Anmelden
(Bild: amgun / Shutterstock.com)
Cyberangreifer sehen es auf Session-Cookies ab, mit denen sie Zugang erhalten. Google aktiviert in Chrome für Windows nun einen Schutz. macOS folgt.
Cyberkriminelle und ihre Infostealer haben es oftmals auf sogenannte Session-Cookies abgesehen. Damit erlangen sie Zugriff auf laufende Sitzungen, in denen Nutzer und Nutzerinnen an Diensten angemeldet sind. Google hat in Chrome für Windows ab Version 146 einen Schutz standardmäßig aktiviert und kündigt das in Kürze auch für macOS an.
Es geht dabei um die Funktion „Device Bound Session Credentials“ (DBSC), wie Google in einem Blogbeitrag [1] erklärt. Dieser Cookie-Schutz ist seit 2024 in der Entwicklung [2] und schafft nun den Sprung in die Praxis. Die kurze Erläuterung der Funktion lautet: Authentifizierte Sitzungen (authentication sessions) werden an das Gerät gebunden, mit dem die Anmeldung erfolgte. Gestohlene Cookies werden dadurch wertlos.
Etwas ausführlicher steckt dahinter ein Mechanismus, der ein wenig an Passkeys erinnert. Beim Start einer Session erzeugt der Webbrowser ein Schlüsselpaar, bei dem der private Schlüssel auf dem Rechner verbleibt, derzeit geschützt im TPM (Trusted Platform Module) des Rechners. Zur Ablage im TPM nutzt Chrome [3] Funktionen des Betriebssystems. Unter macOS kommt dafür die Secure Enclave zum Einsatz. Server nutzen den öffentlichen Schlüssel und können bei laufenden Sitzungen durch die API den Besitzbeweis des privaten Schlüssels beim Client anfordern.
Bei Session-Diebstahl laden User in der Regel unabsichtlich Malware herunter, die nach Aktivierung heimlich die Session-Cookies aus dem Browser ausschleusen oder auf neue Logins warten, bevor sie die Token an die Server der Angreifer übertragen. Infostealer-Malware wie Lumma [4] wird Google zufolge immer geschickter beim Abgreifen der Zugangsdaten. Da Cookies in der Regel eine längere Laufzeit haben, können Angreifer sich damit unbefugten Zugang zu Nutzerkonten verschaffen. Derartige Session-Cookies werden dann gebündelt und unter Bedrohungsakteuren gehandelt oder verkauft. Das Ausschleusen solcher Cookies lasse sich mit Software allein jedoch nicht verlässlich verhindern.
DBSC soll das Problem nun lösen. Das Schlüsselpaar lässt sich nicht aus der Maschine exportieren. In Kombination mit Cookies mit kurzer Laufzeit führt das dazu, dass gestohlene Cookies zügig ablaufen und für Angreifer nutzlos werden. Google hat im vergangenen Jahr frühe Versionen des Mechanismus getestet und seitdem einen signifikanten Rückgang beim Session-Diebstahl beobachtet.
Web-Entwickler können ihre Systeme damit jetzt ebenfalls gegen Session-Klau wappnen. Google stellt dafür eine Anleitung für Entwickler [5] bereit. Außerdem stellt das W3C eine aktuelle Spezifikation des Protokolls [6] bereit, es gibt auch ein zugehöriges Projekt auf GitHub [7]. Google kündigt bereits weitere Entwicklungen an. So soll eine Unterstützung für Single-Sign-on-Systeme (SSO) kommen oder noch strengerer Schutz zum Binden von DBSC an existierende, vertraute Schlüssel, anstatt beim Anmelden neue zu erstellen. Außerdem wollen die Entwickler die Möglichkeiten mit softwarebasierten Schlüsseln ausloten, um auch auf Geräten ohne spezialisierte Sicherheitshardware den Sicherheitsmechanismus anbieten zu können.
