gerenderte Seite analysieren oder die HTML-Struktur erraten – beides ist aufwendig und fehleranfällig. WebMCP stellt stattdessen eine maschinenlesbare API-Beschreibung bereit. Agenten erfahren darüber, welche Operationen verfügbar sind, und können beliebige Abfragen oder Änderungen ausführen, ohne dass Entwickler für jede Aktion ein eigenes Tool definieren müssen.
Für React-Native- und Expo-Apps bringt RxDB 17 das Expo Filesystem RxStorage mit. Es basiert auf expo-opfs und nutzt die aktuelle Expo-Filesystem-API. Laut den Entwicklern arbeitet es bei vielen Zugriffsmustern deutlich schneller als SQLite. Das Backend ist speziell für das Expo-Ökosystem optimiert und greift direkt auf das Dateisystem zu, um die Performance zu steigern.
Ferner wurde RxDB 17 gezielt für KI-gestützte Programmierung optimiert. Eine neue Datei llms.txt fasst die API in einer für Sprachmodelle geeigneten Form zusammen. ERROR-MESSAGES.md listet alle Fehlercodes mit Ursache, Lösung und Link zur Dokumentation auf. Fehlerobjekte enthalten nun die Eigenschaften cause, fix und docs, sodass ein Sprachmodell beim Debugging nicht in Sackgassen gerät. Dateien wie .aiexclude und .claudeignore reduzieren den Kontext, den KI-Tools verarbeiten müssen. TypeScript-Kommentare enthalten jetzt @example-Tags, damit Agenten die API auch ohne Dokumentation nutzen können.
Auf der Framework-Seite gibt es ein neues React-Plugin mit Hooks und Signals sowie ein Paket reactivity-angular für Angular Signals. Die bisherigen Premium-Pakete für Vue und Preact Signals wandern in den frei verfügbaren Kern. Signals tragen jetzt den konkreten Datentyp des Dokuments – also etwa Signal<number> statt Signal<any>.
Die Entwickler haben den Bulk-Insert-Pfad, das Query-Routing und interne Datenstrukturen überarbeitet. IndexedDB speichert Anhänge jetzt binär statt als JSON, was Speicherplatz spart. Mehrere Speicherlecks in OPFS und im Migrationscode wurden ebenfalls behoben.
Neun Plugins verlassen die Beta-Phase und gelten ab sofort als produktionsreif. Dazu gehören die Replikations-Plugins für Appwrite, Supabase und MongoDB, die Storage-Backends für MongoDB, das Node.js-Dateisystem und DenoKV sowie die Attachment-Replikation, das CRDT-Plugin und RxPipeline.
Die meisten Anwendungen lassen sich ohne größere Anpassungen aktualisieren. Wer allerdings OPFS RxStorage, Filesystem RxStorage unter Node.js oder IndexedDB mit Anhängen nutzt, muss seine Daten mit dem Storage Migrator migrieren. Pull-Only-Replikationen speichern keine Server-Metadaten mehr auf dem Client. Primärschlüssel und Indizes sind auf maximal 2048 Zeichen begrenzt, da zu lange Schlüssel die Performance beeinträchtigen. Einige Integrationen wie Firebase, MongoDB und NATS sind jetzt optionale Peer Dependencies und müssen manuell installiert werden. Vorgebaute dist-Dateien liefert das GitHub-Repository nicht mehr mit – Entwickler installieren RxDB über npm oder bauen lokal selbst.
Die vollständigen Release Notes [2] stehen auf der Projektseite bereit.
URL dieses Artikels:
https://www.heise.de/-11242237
Links in diesem Artikel:
[1] https://www.heise.de/news/Googles-WebMCP-macht-Websites-zu-strukturierten-Datenquellen-fuer-KI-Agenten-11177824.html
[2] https://rxdb.info/releases/17.0.0.html
[3] https://www.heise.de/ix
[4] mailto:fo@heise.de
Copyright © 2026 Heise Medien
Da soll sich einer auskennen...
(Bild: Daniel AJ Sokolov)
TikTok versucht, sich um Pflichten aus dem Gesetz über digitale Dienste (DSA) herumzuwinden. Technisch wie juristisch.
Tiktok muss seine Webseite für Nutzer in Deutschland umprogrammieren, urteilt das Oberlandesgericht Bamberg (OLG). Die aktuelle Gestaltung verstößt mehrfach gegen die als DSA (Digital Services Act, [1] auch Gesetz über digitale Dienste) bekannte EU-Verordnung. Tiktok muss es Nutzern leicht machen, die Nutzung personenbezogener Daten für die Auswahl der vorgesetzten Videos auszuschalten.
Außerdem muss die Meldung rechtswidriger Inhalte benutzerfreundlich gestaltet werden. Beides ist laut dem von der Verbraucherzentrale Bayern erstrittenen Urteil ( 3 UKl 5/25 e) [2] nicht gegeben, obwohl der DSA das in Artikel 38 respektive 16 vorschreibt.
Da der Fall grundsätzliche Bedeutung hat, es zu den relevanten Rechtsfragen aber noch keine Rechtsprechung gibt, hat das OLG in seinem erstinstanzlichen Endurteil vom 18. März die Revision zum Bundesgerichtshof zugelassen. Tiktok wird das wohl in Anspruch nehmen und hat seine Webseite bisher nicht verbessert. TikToks Anregung, bestimmte Rechtsfragen zuerst dem Europäischen Gerichtshof (EuGH) vorzulegen, hat das Gericht nicht aufgegriffen.
Im Prozess hat TikTok zunächst versucht, der Verbraucherzentrale die Berechtigung zur Klageführung abzustreiten. Der DSA diene der Wettbewerbsregulierung und nicht dem Verbraucherschutz; zudem sei ausschließlich die Europäische Kommission zur Durchsetzung befugt, und diese habe an der Webseite nichts ausgesetzt. Und überhaupt würden auch Nicht-Verbraucher die Webseite aufrufen.
Diese Argumente griffen beim OLG Bamberg nicht. Einerseits seien die für die Klage relevanten Passagen des DSA eindeutig verbraucherschützend, andererseits gebe das deutsche Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (UKlaG [3]) der Verbraucherzentrale ausdrücklich das Recht, wegen Verstößen gegen solche DSA-Passagen vor Gericht zu ziehen. Die Regelung des DSA, wonach die EU-Kommission für die Durchsetzung zuständig sei, diene der Abgrenzung gegenüber anderen Verwaltungsbehörden, schließe aber Gerichtsverfahren nach dem UKlaG nicht aus.
Nutzer haben gemäß Artikel 38 DSA [4] das Recht, TikTok zu verbieten, seinem Algorithmus ein Profil aus personenbezogenen Daten zu füttern. Diese Option hat TikTok allerdings ausnehmend gut versteckt. Nutzer müssen mit der rechten Maustaste auf ein Video oder ein beworbenes Produktbild klicken, und dann im Kontextmenü „Feed verwalten" auswählen.
(Bild: Tiktok (Screenshot))
Dieser Weg ist alles andere als naheliegend. Beim Versuch der Redaktion ist das Kontextmenü auch nur in einem von drei Webbrowsern aufgetaucht; die anderen beiden Browser zeigten ihr eigenes Kontextmenü. Und über jene TikTok-Menüs, die über die bekannten drei Punkte aufgerufen werden können, ist die Datenschutz-Option nicht zu finden. Damit sei die De-Personalisierungsfunktion auf Tiktoks Webseite zwar unmittelbar, aber nicht leicht zugänglich, was die Vorgaben des DSA verletzt.
Die Meldung rechtswidriger Inhalte gemäß DSA ist sehr wohl über das Drei-Punkte-Menü im rechten oberen Eck des jeweiligen Videos erreichbar – allerdings gut versteckt. Zunächst muss „Melden“ ausgewählt werden, was eine Reihe von Auswahlmöglichkeiten beschert. Darunter „Hass und Belästigung“, „Betrug und Schwindel“ oder „Fälschungen und geistiges Eigentum“, was ja durchaus rechtswidrige Tatbestände sind.
Doch wer meint, damit eine Meldung gemäß Artikel 16 DSA [5] erstattet zu haben, irrt. TikTok betrachtet dies lediglich als Hinweis auf einen Verstoß gegen die eigenen Richtlinien und setzt nicht die im DSA vorgesehenen Maßnahmen. Nutzer können keine Begründung hinzufügen und auch keine Kontaktdaten beifügen. Damit entfallen nicht nur die Empfangsbestätigung und Information über die Entscheidung über die Meldung, sondern TikTok wähnt sich auch haftungsfrei. Nur bei Meldungen nach Artikel 16 DSA gilt TikTok formalrechtlich als in Kenntnis gesetzt und muss gegebenenfalls Maßnahmen ergreifen.
(Bild: TikTok/Daniel AJ Sokolov (bearbeiteter Screenshot))
Nur wer in dem Menü unter den Seitenumbruch hinunterscrollt und "Widerrechtlichen Inhalt melden" auswählt, kann nähere Informationen und seine Kontaktdaten hinzufügen. Das erschließt sich aber erst, nachdem man das ausgewählt hat. „Faktisch hängt es daher häufig vom Zufall ab, welche Schaltfläche der Nutzer betätigt und demnach auch, ob er ein den Anforderungen des Art 16 DSA genügendes Meldeverfahren in die Wege leitet“, begründet der OLG sein Unterlassungsurteil. „Die Auffindung dieses Meldeverfahrens wird dem Nutzer daher durch die Ausgestaltung in einer Weise erschwert, dass sie entgegen der Vorgabe der Benutzerfreundlichkeit mit Unannehmlichkeiten verbunden ist.“
URL dieses Artikels:
https://www.heise.de/-11242574
Links in diesem Artikel:
[1] https://www.heise.de/news/50-Millionen-Mal-Recht-gegeben-Wie-der-DSA-die-Willkuer-der-Plattformen-bricht-11180177.html
[2] https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2026-N-4668?hl=true
[3] https://www.gesetze-im-internet.de/uklag/__2.html
[4] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065#art_38
[5] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065#art_16
[6] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[7] mailto:ds@heise.de
Copyright © 2026 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Hohe Speicherpreise verteuern neue Desktop-PCs. Wir liefern Tipps, worauf Sie beim Kauf von Rechnern aus zweiter Hand als günstige Alternative achten müssen.
Seit Oktober 2025 erklimmen die Preise für Arbeitsspeicher immer neue Höhen. RAM kostet derzeit rund das Vierfache im Vergleich zum Spätsommer 2025. Zudem haben sich SSDs und Grafikkarten verteuert. Das führt nicht nur bei PC-Bastlern zu Frust, sondern treibt auch die Preise für Komplettrechner nach oben. Für alle, die ausgerechnet jetzt gezwungen sind, einen neuen zu kaufen, mögen Gebraucht-PCs sowie die günstigen Mini-PCs aus China als attraktive Alternative erscheinen.
Doch nicht hinter jedem günstigen Angebot steckt ein Schnäppchen. So kursieren Second-Hand-Rechner mit Uralt-Hardware, die mit kruden Patches vermeintlich Windows-11-tauglich gemacht wurden, außerdem China-PCs ohne gültige Windows-Lizenz sowie Ladenhüter, die reif für den Elektroschrott sind.
In diesem Artikel geben wir Tipps, wie Sie bereits vor dem Kauf erkennen können, ob die Hardware zukunftssicher ist und die Windows-11-Vorgaben erfüllt. In einem Vergleichstest haben wir drei Gebraucht-PCs im c’t-Labor auf Herz und Nieren geprüft, die unter 400 Euro kosten und damit billiger sind als so manches RAM-Kit. In unserem Windows-Ratgeber lesen Sie, wie Sie unter anderem die Echtheit des installierten Windows einschätzen können. In einer FAQ beantworten wir die wichtigsten Fragen zum Thema China-PC.