URL dieses Artikels:
https://www.heise.de/-11251594
Links in diesem Artikel:
[1] https://security.googleblog.com/2026/04/protecting-cookies-with-device-bound.html
[2] https://www.heise.de/news/Google-Chrome-Entwickler-dichten-drei-Luecken-ab-arbeiten-an-Cookie-Schutz-9673342.html
[3] https://www.heise.de/thema/Chrome
[4] https://www.heise.de/news/Comeback-von-Lumma-und-NoName057-16-Cybercrime-Zerschlagung-misslungen-10498191.html
[5] https://developer.chrome.com/docs/web-platform/device-bound-session-credentials
[6] https://w3c.github.io/webappsec-dbsc/
[7] https://github.com/w3c/webappsec-dbsc
[8] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[9] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Gorodenkoff/Shutterstock.com)
Angreifer nutzen derzeit eine Zero-Day-Lücke in Adobe Reader aus. Bis es ein Sicherheitsupdate gibt, sollte man keine PDFs aus unbekannten Quellen öffnen.
Sicherheitsforscher warnen vor Attacken auf Adobe Reader. Das alleinige Öffnen von manipulierten PDF-Dateien soll für einen erfolgreichen Angriff ausreichen. Im Anschluss sollen Angreifer Dateien kopieren und Systeme kompromittieren.
Auf die Zero-Day-Sicherheitslücke ist ein Sicherheitsforscher mit dem Sandbox-Analysetool EXPMON gestoßen. Seine Erkenntnisse führt er in einem Beitrag aus [1]. Ihm zufolge nutzen unbekannte Angreifer die Schwachstelle mindestens seit vergangenem Dezember aus. Derzeit ist die Lücke noch mit keiner CVE-Nummer versehen; auch eine Einstufung des Bedrohungsgrads steht noch aus.
Dem Forscher zufolge stehen aber alle Zeichen auf kritisch: Er gibt an, dass Opfer lediglich ein von den Angreifern präpariertes PDF-Dokument öffnen müssen, um eine Attacke einzuleiten. Danach zapfen sie die Adobe-Reader-APIs util.readFileIntoStream() und RSS.addFeed() an, die mit hohen Rechten laufen. Darüber kopieren sie Dateien und schicken sie an von ihnen kontrollierte Server.
Da geht aber noch mehr: Dem Forscher zufolge laden die Angreifer im Zuge der Attacke weitere Schadcodemodule nach, um eigenen Code auszuführen und Computer letztlich zu kompromittieren. In welchem Umfang die Attacken ablaufen und wer dahintersteckt, ist zurzeit unklar.
Ein weiterer Sicherheitsforscher hat in der Angriffskampagne verwendete PDF-Dateien analysiert. Auf X schreibt er [2], dass sie russische Sprache beinhalten und inhaltlich die aktuellen Ereignisse im Zusammenhang mit der Öl- und Gasindustrie in Russland behandeln.
Unklar ist derzeit auch, inwiefern die Sicherheitslücke die in Microsofts Edge-Browser implementierte Acrobat-PDF-Reader-Funktion [3] betrifft.
Wann ein Sicherheitspatch kommt, ist bislang unbekannt. Der Finder der Schwachstelle gibt an, Adobe kontaktiert zu haben. Die Antwort auf eine Anfrage von heise security steht noch aus. Bis ein Patch kommt, sollte man keine PDF-Dateien aus unbekannten Quellen öffnen.
URL dieses Artikels:
https://www.heise.de/-11251640
Links in diesem Artikel:
[1] https://justhaifei1.blogspot.com/2026/04/expmon-detected-sophisticated-zero-day-adobe-reader.html
[2] https://x.com/Gi7w0rm/status/2042003381158379554
[3] https://www.heise.de/news/Acrobat-PDF-Reader-zieht-in-Microsofts-Browser-Edge-ein-7491914.html
[4] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[5] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Pincasso / Shutterstock.com)
In einer File-based App kann man den Kestrel-Webserver auf Basis von ASP.NET Core starten.
Das direkte Übersetzen und Starten von C#-Dateien nennt Microsoft File-based Apps [1]. Es ist auch möglich, einen Kestrel-Webserver innerhalb einer solchen App zu starten. Unten stehendes Beispiel zeigt eine ASP.NET Core Minimal WebAPI als eigenständige C#-Datei. Das Hosting erfolgt in dem in ASP.NET Core mitgelieferten Webserver Kestrel [2].
In der File-based App wird Microsoft.NET.Sdk.Web als SDK angegeben. Als NuGet-Pakete werden Microsoft.AspNetCore.OpenApi und Humanizer verwendet. Die Ahead-of-Time-Kompilierung, die in File-based Apps Standard ist, ist hier deaktiviert, um Warnungen des JSON-Serialisierers zu vermeiden.
Folgender Code zeigt den Webserver auf Basis von ASP.NET Core mit einem Minimal-WebAPI-Endpunkt und OpenAPI-Metadaten:
FreshRSS #:sdk Microsoft.NET.Sdk.Web
#:package Microsoft.AspNetCore.OpenApi@10.*-*
#:package Humanizer@2.14.1
#:property Version=1.1.4
#:property PublishAot=false
using Humanizer;
using Microsoft.OpenApi;
// Webserver einrichten
var builder = WebApplication.CreateBuilder();
builder.Services.AddOpenApi();
var app = builder.Build();
app.MapOpenApi(); // http://localhost:5000/openapi/v1.json
app.MapGet("/", () =>
{
// Daten für Operation
var d = new Data
{
Version = "9.0",
Release = "2024-11-12"
};
var dotNet9Released = DateTimeOffset.Parse(d.Release);
var since = DateTimeOffset.Now - dotNet9Released;
return $"It has been {since.Humanize()} since .NET {d.Version} was released.";
});
app.MapGet("/data", () =>
{
var d = new Data
{
Version = "9.0",
Release = "2024-11-12"
};
return Results.Json(d);
});
app.Run();
class Data
{
/// <summary>
/// Version of the .NET release.
/// </summary>
public string? Version { get; set; }
/// <summary>
/// Release date of the .NET version.
/// </summary>
public string? Release { get; set; }
}
URL dieses Artikels:
https://www.heise.de/-11249251
Links in diesem Artikel:
[1] https://www.heise.de/blog/Neu-in-NET-10-0-13-Kompilieren-und-Starten-einzelner-C-Dateien-11201372.html
[2] https://www.dotnet-lexikon.de/Kestrel/lex/8826
[3] mailto:rme@ix.de
Copyright © 2026 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Breitband per DSL, Kabel oder Glasfaser muss nicht teuer sein. Schon ab 19 Euro im Monat bekommt man 50 MBit/s, für 35 Euro sogar bis zu 1000 Mbit/s.
Wiederkehrende Kosten läppern sich im Laufe der Jahre. Bei 50 Euro monatlich für den Internetanschluss kommen im Laufe des Jahres 600 Euro zusammen. Wer für eine Mindestvertragslaufzeit von zwei Jahren unterschreibt, hat am Ende insgesamt 1200 Euro bezahlt. Mit jedem monatlich gesparten Euro gewinnt man finanziellen Spielraum.
Wir haben untersucht, welche Breitbandtarife man für maximal 35 Euro pro Monat bekommt. Die Angebote reichen von DSL mit 16 MBit/s über Glasfaser (FTTH) mit 50 und DSL mit 250 bis zu TV-Kabelanschlüssen mit 1000 Mbit/s. Allerdings sind nicht alle diese Angebote überall verfügbar.
Bei allen Angeboten müssen Sie zunächst sorgfältig prüfen, ob der angebotene Preis dauerhaft gilt. Dabei gibt es zwei Schwellen: Sternchenpreise wie 9,99 Euro pro Monat gelten nur einige Monate lang. Zu Beginn einer üblicherweise zweijährigen Laufzeit bekommt man also einen zeitlich begrenzten Nachlass.