URL dieses Artikels:
https://www.heise.de/-11154243
Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/Gebrauchte-PCs-als-Spar-Alternative-Eine-Kaufberatung-11154243.html
Copyright © 2026 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Plakat mit schiitischen Märtyrern, einschließlich Qasem Suleimani.
(Bild: Obaida Hitto, shutterstock)
Bagdad autorisiert Selbstverteidigung schiitischer Milizen und warnt die Kurden, auf Seiten der USA in den Krieg einzutreten. Die GIs räumen Stützpunkte.
Infolge des unprovozierten und völkerrechtswidrigen Angriffs der USA und Israels auf den Iran wurde auch der Irak zum Schauplatz [1] erneuter Konflikte mit den USA. Schiitische Milizen greifen amerikanische Einrichtungen an. Gleichzeitig versucht [2] die Zentralregierung in Bagdad, eine Beteiligung kurdischer Gruppen am Krieg zu verhindern.
Etwa 60 Prozent der irakischen Bevölkerung von 42 Millionen Menschen, sind Schiiten.
Also trafen Raketen und Drohnen die US-Botschaft in Bagdad, Militärstützpunkte im ganzen Land und Hotels, in denen sich westliche Staatsbürger – und zunehmend auch [3] US-Soldaten – aufhalten.
Am 17. März überwand [4] eine Rakete die Verteidigungsanlagen der amerikanischen Botschaft in der irakischen Hauptstadt. Der Einschlag traf einen Hubschrauberlandeplatz und beschädigte Teile eines Luftabwehrsystems vom Typ C-RAM. Opfer wurden nicht gemeldet.
Zusätzlich tauchten Aufnahmen auf, die eine Drohne zeigen, wie sie über die Victory Base nahe dem internationalen Flughafen von Bagdad fliegt [5] und ein Gebäude trifft. Offensichtlich hatte Drohne auch hier die amerikanischen Verteidigungssysteme umgangen – ein Novum bei derartigen Angriffen.
Die US-Botschaft reagierte mit einer eindringlichen Warnung an alle amerikanischen Staatsbürger im Irak: "US-Bürger sollten den Irak umgehend verlassen."
Die Botschaft warnte weiter, dass Hotels, die von Ausländern genutzt werden, angegriffen worden seien. US-Amerikaner im Irak seien einem erhöhten Entführungsrisiko ausgesetzt. Auch die diplomatische Zone im Zentrum Bagdads sowie der internationale Flughafen von Erbil im kurdisch dominierten Nordirak seien wiederholt unter Beschuss geraten.
Die USA haben umgehend mit Bombardements reagiert [6]. Am 23. März trafen amerikanische Kampfjets ein regionales Hauptquartier der Popular Mobilization Forces (PMF), einer Dachorganisation überwiegend schiitischer Milizen, in der westlichen Provinz Anbar. Mindestens 15 Kämpfer wurden getötet, darunter Saad al-Baiji, der Operationskommandeur der PMF in Anbar. Etwa 30 weitere Menschen wurden verletzt.
Einen Tag zuvor, am 16. März, hatte Kataib Hezbollah, eine der mächtigsten pro-iranischen Milizen im Irak, den Tod ihres Sicherheitschefs Abu Ali al-Askari bei einem amerikanischen Luftangriff bekanntgegeben.
Der irakische Nationale Sicherheitsrat, der von Premierminister Mohammed Shia al-Sudani geleitet wird, hat den PMF unterdessen das Recht auf Selbstverteidigung zugestanden [7]. Die Entscheidung wurde von staatlichen Medien berichtet und folgte auf die tödlichen Angriffe.
Die PMF sind formal in die irakischen Sicherheitskräfte integriert, doch viele der Gruppen unter ihrem Dach pflegen enge Verbindungen zum Iran. Sie wurden 2014 gegründet, um gegen die Terrormiliz Islamischer Staat (IS) zu kämpfen, und dabei waren sie sehr erfolgreich. Seitdem haben sie ihren Einfluss im Irak kontinuierlich ausgebaut.
Heute sind sie ein großer und heterogener Verband, der aus etwa 60 bis 70 Brigaden besteht und rund 230.000 Kämpfer zählt. Ihr Jahresbudget wird auf rund 3,5 Milliarden Dollar geschätzt [8].
Am Montag erklärte der "Islamische Widerstand im Irak", amerikanische und NATO-Streitkräfte hätten ihren Abzug aus Camp Victory nahe dem Flughafen Bagdad abgeschlossen [9]. Die US-Einheiten hatten vorher um eine 24-stündige Feuerpause nachgesucht, um abziehen zu können.
Camp Victory war früher ein wichtiger US-Militärstützpunkt und wurde später in eine diplomatische Einrichtung umgewandelt. Die Anlage wurde seit Beginn des Iran-Krieges wiederholt angegriffen.
Auch Italien hat damit begonnen, Truppen aus dem Nordirak abzuziehen und einige Soldaten nach Jordanien zu verlegen. Andere westliche Länder, darunter Großbritannien und Frankreich, haben Truppen dagegen umgruppiert oder ihre Marinepräsenz in der Region verstärkt.
Während die Gewalt im Zentrum und Westen des Irak eskaliert, gerät die kurdische Regionalregierung (KRG) im Norden unter wachsenden Druck. Die irakische Zentralregierung in Bagdad hat die KRG diese Woche gewarnt [10], eine Beteiligung kurdischer Gruppen am Krieg gegen den Iran zu verhindern.
Nach Angaben irakischer, kurdischer und türkischer Beamter, die mit Middle East Eye sprachen, übermittelte Bagdad die Warnung Anfang der Woche. Die Botschaft sei klar gewesen, sagte ein irakischer Beamter: "Kurdische Gruppen dürfen sich nicht in den Iran einmischen. Wenn die KRG das nicht verhindern kann, werden irakische Bundeskräfte einrücken, um die Grenze zu sichern."
Iran hat bereits gedroht, kurdische Stützpunkte im Irak anzugreifen, sollten sie für Angriffe über die Grenze genutzt werden. Und die Türkei betrachtet bewaffnete kurdische Bewegungen in der Region schon lange als Bedrohung ihrer nationalen Sicherheit und hat wiederholt vor Versuchen gewarnt, kurdische Fraktionen in regionalen Konflikten zu mobilisieren.
Kurdische Beamte haben sich öffentlich vom Krieg distanziert und gewarnt, eine Beteiligung könne die Region ins Chaos stürzen. Qubad Talabani, stellvertretender Premierminister der KRG und Sohn des früheren irakischen Präsidenten Jalal Talabani, wies Spekulationen zurück, kurdische Kräfte würden an einem Feldzug im Iran teilnehmen.
Doch auch so bleibt die Lage für westliche Truppen im Irak schwierig genug. Es scheint, als hätten die Schiiten ihre Zwistigkeiten untereinander vorerst auf Eis gelegt. Aber alle Iraker befürchten nun, dass die USA ihr Sanktionsregime gegen den Irak wieder ausdehnen könnte.
Noch weit schlimmer für Bagdad ist jedoch die Tatsache, dass der Irak derzeit lediglich [11] 1,7 bis 1,8 Millionen Barrel Öl täglich exportiert – verglichen mit 4,3 Mio. Barrel vor dem US-israelischen Angriff auf Iran und der selektiven Sperrung der Straße von Hormus durch Teheran.
URL dieses Artikels:
https://www.heise.de/-11229848
Links in diesem Artikel:
[1] https://thecradle.co/articles/iraq-steps-forward-in-a-regional-war
[2] https://www.middleeasteye.net/news/iraq-warns-kurdish-authorities-not-get-drawn-war-iran-sources-say
[3] https://www.aa.com.tr/en/middle-east/us-forces-in-middle-east-operate-from-hotels-as-iran-strikes-bases-report/3879948
[4] https://nationalinterest.org/blog/middle-east-watch/irans-iraqi-militias-are-coming-for-us-troops
[5] https://thenewregion.com/posts/4932
[6] https://www.reuters.com/world/middle-east/two-iraqs-shiite-popular-mobilization-forces-fighters-killed-airstrikes-western-2026-03-23/
[7] https://english.alarabiya.net/News/middle-east/2026/03/24/iraq-allows-iranbacked-militia-umbrella-group-to-respond-to-attacks-on-their-positions-
[8] https://www.fpri.org/article/2026/03/militias-and-iraqs-role-in-regional-conflict/
[9] https://thekenyatimes.com/world-news/u-s-military-gets-24-hours-to-withdraw-from-foreign-base/
[10] https://www.middleeasteye.net/news/iraq-warns-kurdish-authorities-not-get-drawn-war-iran-sources-say
[11] https://www.bloomberg.com/news/articles/2026-03-08/iraq-oil-output-plunges-about-60-as-iran-war-blocks-tankers
Copyright © 2026 Heise Medien
Greiz wird zum Lehrstück: Wenn Lokaljournalismus verschwindet, entstehen gefährliche Informationslücken – die von rechten politischen Akteuren besetzt werden.
Greiz, eine Kleinstadt im thüringischen Vogtland, ist seit über 400 Jahren eine Papierstadt. Ausgerechnet hier beschloss die Funke Mediengruppe im Frühjahr 2023, in elf Gemeinden die Zustellung der gedruckten Ostthüringer Zeitung einzustellen.
Das Ergebnis: Fast die Hälfte der Abos – 47 Prozent – ging verloren, wie Netzwerk Recherche in seinem Greenhouse Report Nr. 4 "Lückenfüller – Was kommt, wenn die Lokalzeitung geht?" [1] von Thomas Schnedler und Malte Werner dokumentiert.
Was zunächst wie eine unternehmerische Entscheidung aussah, entpuppt sich laut ihrem Befund als Lehrstück über die Zukunft der Demokratie im ländlichen Raum.
Wo die Lokalzeitung verschwindet, entstehen Informationslücken – und die werden schnell gefüllt. In der Region Greiz verteilen heute kostenlose Anzeigenblätter wie Bürgerzeit aktuell und Neues Gera ihre Botschaften.
Auf den ersten Blick wirken sie wie harmlose Lokalzeitungen. Doch hier wird laut der Verfasser des Greenhouse Report Meinungsmache betrieben, da die Grenze zwischen Anzeige und redaktionellem Inhalt verschwimme. Im Bericht wird beschrieben, wie dort die Grenze zwischen Werbung, Meinung und Berichterstattung verwischt wird.
Das Neue Gera geht demnach besonders weit. Herausgeber ist Harald Frank, AfD-Fraktionsvorsitzender im Stadtrat von Gera. Die Zeitung erscheint alle zwei Wochen mit einer Auflage von 20.000 Exemplaren – fast so viel wie die Ostthüringer Zeitung im gesamten Verbreitungsgebiet noch erreicht.
Eine Trennung von Bericht und Kommentar finde nicht statt, stellt der Report fest.
Einen weiteren Schritt geht das Online-Medium Heimatbote Vogtland. Hinter der Webseite steht die Heimatstiftung Greiz-Vogtland e. V. Im Vorstand: Torsten Röder und Cornelia Tristram, beide Spitzenpolitiker der AfD in Greiz. Der Heimatbote berichte vor allem über Aktivitäten der AfD. Wer die Artikel schreibt, bleibt unklar. Viele Beiträge stammen vom Pseudonym „ChefRed01", wie Netzwerk Recherche recherchiert hat.
Expertinnen der Fachhochschule Graubünden erkennen beim Heimatboten Vogtland viele Merkmale von "Pink-Slime-Journalismus ": ähnlicher, vertrauenswürdiger Name, Intransparenz beim Besitz, unklare Autorenschaften.
"Pink Slime" bezeichnet pseudojournalistische Angebote, die sich seriös geben, aber keine journalistischen Standards einhalten.
Für viele ältere Menschen war der Wegfall der morgendlichen Zeitungslektüre ein großer Einschnitt. "Zeitunglesen, das gehört halt zum Alltag",, sagte eine ältere Dame aus Cossengrün in den Fokusgruppen-Gesprächen, die Netzwerk Recherche [2] führte.