URL dieses Artikels:
https://www.heise.de/-11160844
Links in diesem Artikel:
[1] https://www.heise.de/tests/Marktuebersicht-Internetanschluesse-fuer-19-bis-35-Euro-im-Monat-11160844.html
[2] https://www.heise.de/tests/Prepaid-Jahrestarife-fuer-Smartphones-im-Vergleich-11123906.html
[3] https://www.heise.de/tests/Mobilfunkvertraege-ab-50-Gigabyte-Tarifvergleich-und-Auswahltipps-10708512.html
[4] https://www.heise.de/tests/Tarife-im-Vergleich-Mobilfunkvertraege-bis-20-Euro-10676419.html
[5] https://www.heise.de/tests/Prepaid-Tarife-fuer-jeden-Bedarf-im-Vergleich-10362450.html
Copyright © 2026 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
140-Watt-Netzteil von Apple: Neue Varianten sorgen für Kopfzerbrechen.
(Bild: Apple)
Seit Jahren setzt Apple bei Stromversorgungen auf einen C7-Anschluss für die jeweiligen Stecker. In Australien und China gibt es nun andersartige Versionen.
Apple hat in mehreren Ländern das beim neuen MacBook Pro mit 16-Zoll-Bildschirm [1] mitgelieferte Netzteil verändert. Die Geräte mit M5 Max und M5 Pro werden mit einer 140-Watt-Stromversorgung verkauft. Diese verfügte bislang innen stets über einen C7-Anschluss [2], an den auch Eurostecker-Kabel via Kleingerätekupplung direkt passten – sowie Apples eigene Aufsätze für verschiedene Länderstecker, die der Konzern über viele Jahre auch im Rahmen seines World-Travel-Adapter-Kits (ab 101 €) [3] verkauft hatte. Letzteres wurde allerdings kürzlich vom Markt genommen.
Der nun verbaute männliche Anschluss in den M5-Max- und M5-Pro-Netzteilen scheint proprietär zu sein. Er ist damit auch nicht mehr kompatibel zu Apples eigenem Netzteilverlängerungskabel (ab 21,05 €) [4], wie Bilder zeigen, die Macrumors veröffentlicht [5] hat. Im Vergleich zum C7 ist der Anschluss länger und dünner und ihm fehlt die typische Einbuchtung. Es blieb zunächst unklar, ob Apple die Veränderung weltweit vornimmt oder nur in bestimmten Märkten. Berichte dazu gibt es unter anderem aus Australien sowie China [6].
Das 140-Watt-Netzteil wird von Apple auch einzeln veräußert, etwa im Reich der Mitte, wie ChargerLAB zeigte. Das Gerät ermöglicht wie gehabt unter anderem das Aufladen eines 16-Zoll-MacBook-Pro-Rechners zu 50 Prozent in einer halben Stunde, sofern man ein USB-C-auf-MagSafe-3-Kabel oder ein 240-Watt-fähiges USB-C-Kabel verwendet.
Die Apple-Netzteile sind zwar teuer, haben aber einen guten Ruf. Durch die Verwendung des C7-Anschlusses, an den man durch Abnahme des Stromsteckers gelangte, konnte man sie auch vergleichsweise einfach verlängern. Mit dem proprietären Anschluss müsste Apple nun sowohl sein Verlängerungskabel als auch sein World-Travel-Adapter-Kit anpassen. Beides ist bislang nicht geschehen.
In der EU und in Großbritannien hatte Apple zuletzt damit begonnen, Notebooks ohne Netzteil [7] zu verkaufen. Dies gilt etwa für das MacBook Neo [8]. Laut EU-Vorgaben müssen Hersteller Nutzern erlauben, ihren Rechner auch ohne Stromversorgung zu erwerben, sofern sie bereits eine solche besitzen. Apple interpretiert das so, dass es künftig gar keine Netzteile in der Verpackung mehr gibt. Eine Alternative mit Netzteil ist nicht im Programm. Die Gerätepreise sanken dadurch übrigens nicht.
URL dieses Artikels:
https://www.heise.de/-11246428
Links in diesem Artikel:
[1] https://www.heise.de/tests/MacBook-Pro-mit-M5-Max-im-Test-Apples-neue-mobile-Boliden-11204665.html
[2] https://de.wikipedia.org/wiki/Ger%C3%A4testecker#%E2%80%9EKleinger%C3%A4tekupplung%E2%80%9C_(IEC-60320_C7/C8)
[3] https://preisvergleich.heise.de/apple-md837zm-world-travel-adapter-kit-a1248428.html?cs_id=1206858352&ccpid=hocid-mac-and-i
[4] https://preisvergleich.heise.de/apple-power-adapter-verlaengerung-fuer-netzteil-mw2n3d-a-a3523208.html?cs_id=1206858352&ccpid=hocid-mac-and-i
[5] https://www.macrumors.com/2026/04/02/apple-140w-power-adapter-compatibility-issue/
[6] https://www.chargerlab.com/teardown-of-apple-140w-usb-c-power-adapter-a3607/
[7] https://www.heise.de/tests/MacBook-Neo-im-Test-Der-Budget-Mac-mit-dem-Smartphone-Herz-11205775.html
[8] https://www.heise.de/tests/MacBook-Neo-im-Test-Der-Budget-Mac-mit-dem-Smartphone-Herz-11205775.html
[9] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[10] https://www.heise.de/mac-and-i
[11] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
„Update von Apple”: Keiner weiß, warum.
(Bild: Screenshot iOS 26.4)
Nutzer erhalten für bestehende iOS-Apps Aktualisierungen, die laut Beipackzettel direkt von Apple stammen. Es ist unklar, woran genau das liegt.
iOS-User erhielten in den vergangenen Tagen Aktualisierungen von Apps, die offenbar nicht von den jeweiligen Entwicklern stammten. Laut mitgeliefertem Beipackzettel ist es jeweils Apple selbst, das für die Updates verantwortlich ist. Welche Gründe es dafür gibt und welche Arten von Apps betroffen sind, ließ sich zunächst nicht feststellen.
Erkennbar sind solche Aktualisierungen aufgrund der Angabe, dass im ersten Satz zu den Neuerungen verzeichnet ist, dass es sich um ein „Update von Apple“ handele, das „die Funktionalität dieser App“ verbessere. Weiterhin heißt es, dass es keine neuen Funktionen gebe. Betroffen waren Anwendungen quer durch das App-Store-Angebot: von Spielen wie „Candy Crush Soda Saga“ oder „Catan Universe“ bis hin zu Apps von Fluggesellschaften wie Transavia. Dabei handelte es sich auch nicht immer um Programme, die besonders alt wären. Apple hat also offenbar nicht etwa nachträglich Zertifikate oder ähnliche Komponenten ausgetauscht [1], um das Weiterfunktionieren sicherzustellen – gänzlich ausgeschlossen ist dies aber nicht. Teilweise hatten die betroffenen Programme erst vor einer Woche Aktualisierungen erhalten. Mit den Entwicklern selbst scheint Apple nicht kommuniziert [2] zu haben.
Die Versionsnummer erhöht sich jeweils. In Foren wurde spekuliert, dass die Aktualisierungen aufgrund des Endes von LLVM-Bitcode bei App-Store-Programmen [3] vorgenommen wurden. Andere User meinten, möglicherweise habe Apple Änderungen wegen der Verwendung abgekündigter APIs vorgenommen. Allerdings sind dies beides Dinge, für die Entwickler letztlich selbst verantwortlich sind: Sie würden gegebenenfalls einen Hinweis vom App-Store-Review-Team erhalten, um solche Probleme auszuräumen. Wieso Apple selbst den Weg des direkten Eingriffs geht, bleibt verwunderlich.