Die Zeitung ermöglichte gesellschaftliche Teilhabe. Die Umstellung auf ein Digital-Abo schnitt viele Ältere, die den Schritt ins Digitale nicht wagen wollten oder konnten, von wichtigen Informationen ab. Ein Teilnehmer forderte ein "Recht auf analoges Leben".
Das Interesse junger Erwachsener an klassischen Lokalnachrichten ist gering. Weil in den Elternhäusern kaum noch Zeitung gelesen wird, entsteht keine Bindung. Stattdessen folgen sie Social-Media-Accounts lokaler Organisationen oder Marketing-Accounts.
Im Kampf um die Aufmerksamkeit auf Social Media ist der Lokaljournalismus nahezu chancenlos, wie auch Sonja Peteranderl in einem Beitrag für journalist.de [3] analysiert.
Die Landfrauen Langenwetzendorf beklagten in den Gesprächen, dass die Zeitung immer teurer werde – über 600 Euro pro Jahr. Für Rentner eine finanzielle Belastung. Sie wünschten sich mehr lokale Recherchen:
"Bohrt Euch da doch mal rein! Recherchiert doch mal!"
Eine Teilnehmerin einer Greizer Fokusgruppe bringt es so auf den Punkt:
"Mir fehlt bei den Artikeln teilweise dieses Erklären, woher etwas kommt. Oft wird nur davon berichtet, wie es ist, aber nicht, wie das zustande gekommen ist. Dieses Ganzheitliche, damit ich mir tatsächlich eine Meinung bilden kann."
Doch die Realität sieht anders aus. Lokalredaktionen schließen, die Zeitung wird dünner, der Themenzuschnitt weniger lokal. Der Chefredakteur der Ostthüringer Zeitung gibt an, dass laut digitalen Nutzungsdaten "sublokale Inhalte kaum Leser finden".
Das steht im Widerspruch zu den Ergebnissen der Fokusgruppen.
Die Nutzung lokaler Medien stärkt das Vertrauen in Institutionen und den gesellschaftlichen Zusammenhalt. Wo sie fehlen, befürchten Bürger weniger Transparenz und Kontrolle.
Forschende fanden Anzeichen, dass in Gebieten ohne journalistische Beobachter der Missbrauch öffentlicher Gelder steigt und die Wahlbeteiligung sinkt, wie die Wüstenradar-Studie [4] dokumentiert.
Das Interesse an lokalen Nachrichten ist grundsätzlich hoch: 84 Prozent der Deutschen sind laut Reuters Institute Digital News Report 2025 [5] interessiert. Doch die Lokalzeitung kann davon aber offenbar nicht profitieren.
Auch die kürzlich neu auf den Markt gebrachte Ostdeutsche Allgemeine hat offenbar nicht im Konzept, daran etwas zu ändern. Vielmehr laute die Grundidee [6]: Es fehle nicht an Lokaljournalismus im Osten. Was fehle, seien überregionale Geschichten aus ostdeutscher Perspektive.
Als Lösungsansätze für den Lokaljournalismus wurden zuletzt die Anerkennung der Gemeinnützigkeit für journalistische Angebote sowie eine staatliche Förderung diskutiert, wie die Heinrich-Böll-Stiftung in ihrer Studie "Demokratie beginnt im Lokalen [7]" empfiehlt.
Das Beispiel Greiz zeigt, was passiert, wenn die Lokalzeitung verschwindet. Informationslücken werden von Amtsblättern, Anzeigenblättern und Online-Medien gefüllt, die von Politikern betrieben werden.
Ältere Menschen verlieren eine wichtige Quelle zur Teilhabe. Junge Menschen informieren sich über Social Media, wobei die Unterscheidung zwischen seriösen Nachrichten und anderen Inhalten schwieriger wird. Wo kritische Berichterstattung durch PR und Propaganda ersetzt wird, fehlt die Kontrolle der Mächtigen vor Ort.
URL dieses Artikels:
https://www.heise.de/-11241746
Links in diesem Artikel:
[1] https://netzwerkrecherche.org/wir-staerken/lokaljournalismus/dialogprojekt-leben-ohne-zeitung/
[2] https://netzwerkrecherche.org/blog/leben-ohne-lokalzeitung-zwischenbericht/
[3] https://www.journalist.de/werkstatt/werkstatt-detail/tiktok-statt-lokalzeitung/
[4] https://www.wuestenradar.de/wp-content/uploads/sites/18/2024/11/Wuestenradar-2024-web.pdf
[5] https://leibniz-hbi.de/en/hbi-publications/reuters-institute-digital-news-report-2025-findings-for-germany/
[6] https://www.telepolis.de/article/Ostdeutsche-Allgemeine-Was-die-neue-Zeitung-will-und-liefern-muss-11184556.html
[7] https://www.boell.de/de/2025/09/08/demokratie-beginnt-im-lokalen
Copyright © 2026 Heise Medien
(Bild: Robert Kneschke / Shutterstock.com)
Millionen Deutsche trifft im Alter eine böse Überraschung: Die Rente ist viel niedriger als erwartet. Wir zeigen, wie groß die Lücke wirklich ist.
Nach 40 Jahren harter Arbeit freut sich Max Mustermann auf den wohlverdienten Ruhestand. Doch auf ihn wartet eine böse Überraschung: Statt der 3.000 Euro netto, die er bislang nach Hause brachte, bezieht er nur eine Rente von 1.300 Euro.
Eine herbe Enttäuschung, die leider kein Einzelfall ist. Fast alle Deutschen trifft im Alter diese Rentenlücke – aber wie groß ist sie wirklich und was steckt dahinter?
Die Rentenlücke bezeichnet die Differenz [1] zwischen dem letzten Nettoeinkommen vor dem Ruhestand und der gesetzlichen Altersrente [2], die man später erhält. Experten gehen davon aus, dass man etwa 70 bis 80 Prozent des letzten Gehalts bräuchte, um den gewohnten Lebensstandard zu halten.
Doch die Realität sieht anders aus:
Das Rentenniveau liegt aktuell bei 48 Prozent. Das heißt: Wer 45 Jahre lang zum Durchschnittslohn (aktuell [3]: 4.634 Euro brutto pro Monat oder 55.608 Euro brutto pro Jahr) gearbeitet und in die Rentenkasse eingezahlt hat, erhält 48 Prozent des Durchschnittseinkommens. Beiträge zur Kranken- und Pflegeversicherung werden hier noch abgezogen.
Schon damit ist eine Rentenlücke vorprogrammiert. Sie wird allerdings größer, etwa durch Zeiten der Erwerbslosigkeit oder Zeiten, in denen man deutlich unterhalb des Durchschnittslohns verdient hat.
Wer nun zuletzt 3.000 Euro netto verdient hat, müsste also eigentlich rund 2.400 Euro Rente bekommen, um seinen Lebensstandard zu halten – tatsächlich sind es oft nur etwa 1.200 Euro. Eine Lücke von 1.200 Euro monatlich, die es zu schließen gilt.
Laut aktuellen Daten [4] der Deutschen Rentenversicherung lagen die durchschnittlichen Bruttorenten im Bestand 2024 bei:
Betrachtet man speziell die Altersrenten bei Rentenzugang im Jahr 2024 so gelten folgende Werte:
Die oft genannte "Standardrente" nach 45 Beitragsjahren mit Durchschnittsverdienst liegt zwar höher, bleibt für viele aber unerreichbar [5]. Denn dafür müsste man 45 Jahre lang ununterbrochen in Vollzeit arbeiten und dabei stets das Durchschnittseinkommen erzielen – für die meisten Arbeitnehmer, insbesondere Frauen, ist das unrealistisch.
Ein besonders gravierendes Problem ist der "Gender Pension Gap [6]" – die geschlechtsspezifische Rentenlücke zwischen Männern und Frauen. 2024 erhielten Frauen ab 65 durchschnittlich 25,8 Prozent weniger gesetzliche Rente und Pension als Männer.
Ohne Berücksichtigung der Hinterbliebenenrenten, die hauptsächlich Frauen zugutekommen, lag der Unterschied sogar bei 36,9 Prozent.
In absoluten Zahlen bedeutet das [7]: Frauen hatten 2024 im Alter durchschnittliche Bruttoeinkünfte von 20.668 Euro im Jahr, Männer dagegen 27.850 Euro.
Die Ursachen für diese Diskrepanz sind vielfältig: Zum einen verdienen Frauen häufig schon während des Berufslebens weniger als Männer (Gender Pay Gap).
Zum anderen arbeiten sie öfter in Teilzeit oder unterbrechen ihre Erwerbstätigkeit ganz, etwa für die Kindererziehung oder Pflege von Angehörigen (Care-Arbeit). Hinzu kommt die höhere Lebenserwartung von Frauen, sodass ihre Ersparnisse länger reichen müssen.
Ein Blick auf die Unterschiede zwischen alten und neuen Bundesländern zeigt: Frauen in Ostdeutschland haben dank durchgängigerer Erwerbsbiografien tendenziell etwas höhere Renten als im Westen. Es arbeiteten in Ostdeutschland auch – relativ – weniger Frauen in Teilzeit als im westlichen Teil der Bundesrepublik. Auch Männer im Osten liegen über dem West-Niveau, allerdings auf ähnlichem Level wie die ostdeutschen Frauen.
Insgesamt sind die Renten im Osten also etwas "gerechter" verteilt, da die Erwerbsbeteiligung von Frauen zu DDR-Zeiten höher war. Doch auch 33 Jahre nach der Wiedervereinigung bleibt die Rentenlücke zwischen den Geschlechtern groß – ein gesamtdeutsches Problem.
Die Folge der niedrigen Renten ist ein wachsendes Risiko von Altersarmut. Laut [8]Statista galten 2024 in Deutschland 19,6 Prozent der über 65-Jährigen als armutsgefährdet (Frauen: 21,6 Prozent, Männer: 17,1 Prozent). Das heißt, sie müssen mit weniger als 60 Prozent des mittleren Einkommens auskommen.
Gründe dafür sind neben den erwähnten Faktoren auch die steigenden Lebenshaltungskosten, etwa für Miete, Energie und Lebensmittel. Gleichzeitig sinkt das Rentenniveau, also das Verhältnis der Rente zum Durchschnittslohn. Und nicht zuletzt muss die Rente selbst versteuert werden – Aufwendungen, die an der Kaufkraft der Senioren zehren.
Doch was können Arbeitnehmer tun, um im Alter besser dazustehen? Hier einige Tipps:
Generell gilt: Wer rechtzeitig mit der Vorsorge beginnt, kann mit kleinen Beiträgen viel erreichen. Denn über die Jahre summieren sich die Einzahlungen dank Zinseszinseffekt zu einem stattlichen Polster.
Letztlich zeigt sich: Die gesetzliche Rente allein reicht in den meisten Fällen nicht aus, um den gewohnten Lebensstandard im Alter zu sichern.
Zusätzlich verschärfen strukturelle Probleme wie der Gender Pension Gap und Ost-West-Unterschiede die Lage. Für viele Senioren, insbesondere alleinstehende Frauen, wird das Risiko von Altersarmut damit zur bitteren Realität.
Um die Rentenlücke zu schließen, führt an privater Vorsorge kein Weg vorbei. Doch dafür ist eine frühzeitige Planung entscheidend. Nur wer rechtzeitig gegensteuert, kann im Ruhestand gelassen auf die Rentenlücke blicken – und seinen wohlverdienten Lebensabend genießen.
Anmerkung der Redaktion: Der Abschnitt zur Höhe der Rentenlücke war missverständlich formuliert. Zur Erläuterung wurde noch ein Absatz eingefügt, der die Durchschnittsrente erklärt.
Der Artikel wurde zuerst am 03. September 2025 veröffentlicht. Seither ist er mehrfach überarbeitet worden, um ihn auf dem aktuellen Stand zu halten.