Der Vorfall zeigt, wer im App Store die Hosen anhat: Apple. Der iPhone-Konzern bestimmt, welche Anwendungen zugelassen werden, welche Bezahlwege [4] diese enthalten dürfen und ob etwa bestimmte Formen von Links erlaubt werden. Das Unternehmen kann auch jederzeit in den an die Nutzer ausgelieferten Code eingreifen.
Berichte zu den Updates gibt es aus vielen Teilen der Welt, es ist also nicht etwa nur der amerikanische App Store betroffen. Zuletzt hatte Apple in mehreren Ländern neue iPhone-Alterskontrollen [5] eingeführt, zu denen das Unternehmen gesetzlich verpflichtet wurde.
URL dieses Artikels:
https://www.heise.de/-11246436
Links in diesem Artikel:
[1] https://www.heise.de/news/Wegen-abgelaufener-Zertifikate-Apple-aktualisiert-weitere-alte-Betriebssysteme-11163524.html
[2] https://www.reddit.com/r/iOSProgramming/comments/1sc5qi6/is_apple_creating_updates_for_3rd_party_apps_now/#lightbox
[3] https://promon.io/security-news/demise-of-bitcode-future-of-application-security
[4] https://www.heise.de/news/Alternative-Bezahlwege-fuer-den-App-Store-In-den-USA-unbeliebt-laut-Apple-9716513.html
[5] https://www.heise.de/news/Bist-du-ueber-18-Apple-beginnt-in-ersten-Laendern-mit-iPhone-Alterspruefung-11190050.html
[6] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[7] https://www.heise.de/mac-and-i
[8] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
Das Turiner Grabtuch: Die Reliquie ist seit geraumer Zeit Gegenstand wissenschaftlicher Untersuchungen
(Bild: godongphoto/Shutterstock.com)
Genetische Analysen deuten auf eine Reise des Tuches durch den Nahen Osten hin – doch die grundlegende Frage nach seinem Alter bleibt offen.
Eine neue genetische Studie zum Turiner Grabtuch liefert Hinweise darauf, dass das berühmte Relikt seinen Weg durch den Nahen Osten genommen haben könnte.
Die Ergebnisse, die von einem internationalen Forscherteam unter Leitung von Dr. Gianni Barcaccia, Professor für Genetik und Genomik an der Universität Padua, erarbeitet wurden, liegen als Vorabveröffentlichung [1] auf der wissenschaftlichen Plattform bioRxiv vor und sollen demnächst in einem Fachjournal erscheinen. Grundlage der Untersuchung sind Proben, die bereits 1978 offiziell entnommen wurden.
Das Turiner Grabtuch, das seit dem späten 16. Jahrhundert in der italienischen Stadt aufbewahrt wird, zeigt das Abbild eines männlichen Körpers sowie Spuren, die mit den im Neuen Testament beschriebenen Wunden Jesu in Verbindung gebracht werden.
Seit Jahrhunderten wird über seine Echtheit gestritten. Radiokohlenstofftests aus dem Jahr 1988 legten nahe, dass das Tuch frühestens aus dem 13. Jahrhundert stammt – eine Einschätzung, die von Befürwortern seiner Authentizität bis heute angefochten wird.
Barcaccia und sein Team hatten bereits 2015 in den Nature Scientific Reports eine Studie veröffentlicht, in der sie DNA-Spuren von Personen nachgewiesen hatten, die das Tuch berührt hatten: Mehr als 55,6 Prozent der genetischen Spuren stammten demnach aus dem Nahen Osten, rund 38,7 Prozent aus Indien, während der europäische Anteil unter 5,6 Prozent lag.
Die neue Studie bestätigt nun die Haplogruppe H33, die nach Angaben der Forscher "im Nahen Osten verbreitet und häufig unter den Drusen vorkommt" – einer religiösen Gemeinschaft, die überwiegend in Syrien und im Libanon beheimatet ist und gemeinsame genetische Wurzeln mit Juden und Zyprern teilt.