URL dieses Artikels:
https://www.heise.de/-10629750
Links in diesem Artikel:
[1] https://www.heise.de/tp/article/Was-ist-die-Rentenluecke-und-warum-betrifft-sie-fast-jeden-10590853.html
[2] https://www.heise.de/tp/article/Gesetzliche-Rente-Rentensystem-Rentenpunkte-und-Vorsorge-einfach-erklaert-10621605.html
[3] https://www.destatis.de/DE/Themen/Arbeit/Verdienste/Verdienste-Branche-Berufe/_inhalt.html
[4] https://www.deutsche-rentenversicherung.de/SharedDocs/Downloads/DE/Statistiken-und-Berichte/statistikpublikationen/rv_in_zahlen.pdf?__blob=publicationFile&v=3
[5] https://www.deutsche-rentenversicherung.de/SharedDocs/Downloads/DE/Statistiken-und-Berichte/statistikpublikationen/aktuelle_daten.pdf
[6] https://www.heise.de/tp/article/Rentenluecke-bei-Frauen-Warum-Altersarmut-oft-weiblich-ist-10699256.html
[7] https://www.ruv.de/altersvorsorge/gender-pension-gap
[8] https://de.statista.com/statistik/daten/studie/1447393/umfrage/armutsgefaehrdungsquote-von-senioren-nach-geschlecht/
Copyright © 2026 Heise Medien
AirPods Max 2 mit Nutzerin: Bis zum ersten echten Upgrade hat es gedauert.
(Bild: Andreas Wodrich / heise medien)
Neuer Chip, neue Funktionen – doch beim ANC und Design bleibt vieles gleich. Unser Test zeigt, wo die neuen Hörer besser sind.
Fetter Sound, starke Geräuschunterdrückung und edle Verarbeitung: Die AirPods Max [1] [1] begeisterten bei ihrem Debüt, spielten im Handel aber eher die Hintergrundmusik.
Nach über fünf Jahren bringt Apple seine teuersten Kopfhörer technisch auf den neuesten Stand – sichtbar verändert hat sich dabei fast nichts. Der Hersteller ergänzt Funktionen aus den AirPods Pro – doch machen sie bei Over-Ears wirklich einen Unterschied?
Wir haben die 580 Euro teuren Hörer (ab 560,90 €) [2] (ab 560,90 €) [2] vor Verkaufsstart getestet, die Unterschiede systematisch vermessen und im Alltag geprüft – vom Klang bis zur Latenz. Im Detail zeigt sich: Die Änderungen betreffen vor allem Software und Feinabstimmung – mit sehr unterschiedlichem Nutzen.
URL dieses Artikels:
https://www.heise.de/-11241507
Links in diesem Artikel:
[1] https://www.heise.de/tests/Luxushoerer-AirPods-Max-im-Test-5040105.html
[2] https://preisvergleich.heise.de/apple-airpods-max-2-midnight-a3760206.html?ccpid=hocid-mac-and-i&cs_id=1206858352
Copyright © 2026 Heise Medien
tvOS 26: Apple passt vorsichtig an – und streicht auch mal etwas.
(Bild: Apple)
In der jüngsten Version von tvOS schraubt Apple an den verfügbaren Apps, der Bedienung und mehr.
Wer sich in den vergangenen Tagen die neue Version 26.4 [1] des Apple-TV-Betriebssystems eingespielt hat, wird beim Neustart von tvOS bemerkt haben, dass die Icons auf dem Homescreen plötzlich verschoben sind. Apple hat diese nicht einfach zufällig an einer anderen Stelle platziert – der Grund ist ein anderer: Mehrere Apps, die es seit Jahren für die Multimediabox gab, wurden mit der Aktualisierung gestrichen. Die ab sofort fehlenden Standardprogramme sorgen nun dafür, dass die vom Nutzer installierten Apps nach vorn rutschen.
Gelöscht hat Apple zwei Programme [2]: Die jeweils als eigene App verfügbaren TV-Serien innerhalb von iTunes sowie die Filme-App für iTunes. Die (sehr) alten Anwendungen dürften seit längerem nur noch wenige Nutzer gehabt haben. Die Inhalte selbst sind aber nicht weg: So kann man Serien und Filme nun (und eigentlich schon zuvor) über die TV-Anwendung kaufen, dort zudem auch (ebenfalls seit längerem) auf erworbene oder gemietete Inhalte zugreifen.
Allerdings ist das Auffinden etwas weniger bequem als zuvor, Nutzer müssen sich also umstellen. Indirekt davon betroffen ist auch die alte iTunes-Wunschlistenfunktion [3], die Apple mit tvOS 26.4 und Co. gänzlich entfernt hat. Betroffene bekamen eine E-Mail mit ihren Daten, wenn auch reichlich unbequem als PDF-Dokument.
Neben der kleinen Streichorgie hat Apple in tvOS 26.4 auch neue Features hinzugefügt. Dazu gehört das sogenannte Genius-Browsing in der TV-App. Darüber ist es möglich, in verschiedenen Inhaltekategorien zu stöbern, um leichter passendes Serien- und Film-Material aufzufinden. Die Einträge sind personalisiert und werden regelmäßig aktualisiert.
Neu ist auch die Möglichkeit, Textgröße und Erscheinungsbild von Untertiteln in der TV-App zu konfigurieren, ohne dass man die Einstellungen öffnen müsste. Verwenden Apps Apples Standard-Player, ist dies dort ebenfalls möglich. Schließlich gibt es in tvOS 26.4 einen Bugfix für Unterbrechungen bei der Tonwiedergabe, wenn unterschiedliche Formate verwendet werden oder man die Wiedergabe anhält. Dazu sollte man unter den HDMI-Wiedergabeoptionen „kontinuierliche Audioausgabe“ anklicken.
URL dieses Artikels:
https://www.heise.de/-11226501
Links in diesem Artikel:
[1] https://www.heise.de/news/iOS-26-4-ist-da-Diese-Neuerungen-bringen-die-Apple-Updates-11223122.html
[2] https://www.heise.de/news/tvOS-26-4-Beta-Audio-Verbesserungen-und-iTunes-Apps-verschwinden-11181605.html
[3] https://www.heise.de/news/iTunes-Wunschliste-Apple-loescht-das-Feature-jetzt-ganz-11173723.html
[4] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[5] https://www.heise.de/mac-and-i
[6] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
Siri auf verschiedenen Geräten: Seit bald zwei Jahren verspricht Apple eine kontextsensitive Assistentin, die Umsetzung fehlt.
(Bild: Apple)
Die erste Beta von iOS 26.5 ist da, von einer verbesserten Sprachassistenz zeigt sich aber weiter nichts. In China ging Apple unterdessen zu forsch vor.
Erneut schlechte Nachrichten aus und für Apples KI-Abteilung [1]: Die Einführung von Apple Intelligence in China [2] ist ohne Lizenz aus Peking verfrüht an den Start gegangen – und die lange erwartete kontextsensitive Siri ist weiterhin nicht am Start.
Apple Intelligence, seit Herbst 2024 in den USA verfügbar und seit Frühjahr 2025 auch in Europa, ist nach wie vor nicht für den chinesischen Markt freigegeben. Doch das hinderte ein Apple-Team nicht, das Feature ohne große Ankündigung dennoch freizugeben. Dabei soll es sich laut Bloomberg [3] um einen Fehler handeln.
Zwar sei die Technik „seit Monaten“ startbereit, doch fehlt es nach wie vor an der Zulassung durch die chinesische Regierung. Dennoch stellten User in dieser Woche fest, dass sie Apple Intelligence kurzzeitig auch in China aktivieren konnten. Mittlerweile hat Apple den Schalter samt entsprechender Dokumentation wieder entfernt, was glücklicherweise online geht. Der Konzern benötigt für die Umsetzung einen chinesischen Partner. Zu den Kandidaten zählt unter anderem der Internetriese Alibaba [4].
Bereits im Sommer 2024 hatte Apple auf der Entwicklerkonferenz WWDC im Rahmen der Vorstellung von Apple Intelligence [5] mitgeteilt, dass man im Herbst des Jahres eine verbesserte Siri auf den Markt bringen wolle. Die wurde dann sogar im amerikanischen Fernsehen [6] beworben: Eine Assistenz, die unter anderem den Kontext des Nutzers versteht und sich beispielsweise an vergangene Chats oder Termine erinnert. Umgesetzt wurden diese Features hingegen nie, obwohl Apple im Sommer 2025 betonte, es handelte sich nicht um heiße Luft [7]. Eine Umsetzung mit iOS 26.4, die eigentlich erwartet worden war, fand dann jedoch nicht statt [8]. Nun liegt seit gestern Abend die erste Beta von iOS 26.5 vor – und sie enthält keine neue SIri. Ob Apple sie sich für spätere Betas vorbehält, bleibt unklar.
Denkbar ist allerdings, dass der Konzern nun ganz auf eine Umsetzung neuer Siri-Features erst mit iOS 27 [9] denkt. Für dieses Update ist offenbar erstmals die Integration eines Google-Gemini-basierten Chatbots [10] angedacht. Für iOS 26, das mittlerweile in einem fortgeschrittenen Entwicklungszyklus ist, war neben der kontextsensitiven Siri auch das Auslesen von Bildschirminhalten und das Steuern von Apps vorgesehen.
URL dieses Artikels:
https://www.heise.de/-11241315
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Vom-KI-Pionier-zum-Schlusslicht-Warum-Apple-Intelligence-da-steht-wo-es-steht-11186699.html
[2] https://www.heise.de/news/Apple-Intelligence-in-China-Ab-Mitte-des-Jahres-und-mit-Zensur-10282676.html
[3] https://x.com/markgurman/status/2038701276699967554
[4] https://www.heise.de/news/Apple-Intelligence-Weiter-warten-auf-China-10635495.html
[5] https://www.heise.de/ratgeber/22-Tipps-zu-iOS-18-4-Apple-Intelligence-auf-iPhones-in-Deutschland-10329236.html
[6] https://www.heise.de/news/Werbung-fuer-verschobenes-Siri-Feature-Apple-in-den-USA-verklagt-10323999.html
[7] https://www.heise.de/news/Apple-Softwarechef-Kontextsensitive-Siri-war-keine-Vaporware-10440967.html
[8] https://www.heise.de/news/Apple-nimmt-zu-neuerlicher-Siri-Verzoegerung-Stellung-11175571.html
[9] https://www.heise.de/news/iOS-27-Apple-erwaegt-Siri-App-und-Siri-fragen-Knopf-11224654.html
[10] https://www.heise.de/news/Kuenstliche-Intelligenz-von-Apple-Siri-als-echter-Chatbot-und-KI-zum-Anpinnen-11150015.html
[11] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[12] https://www.heise.de/mac-and-i
[13] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
In Teil zwei erzählt uns der vietnamesische Hacker, wie er zum Datenhändler wurde und dann für das falsche Verbrechen im Gefängnis gelandet ist.
Dies ist der zweite Teil von „Hieu - vom Darknet zum Datendealer", der wilden Geschichte des Hackers Hieu. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „HIEU“ [1].
Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert [2] werden.
JACK (Intro): Im ersten Teil lernt Hieu in Vietnam das Darknet kennen [3] und entwickelt sich schnell zu einem äußerst begabten Hacker. Zunächst ist er euphorisch und geradezu idealistisch unterwegs, er lernt online andere Hacker kennen, eignet sich Wissen über diese geheime und faszinierende Welt an und teilt sein Wissen auch gerne. Doch bald schon entdeckt er einfache Wege, um an Kreditkarten und damit an echtes Geld zu kommen. Sein Einstieg in die Kriminalität. Als sich das Kreditkartengeschäft als zu riskant entpuppt, entdeckt er den lukrativen Handel mit Identitäten von US-Bürgern für sich. Fortan entert er die Seiten von Datenhändlern, um dort Identitäten zu stehlen und sie dann weiterzuverkaufen.
HIEU: In den Jahren von 2010 bis 2012 hab ich etwas mehr als drei Millionen US-Identitäten verkauft.