Daneben wurden die mitochondriale DNA-Variante H2a2, die mit dem 1978 eingesetzten offiziellen Probensammler übereinstimmt, sowie H1b – eine häufige westeurasische Variante – identifiziert.
Den hohen Anteil indischer DNA erklären die Autoren mit historischen Handelsbeziehungen zwischen dem Mittelmeerraum und dem indischen Subkontinent. Sie verweisen darauf, dass feines indisches Leinen im Tempel von Jerusalem für die Gewänder des Hohepriesters verwendet worden sei. Zudem leiten sie den Begriff "Sindôn" – griechisch für feines Leinen und Ursprung des Wortes "Grabtuch" – von der pakistanischen Region Sindh ab, die für ihre hochwertigen Textilien bekannt war.
Besonderes Gewicht legen die Forscher auf den Nachweis sogenannter halophiler Archaeen – Mikroorganismen, die in extrem salzhaltigen Umgebungen gedeihen, wie sie etwa am Toten Meer vorkommen. Deren Vorhandensein deute darauf hin, dass das Tuch zeitweise unter salzhaltigen Bedingungen aufbewahrt worden sei. Barcaccia und seine Kollegen werten dies als weiteres Indiz für einen Aufenthalt des Tuches im Nahen Osten.
Das rekonstruierte Mikrobiom des Tuches sei, so die Autoren, "reich an Mikroorganismen, die üblicherweise auf menschlicher Haut vorkommen, sowie an Archaeen-Gemeinschaften, die an hohe Salzgehalte angepasst sind, und Pilzen einschließlich Schimmelpilzen."
Neben menschlicher DNA und Mikroorganismen stießen die Forscher auf eine Vielzahl weiterer biologischer Überreste. Nachgewiesen wurden demnach Pflanzen aus unterschiedlichen Anbaugebieten – darunter Weizen, Mais, Möhren, Erdnüsse und Bananen – sowie Spuren von Haustieren wie Katzen und Hunden, aber auch von Hühnern, Schweinen und Rindern. Zudem wurde das Erbgut von mediterran endemischer Roten Koralle gefunden.
Die Vielfalt dieser Spuren veranlasst die Autoren zu der Einschätzung, dass das Tuch im Laufe seiner Geschichte mit einer breiten Palette von Menschen, Tieren und Umgebungen in Kontakt gekommen sei.
Daraus folgt für sie jedoch auch eine methodische Einschränkung: "Das Alter des Turiner Grabtuchs kann durch Metagenomik nicht bestimmt werden, da diese Methode keinen robusten Nachweis weder für einen mittelalterlichen Ursprung noch für eine zweitausendjährige Geschichte liefern kann", schreiben sie.
Einen konkreteren zeitlichen Anker liefert die Radiokohlenstoffdatierung zweier Fäden, die aus dem sogenannten Reliquiar entnommen wurden. Die Ergebnisse datieren diese Fäden auf die Jahre 1534 und 1694 nach Christus und belegen damit deren Verwendung zur Ausbesserung des Tuches.
Diese Reparaturen gehen auf einen Brand zurück, der sich 1532 in Chambéry ereignete, als das gefaltete Tuch durch geschmolzenes Silber beschädigt wurde. Zwei Jahre später flickten Nonnen die entstandenen Löcher. Im Jahr 2002 wurden diese Flickstellen im Zuge einer Restaurierung entfernt.
Die Autoren betonen, ihre Befunde böten "einen neuartigen und wesentlichen Beitrag", indem sie die biologischen Spuren eines jahrhundertelangen sozialen, kulturellen und ökologischen Kontakts sichtbar machten. Gleichzeitig halten sie fest, dass die genetischen und mikrobiellen Belege "eine komplexe Geschichte des Turiner Grabtuchs" widerspiegelten, die keine abschließenden Schlüsse über seine Herkunft zulasse.