JACK: Okay, wenn ich das mal eben nachrechne ....drei Millionen Suchen, vierzehn Cent pro Suche; das sind 420.000 Dollar, die er insgesamt an den Datenhändler "Court Ventures" gezahlt hat. Ne Menge Geld, die Court Ventures an ihm verdient hat. Das war für ihn in Ordnung, denn er machte ja ... über 2,5 Millionen Dollar Gewinn. Unglaublich.
HIEU: Im Jahr 2011 habe ich die Schule abgebrochen. Ich habe nicht mehr studiert und die Universität nicht abgeschlossen, weil ich dachte, Mann, ich verdiene eine Menge Geld. Jeden Monat verdiente ich bis zu 120.000 Dollar.
JACK: Wofür hast du das Geld ausgegeben, das du bekommen hast?
HIEU: Damals war ich zu jung, zu dumm. Ich habe viel Geld für dumme Sachen ausgegeben, für Fünf-Sterne-Hotels und Business Class. Ich habe viel Geld für dumme Dinge ausgegeben, und ich habe viel Geld für Autos und Luxusartikel verschwendet.
JACK: Was für ein Auto hattest du?
HIEU: Ich hatte drei verschiedene Autos, zwei Sportwagen. Einer davon war ein BMW, das Cabrio, und ein anderer war ein komplett getuntes Auto, so ein vollkommen individualisiertes, dass ich nicht einmal weiß, was für ein Auto das war, aber ich erinnere mich, ich habe das Auto bei einem Wettbewerb für gut getunete Autos angemeldet und auch einen Preis gewonnen. Weißt du, ich habe so viel Geld für dieses Auto ausgegeben, es umgebaut und getuned. Das andere Auto, das ich hatte, war ein Luxusauto, ein Lexus.
JACK: Was haben deine Eltern gedacht, wo das all das Geld herkommt?
HIEU: Ich habe sie angelogen; ich habe ihnen erzählt, ich arbeite für eine internationale Bank in den USA, und sie haben mich angeheuert, um das System zu schützen und auch ihre Website zu bauen. Weißt du, all solche Lügen. Wenn ich Leute in meinem Alter traf, sogar Leute, die ich auf der Straße traf und sie mich fragten, warum ich so reich bin. Ich habe sie angelogen, weil meine Familie keine wohlhabende Familie war. Sie haben alles für mich getan. Deshalb. Also habe ich irgendwie – ich hab alle mit verschiedenen Geschichten belogen, weißt Du? Dann war irgendwie auch sehr anstrengend.
JACK: Die Leute, die deine Seite benutzt haben – weißt du, warum sie da andere Leute gesucht und dafür Geld gezahlt haben? Was war der Sinn dahinter?
HIEU: Gute Frage. Die Antwort darauf ist, dass ich mir damals nicht viel Gedanken darüber gemacht habe, wie sie diese Informationen nutzten. Alles, was ich weiß, ist, dass sie sie vielleicht benutzten, um sich als jemand auszugeben oder um die Authentifizierung von Kreditkartentransaktionen zu umgehen, was auch immer. Das war alles, was ich wusste.
JACK: Jahrelang ging das so. Er konnte vieles davon automatisieren, so dass er nur ein paar Stunden pro Woche arbeiten musste, um alles am Laufen zu halten. Das Leben lief großartig für ihn.
HIEU: Schließlich wurde Court Venture von Experian übernommen.
JACK: Durchaus interessant. Experian kaufte im Dezember 2011 Court Ventures. Experian ist eine der drei großen Kreditauskunfteien in den USA. Sie erstellen für jeden erwachsenen US-Bürger eine Kreditwürdigkeitsprüfung. Vermieter und Kreditinstitute prüfen also eure Kreditwürdigkeit, bevor sie mit euch Geschäfte machen. Experian war so begeistert von den Daten, die Court Ventures über Menschen hatte, dass sie das Unternehmen einfach komplett kauften. Ich konnte nicht herausfinden, wie hoch der Kaufpreis für die Daten von 200 Millionen US-Bürgern war, aber ich stelle mir vor, es waren mehrere Millionen Dollar. Nachdem Experian Court Ventures gekauft hatte, kontaktierte der Secret Service Experian und meinte „Die Firma, die ihr da gerade gekauft habt, tja, wir haben Grund zu der Annahme, dass sie Daten an jemanden weitergeben, der sie illegal an Kriminelle weiterverkauft.“ Experian war schockiert, Court Ventures hatte ihnen das im Kaufvertrag nicht gesagt. Experian löschte dann Hieus Konto und kooperierte mit dem Secret Service. Nebenbei verklagten sie Court Ventures, weil die nicht früher Maßnahmen ergriffen hatten. Und der Secret Service, der hatte nun Hieu im Visier.
HIEU: Eine der gerichtlichen Anfragen vom US Secret Service betraf den Status meines Kontos, des gefälschten Kontos. Schließlich sperrten sie mein Konto bei Court Venture.
JACK: Sie sperrten sein Konto vollständig, aber dafür hatte er ja einen Notfallplan. Er hatte ein zweites Konto, nicht eines, das er erstellt hatte, sondern eines, dessen Passwort er gestohlen hatte, das Konto also von jemand anderem. Das konnte er nutzen, um weiterhin Suchen durchzuführen. Aber er hatte nicht mehr den API-Zugang, mit dem er das automatisieren konnte.
HIEU: Das gehörte auch zu einem der US-Datenhändler. Es hieß ussearchingfor.com oder so ähnlich. Ich erinnere mich nicht mehr. Es ist ein langer Name. Aber wie auch immer, von dieser Firma bekam ich eines der Konten durch einen Phishing-Angriff, und das nutzte ich, um manuell Identitäten für all die Leute zu suchen, die den Dienst noch brauchten.
JACK: Er wollte unbedingt wieder eine API-Verbindung zu Court Ventures. Diese manuelle Suche kostete einfach viel zu viel Zeit, er schrieb ihnen dann E-Mails: „Hey, warum habt ihr meine API-Verbindung abgeschaltet? Ich brauche die zurück.“ Was er nicht wusste, war, dass der Secret Service bereits gegen ihn ermittelte und es dann deren Mitarbeiter waren, die auf seine E-Mails antworteten.
HIEU: Sie dachten sich eine Geschichte aus, dass sie mir eine gute API-Verbindung nicht nur zu den US-Identitätsdaten, sondern auch zu den britischen Identitätsdaten anbieten würden. Ich dachte: „Wow, das ist ein gutes Geschäftsangebot, zu gut, um wahr zu sein“, aber zu dieser Zeit war ich einfach vom Geld geblendet. Ich sagte: „Okay, das sieht gut aus.“ Aber ich hatte das Gefühl, dass etwas Verdächtiges vor sich ging, etwas stimmte nicht.
JACK: Es gab anscheinend noch'n anderen Typen, der dasselbe tat wie Hieu, ebenfalls Daten von Datenhändlern weiterverkaufen. Er tat das von Großbritannien aus, der Secret Service erwischte ihn aber, woraufhin der Typ dann dem Secret Service half, andere Leute zu kriegen, die dasselbe taten. Die dann kommende Kommunikation war es, die ihm, vor allem im Nachhinein, seltsam vorkam. Hieu hatte dann nämlich, ohne sein Wissen, sowohl mit dem Secret Service zu tun, einem Agenten namens Matt O'Neill, als auch mit dem Mann aus Großbritannien namens Mark, der beim Weiterverkauf von Identitäten erwischt worden war.
HIEU: Sein Name ist Mark. Er kommunizierte weiterhin mit mir per E-Mail und rief mich sogar an – ich erinnere mich, damals über Skype. Sie sagten, sie wollten, dass ich in die USA fliege, auch nach Australien, nach Hawaii. Ich sagte: „Nein, da will ich nicht hin.“ Aber Matt O’Neill und Mark arbeiteten zusammen und lockten mich nach Guam.
JACK: Sie meinten zu ihm, wenn er sie in Guam treffen würde, könnten sie ihm alles ohne Probleme geben, was er für seinen API-Zugang bräuchte. Sie dachten sich ne passende Geschichte dazu aus, warum sie ihn dafür persönlich treffen müssten, die ging in etwa so, dass der oberste Boss ihn unbedingt treffen möchte, denn er ist ja einer der besten Kunden, und dann könnten sie feierlich und gemeinsam den neuen Vertrag direkt vor Ort unterzeichnen.
HIEU: Dann können wir eine große Party schmeißen, weißt du? Wir können zusammen Spaß haben und dann kannst du zurück nach Vietnam fliegen. Alles gut.
JACK: Hieu ist dann einverstanden und beschließt, tatsächlich nach Guam zu fliegen, das in der Nähe von Südostasien liegt. Es ist wohl für sie die nächstgelegene Option, denkt er, und es scheint sicher zu sein.
HIEU: Ich habe keine Nachforschungen über Guam angestellt. Ich dachte, es ist nur eine Insel. Kümmert niemanden. Ich habe gehört, dass auch einige Vietnamesen dort leben. Vielleicht ist es in Ordnung. Wenn es ein Problem gibt, werde ich mit meinen Leuten reden und um Hilfe bitten. Dann kaufte ich ein Ticket und flog mit meiner Schwester nach Guam, weil mein Englisch damals nicht so gut war, und ich ging mit ihr zusammen dorthin. In dem Moment, als ich am internationalen Flughafen landete, eskortierten sie mich zum US-Zollamt. In diesem Moment, in genau diesem Moment, spürte ich, Mann, irgendwas ist hier faul. Dann sagten sie mir: „Setz dich, Hieu. Wir wollen kurz mit dir reden.“ Ich war so nervös. Ich zitterte, Mann. Es war ein Schock. Ich dachte mir, irgendetwas stimmt hier nicht.
HIEU: Sie legten einen Stapel Papier hin – ich erinnere mich, vielleicht 25 Zentimeter dick, sehr dicke Ordner, und sie sagten mir: „Wir wissen über dich Bescheid. Wir wissen alles über dich, vielleicht mehr, als deine Familie über dich weiß.“ [Musik] In diesem Moment dachte ich, Mann, es ist vorbei, es ist vorbei, und das war's. Ich fühlte mich, als wäre ich gerade noch auf dem Gipfel der Welt, und jetzt lebte ich in der Hölle. Das war's. Sie schickten mich danach ins Gefängnis in Guam, und sie schickten meine Schwester zurück nach Vietnam. Ich sagte dem Staatsanwalt und dem Agenten des US Secret Service: „Meine Schwester hat damit nichts zu tun. Es geht nur um mich.“ Also ließen sie meine Schwester frei, und ich blieb etwas mehr als zwei Monate im Gefängnis in Guam, und dann schickten sie mich zurück aufs Festland, das US-Festland, in viele verschiedene Gefängnisse. Sie schickten mich nach Hawaii, nach Los Angeles, Nevada, sie schickten mich nach Oklahoma, New Jersey, dann nach New York und dann nach New Hampshire.
JACK: Dort sollte sein Fall verhandelt werden, das war dann also sein vorerst letzter Halt. Er saß da während des gesamten Rechtsstreits im Gefängnis. Offenbar fand sein Prozess vor allem deshalb dort statt, weil der zuständige US-Staatsanwalt in New Hampshire wohnte. Zu seiner Festnahme hat er rückblickend ein paar Theorien. Erstens ginge die hauptsächlich auf auf Brian Krebs zurück, ein Cybersicherheitsjournalist, der einen Artikel darüber schrieb, wie Kriminelle im Darknet nach Leuten suchen können, und Hieus Website wird darin aufgeführt. Hieu glaubt, dass der Secret Service da wahrscheinlich zum ersten Mal von seiner Website erfahren hat.
Zweitens hat er bei seiner Website wohl'n paar Fehler gemacht. In der ersten Woche nutzte er einen Hosting-Anbieter, registrierte sich jedoch unter seinem richtigen Namen. Später änderte er die Registrierung auf einen anonymen Namen, aber die früheren Einträge sind weiterhin sichtbar. Dann hatte er noch seine persönliche E-Mail-Adresse als Kontaktdaten auf der Website angegeben.
Durch diese Fehler hätte man Hieu leicht aufspüren können. Ich glaube auch, dass der Secret Service wahrscheinlich seine Website genutzt, einige Suchanfragen zu Personen durchgeführt und dann versucht hat, diese mit den Protokollen von Court Ventures abzugleichen, um genau herauszufinden, welchen Nutzer Hieu für seine Website verwendet hat.
Aber eigentlich war er sich die ganze Zeit nicht wirklich sicher, warum er verhaftet wurde. Er bezahlte die Suchen vollständig. Wo ist hier der Betrug? Wo das Verbrechen? Wofür die Leute seine Seite nutzten erfuhr er erst nach seiner Verhaftung, sagt Hieu.
HIEU: Das Bundesgericht hat mir gesagt, dass die Informationen, die ich gestohlen und an andere Leute verkauft habe, die wurden für Steuererklärungen verwendet. Das war mir Neu. Das wusste ich nicht, Steuererklärungen. Dann habe ich herausgefunden, was eine Steuererklärung ist, und es ist sehr ernst.
JACK: Die Leute gingen auf Hieus Seite, um jemanden nachzuschlagen, alle seine Daten zu bekommen und dann zu versuchen, die Steuern für diese Person einzureichen. In den USA wird das ganze Jahr über Steuern an den Staat gezahlt, und normalerweise zu viel, sodass die Leute dann zu einem bestimmten Zeitpunkt ne hohe Rückerstattung bekommen. Viele Amerikaner erhalten also jedes Jahr einen Scheck über 'n paar tausend Dollar, weil sie zu viel Steuern gezahlt haben. Kriminelle wissen das, also reichen sie Steuererklärungen für andere Leute ein und geben dort an, dass sie berechtigt seien eine Rückerstattung von, sagen wir, 2.000 Dollar zu erhalten.
Dann bearbeitet die IRS, die Steuerbehörde, die Steuererklärung, schaut sie sich an, meint, dass sie legitim aussieht und schickt dieser Person einen Scheck über z.B. 2.000 Dollar.
Als die echte Person dann ihre Steuern einreichen will, sagt die IRS: „Oh, nein, nein, nein, Sie haben das schon ausgefüllt, und wir haben Ihnen bereits einen Scheck geschickt.“ Und plötzlich tauchen ne Menge US-Amerikaner auf, die sagen: „Nein,nein, habe ich überhaupt noch nicht getan. Ich will mein Geld!“
Ja, das Ganze entpuppte sich als ne ziemlich große Sache. Und der Secret Service untersuchte es dann, weil Hieus Personensuchmaschine daran beteiligt war, Kriminellen zu helfen, viele US-amerikanische Bürger zu betrügen. Anscheinend gab es in New Hampshire allerhand Leute, denen jemand ihren Steuerrückerstattungsscheck gestohlen hatte.
HIEU: Weißt du, ich hatte so viele Informationen, und dann wurden daraus Tausende und Abertausende von Opfern in New Hampshire.
JACK: Okay, da ist das jenes Wort - Opfer. Wir haben ein Opfer gefunden, die Menschen in New Hampshire, die ihre Steuerrückerstattungen nicht bekommen haben. Ja, na klar, sie sind Opfer von Identitätsdiebstahl. Aber normalerweise sieht die IRS das auch so und gibt ihnen dann ihr Geld - was im Grunde bedeutet, dass zwei Rückerstattungsschecks für die selbe Person ausgestellt werden. Das macht die IRS zum Opfer. Aber dann könnte man sagen, nein, der eigentliche Geschädigte ist der US-Steuerzahler, denn das ist Geld, das einfach verloren ist. Und es macht mich irre, wie viel Geld die IRS jedes Jahr auf diese Art verliert. Jedes einzelne Jahr gibt die IRS Milliarden von Dollar an Kriminelle aus, die Betrug mit Steuerrückerstattungen begehen.
Was waren deine Anklagepunkte? ich habe immer noch keine Ahnung, wessen du eigentlich schuldig bist.
HIEU: Ja; eigentlich kannst du das alles in den US-Gerichtsakten nachlesen.
JACK: Okay, gut, das mach ich hiermit: Er wird hier in drei Punkten angeklagt. Alle drei sind Verstöße gegen den Computer Fraud and Abuse Act, kurz CFAA - das wichtigste US-Bundesgesetz gegen Cyberkriminalität.
Der erste Punkt besagt konkret, dass er einen Datenhändler auf unerlaubte Weise genutzt hat. Es verstößt gegen deren Nutzungsbedingungen, nach denen es nicht erlaubt ist, a) die Daten zu denen man Zugang erhält, weiterzuverkaufen und b) sich als jemand anderes auszugeben, um ein Konto zu erhalten, und das hat er getan. Er hat eindeutig gegen die Nutzungsbedingungen verstoßen, und laut Secret Service wird er dafür ins Gefängnis müssen, wegen unbefugten Zugriffs, was vermutlich bedeutet, dass er sich als autorisierter Nutzer ausgegeben hat, was gegen die Nutzungsbedingungen verstößt.
Wisst ihr eigentlich, dass wir alle und ständig gegen die Nutzungsbedingungen von Webseiten verstoßen? Wenn Ihr beispielsweise jemandem euern Spotify- oder Netflix-Login verwenden lasst, ist das derselbe Verstoß, nämlich unbefugter Zugriff. Hieu wird wegen solcher Dinge angeklagt.
Beim zweiten Punkt heißt es hier: dass er durch die Verletzung seines Zugriffsrechts persönlich Geld verdient hat, und der dritte Punkt ist, dass es sich dabei um mehr als 5.000 Dollar handelte.
Alle drei Punkte sind also Verstöße gegen den CFAA, und es macht mich wahnsinnig, dass es ein Bundesverbrechen ist, wenn man gegen die Nutzungsbedingungen einer Website verstößt. Ich verstehe nicht, warum es nicht einfach ne zivilrechtliche Angelegenheit ist - ein Problem zwischen einem Nutzer und der Website. Warum ist es ein Bundesverbrechen? Ich meine, die Website hat Grund, den Zugang zu entziehen, zu sperren und sogar wegen Verstoßes gegen ihre Nutzungsbedingungen zu klagen - aber ne Gefängnisstrafe? Das geht meiner Meinung nach zu weit. Aber so ist es nun einmal. Es ist ein Bundesverbrechen, gegen die Nutzungsbedingungen einer Website zu verstoßen.
Ich würde meine Pflicht vernachlässigen, wenn ich in diesem Zusammenhang nicht Aaron Swartz erwähnen würde. Aaron war Student am MIT und hatte als solcher über eine Plattform namens JSTOR Zugang zu wissenschaftlichen Forschungsarbeiten.
Er dachte, diese Informationen seien so wertvoll für die Welt, dass er sie heruntergeladen hat und kostenlos veröffentlichte. Die Welt sollte von dieser akademischen Forschung wissen, nicht exklusiv die Universitätsstudenten. Aber JSTOR war stinksauer. Sie riefen die Bundesbehörden wegen Aaron an, weil er gegen ihre Nutzungsbedingungen verstoßen hatte, und das Justizministerium klagte ihn in dreizehn Fällen an, und ihm drohten 35 Jahre Gefängnis. Sie sagten ihm, ey, wenn du'n Deal eingehst, kommst du wahrscheinlich nur sechs Monate im Gefängnis sitzen. Aber Aaron wollte absolut kein Verbrechen in seiner Akte haben, ein Verbrechen wegen Verstoßes gegen die Nutzungsbedingungen und er lehnte ab. Der Druck wurde schließlich zu groß für Aaron und er nahm sich das Leben.
Danach sagten die Politiker: „Moment mal, warum steht im CFAA, dass unbefugter Zugriff auf eine Website ein Bundesverbrechen ist? Menschen sterben deswegen. Es sollte kein Bundesverbrechen sein, bloß weil man gegen die Nutzungsbedingungen einer Website verstoßen hat.“ Also wurde „Aaron's Law“ vorgeschlagen, das eine Änderung des CFAA fordert, um eben zu verhindern, dass das ein Bundesverbrechen ist. Leider wurde das Gesetz nicht verabschiedet. Merkt ihr, dass ich den CFAA hasse? Ich bin darüber so verärgert, weil zum einen diese Datenhändler Daten über uns ohne unsere Erlaubnis sammeln - sie sollten als diejenigen bezeichnet werden, die illegale Dinge tun. Zum anderen verkaufen sie diese Daten für vierzehn Cent pro Abfrage. Hieu, du verkaufst sie…
HIEU: Sehr billig.
JACK: …für einen Dollar pro Abfrage. Ja, also…
HIEU: Richtig.
JACK: Das Einzige, was hier stattfindet ist, dass du einen Aufpreis berechnest und mehr Menschen Zugang verschaffst. Es sind dabei ja nichtmal wirklich gestohlene Daten. Man bezahlt tatsächlich für die Daten, während man sie nutzt, und na klar, der unbefugte Zugriff ist ein Verstoß gegen den CFAA, und ich kann nachvollziehen, dass das gesagt wird, aber ich bin frustriert darüber, weil du hast in den USA ja keine Geldwäsche betrieben. Wenn sie also behaupten, du hättest dort Geldwäsche betrieben, ist das einfach nicht wahr. Du hast das in...
HIEU: Ich weiß.
JACK: …Vietnam getan. Ich bin nur frustriert in deinem Namen.
HIEU: Richtig. Ich weiß, aber die Sache ist, wie sie ist. So hat es funktioniert. Auch der Schadensbetrag, den sie in meinem Fall angesetzt haben, ist sehr hoch, über 60 Millionen US-Dollar.
JACK: Die Staatsanwälte sagten also, er habe einen Schaden von 60 Millionen Dollar verursacht. Natürlich erklärten sie dabei nicht, wie sie überhaupt auf diese Zahl kommen. Es ist ja auch quasi unmöglich, drei Millionen Suchanfragen auf Hieus Seite durchzugehen und diese dann mit den Identitätsdiebstahlsverbrechen zu verbinden, die bei diesen Personen stattfanden, und dann daraus den erzielten Geldbetrag zu errechnen.
Wie auch immer, all das war ja aus zweiter Hand. Nichts von dem gestohlenen Steuergeld hat Hieu erbeutet. Sie haben wahrscheinlich einfach eine Zahl erfunden, obwohl er nicht derjenige ist, der den Identitätsdiebstahl und den Steuerbetrug begangen hat. Es ist also absolut ärgerlich, dass behauptet wird, er sei für all den Schaden verantwortlich. Ja, Hieu ist ein Krimineller. Er ist hier der Bösewicht, okay?, ich versuche nicht zu sagen, dass er hätte davonkommen sollen. Er hat das Gesetz gebrochen, absolut.
Was ich nur sage ist, dass es das falsche Gesetz ist, um ihn anzuklagen, und ich hasse es, wenn der CFAA derartig verwendet wird. Sie versuchten zu argumentieren, er sei auch wegen Geldwäsche in Schwierigkeiten, aber er hat ja keine seiner Geldwäscheaktivitäten in den USA durchgeführt. Ich bin mir nicht sicher, ob das überhaupt durchgeht.
Aber keine der Anklagen bezog sich auf die Kreditkarten, die er gestohlen oder geleert hatte, all die Seiten, in die er damals eingedrungen war. Es gibt nichts über all die Konzertkarten, die er gekauft und dann im Grunde all diese Leute betrogen hat. Das sind einfache Anklagen, die man ihm hätte anhängen können, aber sie fehlen hier komplett. Es gibt ein Gesetz gegen Identitätsdiebstahl, aber es wäre schon urkomisch, wenn sie ihn dafür anklagen würden, da das ja das ganze Geschäftsmodell von Datenhändlern ist, oder?
Jeden Tag arbeiten sie daran, so viele Identitäten wie möglich zu sammeln, ohne jedermanns Erlaubnis!, und sie dann zu verkaufen. Nicht nur das; er hat die Identitäten nicht gestohlen. Er hat für sie bezahlt. Der Diebstahlsaspekt wäre also auch fraglich.
Meiner Meinung nach wäre das Verbrechen, für das sie ihn wohl hätten anklagen können, dass er wissentlich Kriminellen bei der Begehung von Straftaten geholfen hat. Also Beihilfe und Anstiftung und Verschwörung, so etwas in der Art. Hieu wusste, dass seine Seite von Kriminellen genutzt wurde, und sie waren seine Lieblingskunden, weil sie für Unmengen von Suchen bezahlten. Er bediente sie also, machte es ihnen einfacher und besser, seine Seite zu nutzen. Während er also selbst keinen Steuerbetrug beging, half er vielen Leuten dabei. Aber er wurde nicht wegen Beihilfe und Anstiftung angeklagt.
Er wurde angeklagt, weil er die Nutzungsbedingungen eines Datenhändlers verletzt hatte, indem er sich als jemand anderes ausgab, um dort ein Konto zu bekommen. Aber das Ding ist, die Bundesbehörden hätten es viel schwerer gehabt zu beweisen, dass seine Website für kriminelle Zwecke bestimmt war, verglichen mit einem einfachen CFAA-Verstoß, für den man jemanden leicht verurteilen kann. Wie ich ja schon sagte, wir verstoßen alle den ganzen Tag, jeden Tag gegen den CFAA.
Ich glaube, die Bundesbehörden haben ihn mit dem falschen Verbrechen angeklagt, weil es für sie ein fast garantierter Sieg war - anstatt ihn mit dem richtigen Verbrechen anzuklagen und dann Schwierigkeiten zu haben, Sachen zu finden, die das beweisen. Übrigens, während die Bundesbehörden sagten, er habe einen Schaden von 60 Millionen Dollar verursacht, hat niemand eine Entschädigung gefordert. Keiner der Datenhändler sagte, er habe ihnen Schaden zugefügt.
Wenn er also all diesen Schaden angerichtet hat, findet das Opfer und bringt es in den Fall mit ein. Denn wenn ich mir die Anklageschrift anschaue, fällt doch auf, dass es keinen einzigen Firmennamen oder Opfernnamen darin gibt. Natürlich nicht, denn die Datenhändler wollen sich vor euch verstecken. Das Einzige, was dort aufgeführt ist, ist „Firma A“, mit Hauptsitz in New Jersey, und es hieß, er habe eine SQL-Injection bei Firma A durchgeführt. Nun, mit ein wenig Recherche ist es ziemlich einfach herauszufinden, dass der Datenhändler in New Jersey, von dem sie sprechen, USInfoSearch ist, von dem Hieu tatsächlich Anmeldedaten gestohlen und die Seite genutzt hat, wenn auch nicht sehr viel. Es war so ein kleiner Ausrutscher in seiner Geschichte, dass es kaum erwähnenswert ist, und doch ist das die Firma, die sagte, er habe unbefugten Zugriff erhalten.
Aber passt auf, hier kommt jetzt der ganze Zusammenhang:
Court Ventures war Partner von USInfoSearch. Wenn du ein bezahlter Court-Ventures-Nutzer warst und jemanden nachgeschlagen hast, hatten sie eine Verbindung zu USInfoSearch, also bekamst du auch von denen Ergebnisse. Ich verbinde hier nur die Punkte, aber das klingt für mich so, als ob Court Ventures Datenhändlerinformationen weiterverkaufte, die sie von USInfoSearch erhalten hatten. Bestimmt haben sie bei jedem Deal mit USInfoSearch diese Daten zu einem höheren Preis an ihre eigenen Kunden verkauft. Versteht ihr meinen Punkt. Diese Geschichte ist ziemlich bizarr. Man könnte also sagen, diese in der Anklageschrift genannte Firma, USInfoSearch, war das Backend und lieferte Daten an Court Ventures, und es ist USInfoSearch, von dem die US-Regierung sagt, Hieu habe unbefugten Zugriff darauf gehabt und von diesem Zugriff profitiert.
Die Opfer, das sollen ja die Leute gewesen sein, deren Steuerüberschuss oder was auch immer gestohlen wurde, aber eigentlich sind die Opfer doch die, von denen du gestohlen hast, oder? Also LocatePLUS, MicroBilt und Court…
HIEU: Richtig, Court Venture.
JACK: …Das sind doch die, die du ausgeraubt oder angegriffen hast, und ich echt erstaunt – waren sie überhaupt Teil des Falls? Waren sie da und haben gegen dich ausgesagt oder lieferten Beweise?
HIEU: Nein, nein. Ich habe niemanden von diesen Firmen gesehen.
JACK: Ja, aber ich kann's nicht – ich frage mich – hattest du'n guten Anwalt?
HIEU: Ich habe für den Anwalt bezahlt. Ich habe fast mehr als – ich glaube, bis zu 700.000 Dollar ausgegeben.
JACK: Wow.
HIEU: Ja, für den Anwalt.
JACK: Der Anwalt hätte hier doch kämpfen müssen - ich mein, 60 Millionen Dollar angeblicher Schaden, obwohl das erfunden ist. Er hat die Informationen nur an jemand anderen weitergegeben, und jemand anderes hat den Schaden angerichtet. Er hat nie einen Steuerbetrug begangen. Man kann also nicht sagen, dass er derjenige ist, der Steuerbetrug begangen hat. Es ist, als ob ich dir ein Feuerzeug verkaufe und du nimmst dieses Feuerzeug und brennst damit ein Gebäude nieder. Ich bin nicht in Schwierigkeiten, weil ich dir das Feuerzeug verkauft habe. Die Person, die das Gebäude niedergebrannt hat, ist es.
HIEU: Das stimmt. Aber weißt du, damals haben mir viele Leute dasselbe gesagt. Ich hätte keinen Anwalt engagieren sollen. Ich hätte das Geld behalten sollen.
JACK: Ja.
HIEU: Aber weißt du, meine Familie war so besorgt und sie schauten im Internet nach; oh ja, das ist ein guter Anwalt, gute Bewertung, Fünf-Sterne-Bewertung, internationaler Anwalt, was auch immer, in New Hampshire, ein Profi. Ja, so war das. Ich erinnere mich, jedes Mal, wenn die Anwälte und sein Team mich trafen – jedes Mal kostete es mich 5.000 bis 10.000 US-Dollar. Eine E-Mail, die ich ihm oder dem Anwaltsteam schickte, kostete mich 200 oder 300 US-Dollar pro E-Mail.
JACK: Ich weiß, Anwälte sind so teuer.
HIEU: Ich weiß, sehr teuer. Wie gewonnen, so zerronnen. Also beschwere ich mich nicht wirklich darüber, denn am Ende des Tages ist es irgendwie schmutziges Geld.
JACK: Eine andere Sache, die mich an der ganzen Sache wirklich stört, ist, dass weder MicroBilt, LocatePLUS noch Court Ventures ihren Opfern jemals mitgeteilt haben, dass es einen Datenbank-Einbruch gab.
HIEU: Nein, sie haben nie etwas gesagt – selbst bis heute, ich suche nach ihnen und sie haben nie etwas darüber erwähnt, obwohl es ihnen wirklich passiert ist.
JACK: Entschuldigung, aber: Was sind das für Dreckskerle. Ich habe einfach kein Mitgefühl mit diesen Datenhändlern. Ich hasse sie echt. Sie nehmen meine Daten ohne meine Zustimmung. Ich kann mich nichtmal abmelden, wenn ich wollte. Und sie schützen sie nicht, und wenn sie bei einem Datenleck verloren gehen, haben sie nicht einmal den Anstand, mir zu sagen, dass meine Daten, die sie über mich gesammelt haben, abhandengekommen sind.
Hieu versuchte verzweifelt, seinen Anwalt dazu zu bringen, ihm zu helfen. Aber die Sache ist so, dass es eine 99%ige Verurteilungsrate gibt, wenn die Bundesbehörden dich mit einem CFAA-Verstoß belangen. In all den Fällen, in denen die Bundesbehörden jemanden eines CFAA-Verstoßes beschuldigten, konnte ich nur zwei oder drei Fälle finden, in denen der Angeklagte tatsächlich gewann. Der Rest waren Leute, die sich schuldig bekannten oder im Prozess für schuldig befunden wurden, und so waren die Chancen, dass Hieu davonkam, gleich null. Er versuchte, dagegen anzukämpfen, aber alles, was sie versuchten, wurde von den Gerichten immer wieder abgelehnt. Nach ein paar Jahren des Kampfes wurde Hieu müde und sein Geld wurde knapp.
HIEU: Meine Anwälte erklärten mir, dass ich den Prozess verlieren könnte. Ich könnte bis zu fünfundvierzig Jahre im Bundesgefängnis bekommen.
JACK: Fünfundvierzig Jahre?
HIEU: Ich hatte solche – richtig; ich hatte solche Angst. Alle Anklagepunkte zusammen – nicht nur aus New Hampshire, sondern auch aus New Jersey. Ich hatte also zwei Strafanzeigen aus New Hampshire und New Jersey. Sie wurden alle zusammengelegt, und sie sagten, das sind bis zu fünfundvierzig Jahre, wenn ich verliere. Meine Familie und ich hatten also solche Angst. Also haben wir uns auf einen Deal eingelassen und, ja, ich habe mich im Sommer 2015 schuldig bekannt.
JACK: Schuldig, schuldig, einen Schaden von 60 Millionen Dollar verursacht zu haben. Als dein Urteil anstand oder während des Deals, hast du da mal angeboten, das eingenommene Geld abzugeben, um die Strafe zu reduzieren? Wie lief das ab?
HIEU: Oh, ja. Meine Familie fragte sie auch – sie wollten das ganze Geld zurückgeben, aber sie sagten, nein, das brauchen sie nicht.
JACK: Wirklich?
HIEU: Ja. Sie brauchen kein Geld. Sie brauchen kein Vermögen. Sie brauchen nichts. So war das. Aber die Sache ist, weißt du, ich habe viel Geld für Anwälte ausgegeben, auch während meiner Haft, für Essen und Medikamente und solche Sachen.
JACK: Sie haben also nichts von deinem Geld, deinem Eigentum, deinen Autos oder irgendetwas genommen?
HIEU: Nein, nein. Das war ihnen egal. Es ist, als ob sie das nicht brauchen.
JACK: Sie wollen nur dich.
HIEU: Sie wollen nur mich.
JACK: Nachdem er sich schuldig bekannt hatte, wurde er zu dreizehn Jahren Gefängnis verurteilt, dreizehn Jahre für den unbefugten Zugriff auf Daten von Datenhändlern. An diesem Punkt frage ich mich, was wäre, wenn Hieu, anstatt auf die Daten von Datenhändlern zuzugreifen, um sie zu verkaufen, einfach sein eigenes Datenhändlergeschäft aufgebaut hätte, das für jedermann zugänglich ist? Wäre das illegal? Wenn Hieu zum Beispiel alle Daten aus dem Telefonbuch, alle Gerichts- und Bezirksakten kopiert und LinkedIn-Daten gesammelt hätte, um vollständige Profile von Millionen von Menschen zu erstellen – das sind alles öffentliche Informationen, oder? Das wäre für ihn nicht besonders schwer gewesen, denn er ist ein cleverer Kerl. Gibt es Gesetze, die er brechen würde, wenn er diese Daten verkaufen würde? Ich frage mich wohl, ob es Gesetze gibt, denen Datenhändler folgen müssen? Hm.
Okay, das hab ich nachschlagen. Grundsätzlich ja, es gibt Gesetze für Datenhändler, oft reguliert durch die einzelnen Bundesstaaten. Der Kern der Gesetze ist, dass Datenhändler nachweisen müssen, dass sie ihre Daten nicht an Kriminelle verkaufen.
Ähhh: Denkt an all die gefährlichen Haushaltsgegenstände, die wir wahrscheinlich alle haben - Teppichmesser, Hämmer, Streichhölzer, Feuerzeuge, Benzin, Bleichmittel. Das sind alles Dinge, die viel Schaden und Zerstörung anrichten können, oder? Doch wenn man sie kauft, überprüft der Laden nicht eure Absicht. Sie sagen nicht: „Hey, was hast du mit dem Teppichmesser vor? Du musst uns beweisen, dass du es für etwas Gutes verwenden wirst.“ Doch genau so behandeln Datenhändler ihre Kunden. Ihre Kunden müssen nachweisen, dass sie einen legitimen Grund haben, ihre Daten zu durchsuchen, und sie stehen auf der genehmigten Liste der „guten“ Leute.
Anscheinend reicht es für Datenhändler nicht aus, nur zu sagen: „Hey, ihr dürft das nicht für böswillige Absichten verwenden.“ Sie müssen jeden einzelnen Benutzer überprüfen, um zu verhindern, dass einer von ihnen die Daten böswillig verwendet. Die genehmigte Liste umfasst also Leute wie Strafverfolgungsbehörden, Vermarkter, Ermittler, Kreditagenturen, solche Leute. Diese Unterscheidung ist für mich sehr faszinierend. Datenhändler sind legal, aber nur, wenn sie ihre Daten an eine exklusive Gruppe von Leuten verkaufen. Das gefällt mir kein kleines bisschen. Dass es ein Geschäft gibt, das meine persönlichen Informationen kauft und verkauft, ist widerlich. Sucht euch einen besseren Job, okay? Aber mir gefällt auch nicht, dass sie ihre Daten nur an eine bestimmte Gruppe von Leuten verkaufen.
Nur Leute in einem exklusiven Club können meine Daten nachschlagen, ein Club, in den ich nicht reingelassen werde. Der Grund, warum Staaten Datenhändler regulieren, ist, dass wir alle mit Betrügern, Identitätsdieben und Stalkern überflutet würden, wenn jeder diese Datenbanken durchsuchen könnte. Aber für mich ist das nicht das Problem. Für mich ist das Problem, erstens, dass ich nicht einmal weiß, wie viele Daten diese Datenhändler über mich haben, und zweitens, dass ich nicht einmal weiß, wer meine Daten hat.
Wenn ich irgendwie den Stich und den Schmerz jedes Mal spüren könnte, wenn meine Privatsphäre verloren geht, würde ich meine Privatsphäre viel ernster nehmen. Ich weiß also, dass es wahrscheinlich Apps auf meinem Handy gibt, die gerade Echtzeit-Standortdaten an einen Datenhändler senden, und wenn jemand diese Daten nehmen und sehen würde, wo ich bin, und zu meinem Haus käme und an meine Tür klopfte, würde ich natürlich nicht aufmachen, weil ich nie meine Tür aufmache.
Aber ich stelle mir nur vor, wie sie ununterbrochen an die Tür hämmern, so nach dem Motto: „Hey, Jack, ich weiß, dass du zu Hause bist. Mach die Tür auf. Dein Telefon sendet mir gerade Echtzeit-Standortdaten.“ Ich würde sofort denken: „Warte, welche App sendet dir meine Standortdaten?“ Ich glaube, ein beängstigender Moment wie dieser würde mich absolut dazu zwingen, Apps zu deinstallieren, die mich verfolgen.
Meine gewagte These ist also, dass Stalker hier nicht das Problem sind. Es ist die obsessive Sammlung meiner Daten, die das Problem ist. Wenn sich Datenhändler öffnen und jedem erlauben würden, ihre Seite zu durchsuchen, wären wir alle viel privater und sicherer, weil wir alle riesige Schritte unternehmen würden, um unsere Privatsphäre viel ernster zu schützen.
Natürlich sagen die Datenhändler, dass sie unsere Privatsphäre ernst nehmen und Sicherheit ihre oberste Priorität ist. Ja, nun, bis sie es eben nicht mehr ist. Hieu ist ganz allein in vier verschiedene Datenhändler eingedrungen, und es sah nicht so aus, als wäre es für ihn so schwer gewesen. Es gibt eine Nachricht nach der anderen über gehackte Datenhändler. Der größte Fall war, als Equifax gehackt wurde. Wenn die Datenhändler so besorgt wären, dass ihre Daten in die falschen Hände wie Betrüger und Stalker geraten, dann sollen sie sie gar nicht erst sammeln. Denn wenn ich eines aus über 160 Folgen über Hacking gelernt habe, dann ist es, dass man irgendwann bei der Sicherung seines Netzwerks und seiner Daten scheitern wird. Es gibt keinen sicheren Weg, meine persönlichen Daten zu sammeln und zu speichern, geschweige denn zu verkaufen.
Die Regulierungsbehörden denken, dass die Verpflichtung der Datenhändler, jeden Benutzer zu überprüfen, Kriminelle daran hindert, auf die Daten zuzugreifen, aber offensichtlich greifen Kriminelle dennoch auf die Daten zu. Seit wann halten sich Kriminelle an Vorschriften? Also, alles, was die Vorschriften wirklich tun, ist, Leute wie euch und mich, normale Bürger, daran zu hindern, zu sehen, was da drin steht. Es gibt so wenige Leute, die wirklich verstehen, was in dieser Welt der Datenhändler vor sich geht, da sie gerne in den Schatten des Internets operieren und hart daran arbeiten, alle anderen im Dunkeln zu lassen.
Jack beschreibt hier die Situation in den USA. Ich bin Holger Bleich und schreibe für die c't unter anderem über das Thema Datenschutz. In der EU soll der Datenhandel mit der Datenschutzgrundverordnung, der DSGVO geregelt werden. Ein Schlupfloch, das sich darin bietet und das Datenhändler gerne nutzen, ist das sogenannte „berechtigte Interesse“. Laut DSGVO dürfen Unternehmen Daten sammeln, wenn sie dafür einen, so wörtlich, „guten Grund“ haben. Den dürfen die Unternehmen praktischerweise selbst beurteilen. Auf diesem Wege werden fleißig Daten gesammelt, die in Paketen gebündelt dann auf Marktplätzen landen und z.B. für Bewegungsprofile genutzt werden. Wer in den Cookie-Bannern auf „Alle akzeptieren“ klickt, erteilt stillschweigend die Zustimmung dafür.
Holger Bleich ist Co-Host des c't Datenschutzpodcasts "Auslegungssache [4]".
JACK: Hieu wurde 2015 verurteilt, was bedeutete, dass er 2026 rauskommen würde, da er zu diesem Zeitpunkt bereits zwei Jahre im Gefängnis verbracht hatte.
Dort im Gefängnis von New Hampshire lernte er Englisch und bildete sich auch in anderen Bereichen fort. Die Polizei fragte ihn, ob er seine Geschichte nicht mit anderen teilten könnte, um denen beizubringen, wie das Darknet funktioniert und all das, und: Hieu kooperierte, er erzählte seine Geschichte und tat alles, um sich selbst zu rehabilitieren und früher rauszukommen. Während er im Gefängnis saß, erreichte ihn aber eine Nachricht, die ihn wirklich niederschmetterte. Die Liberty-Reserve-Website wurde von den Bundesbehörden beschlagnahmt und der Besitzer gefasst.
HIEU: Ich habe in den Nachrichten gehört, dass er gefasst wurde.
JACK: Hieu hatte immer noch n eMenge Geld auf seinem Liberty-Reserve-Konto. Aber als die Seite beschlagnahmt wurde, beschlagnahmten sie auch das Geld. Wie viel hast du da verloren?
HIEU: Ich hatte dort etwas mehr als 300.000 Dollar gespart.
JACK: Wow.
HIEU: Weißt du, ich dachte, Mann, ich werde nach Hause gehen und dieses Geld holen. Aber in dem Moment, als ich das während meiner Haftzeit 2014 oder '15 in den Nachrichten hörte, dachte ich, Mann, es ist vorbei. Kein Geld mehr.
JACK: So verbüßte er weiterhin seine Haftstrafe und hielt sich aus Schwierigkeiten heraus. Wegen guter Führung wurde er vorzeitig entlassen. Nachdem er sieben Jahre im Gefängnis verbracht hatte, ließen sie ihn 2020 frei. Es gab viele Komplikationen, mitten in einer Pandemie aus dem Gefängnis zu kommen, also dauerte es acht Monate, bis er nach seiner Freilassung nach Hause kam. Aber schließlich schaffte er es zurück nach Vietnam.
Als du 2020 nach Hause kamst, hattest du noch Geld von all dem übrig?
HIEU: Ich hatte noch etwas mehr als 50.000 US-Dollar und eine Wohnung.
JACK: Als er nach Hause kam, bekam er einen Job bei der vietnamesischen Regierung, um bei der nationalen Cyberabwehr zu helfen.
HIEU: Das sogenannte NCSC, das Nationale Zentrum für Cybersicherheit, dort habe ich vier Jahre lang gearbeitet. Ich habe das NCSC erst vor fünf Monaten verlassen, weil die Regierung die Behörde umstrukturiert hat, und deshalb habe ich das NCSC verlassen. Momentan konzentriere ich mich hauptsächlich auf die Untersuchung von Cyberkriminalität. Ich liebe es, Cyberkriminelle zu jagen, technisch gesehen. Von dem Tag, an dem ich nach Hause kam, bis heute habe ich der Strafverfolgung in Vietnam und auch in anderen Ländern geholfen, mehr als zweihundert Cyberkriminelle zu verhaften.
JACK: Hieu sagt, er genießt es geradezu, Opfern von Betrug und Identitätsdiebstahl zu helfen, indem er sie z.B. über ihre Möglichkeiten aufklärt, und dabei hilft, die Kontrolle über ihr Leben zurückzugewinnen und das Gesetz zu nutzen. Tatsächlich klingt es für mich so, als ob Hieu ein ziemlich schlechtes Gewissen gegenüber den Leuten hat, die durch seinen Dienst betrogen wurden.
HIEU: Ich habe das Gefühl, dass ich den Leuten viel schulde, hauptsächlich den Leuten in den USA. Ich habe so viele Menschen verletzt und geschädigt, und ich schäme mich irgendwie immer noch dafür.
JACK: Hieu möchte also klarstellen, dass es ihm für jeden leidtut, dessen Identität gestohlen wurde und der durch seine Website Geld verloren hat. Es tut ihm wirklich leid, er hat sich mehrmals öffentlich entschuldigt und möchte versuchen, alles zu tun, um das Unrecht, das er getan hat, wiedergutzumachen, weshalb er jetzt Opfern hilft und mit der Strafverfolgung zusammenarbeitet, um Cyberkriminelle in seinem Heimatland zu fassen.
JACK (Outro): Vielen Dank an Hieu Minh Ngo, dass er uns diese unglaubliche wilde Geschichte erzählt hat. Ich musste beim Erstellen mehrmals innehalten und nachdenken, ich liebe eine Geschichte, die mich so tief ins Grübeln bringt, und ich hoffe, das tat sie auch bei euch. Ich habe kürzlich ein Buch über Datenhändler gelesen, das extrem aufschlussreich war, es heißt „Means of Control“ von Byron Tau. Schaut es euch an. Ihr werdet die Welt danach nicht mehr mit denselben Augen sehen.
URL dieses Artikels:
https://www.heise.de/-11200418
Links in diesem Artikel:
[1] https://darknetdiaries.com/episode/162/
[2] https://darknet-diaries-deutsch.podigee.io/
[3] https://www.heise.de/news/Darknet-Diaries-Deutsch-Hieu-vom-Darknet-zum-Datendealer-Teil-1-11196882.html
[4] https://www.heise.de/thema/auslegungssache
[5] mailto:igr@heise.de
Copyright © 2026 Heise Medien
FreshRSS