Die Frage, ob das Tuch tatsächlich das Begräbnistuch Jesu ist oder eine mittelalterliche Fälschung, bleibt damit weiterhin unbeantwortet. Die neue Studie fügt dem Forschungsstand weitere Mosaiksteine hinzu – ohne das Gesamtbild zu vervollständigen.
URL dieses Artikels:
https://www.heise.de/-11248750
Links in diesem Artikel:
[1] https://www.biorxiv.org/content/10.64898/2026.03.19.712852v2
Copyright © 2026 Heise Medien
LMU-München, Haupthalle. Bild: Shutterstock.com
Zwischen Fachkräftedruck, Globalisierung und KI gerät Bildung unter die Räder – und verliert ihren Wert als Grundlage von Kultur und Kritikfähigkeit.
In Deutschland verliert Bildung zunehmend an Bedeutung. Die Politik fordert, dass Jugendliche möglichst schnell ins Berufsleben eintreten und produktiv tätig werden. In diesem Zusammenhang werden Universitäten zunehmend durch Hochschulen verdrängt. Letztere sollen den aktuellen Fachkräftebedarf decken, vernachlässigen dabei jedoch eine umfassendere Bildung.
Die Zeiten, in denen Bildung in Deutschland einen Wert an und für sich darstellte und der Fokus auf der Bildungstechnik und weniger auf den Inhalten lag, sind lange vorbei. Weder Latein noch Griechisch spielen heute im schulischen Umfeld noch eine Rolle.
Lange Zeit galt eine humanistische Bildung, welche die geschichtliche Entwicklung philosophischer Erkenntnisse aus dem griechischen und lateinischen Sprachraum vermitteln konnte, als Kernelement der wissenschaftlichen Traditionen Europas.
Die Zeiten haben sich inzwischen jedoch grundlegend geändert. Philosophie als Grundlage westlicher Kultur wird zunehmend ausgeblendet und der Fokus auf das Zählbare gelegt. Was nicht mittels Zahlen beschrieben werden kann, kann nicht zählen.
Der Schwerpunkt liegt inzwischen auf der Ausbildung zur Ausübung eines bestimmten Berufs. Wird dieser Beruf dann aus welchen Gründen auch immer verdrängt, ist der berufsbezogene Abschluss nicht einmal mehr das Papier wert, auf welchem er gedruckt ist.
Während in Österreich die Anrede "Herr Doktor" ohne nachgestellten Familiennamen durchaus gebräuchlich ist, hat Deutschland seit Mai 2025 den akademischen Titel aus dem Zusammenhang mit dem Familiennamen verbannt.
Ganz offensichtlich war die Idee, den Dr.-Titel zu verbannen, ein erster Schritt zum Bürokratieabbau in Deutschland.
Schon 2007 wollte der damalige Innenminister Wolfgang Schäuble [1] den Doktorgrad [2] aus Personalausweis und Reisepass verbannen. Doch Bayerns Politiker, allen voran Dr. Beckstein, fühlten sich verpflichtet, die deutsche Tradition zu retten. Deutschland hat sich jedoch gerne auf ältere Traditionen ohne Bildungsbezug zurückgezogen.
Ein "Freiherr" ist heute noch ein besserer Türöffner als ein akademischer Doktorgrad. Zudem kostet er keine Ausbildungszeit, was letztlich auch den Berufseinstieg beschleunigen kann.
In Österreich, wo die Adelstitel mit dem 3. April 1919 mit dem Adelsaufhebungsgesetz abgeschafft und das Führen seither verboten wurde, kamen die ausbildungsbezogenen Titel bald darauf zu ungeahnter Blüte [3].
Heute gibt es dort 1.500 berufliche Titel, die man vor seinem Namen führen und in amtlichen Urkunden, etwa dem Reisepass, eintragen lassen kann [4]. Und der "Herr Doktor" genießt in Österreich noch immer höchstes Ansehen.
Die seit Jahrzehnten andauernde Globalisierung prägt die Bildung durch eine stärkere digitale Vernetzung und den Bedarf an interkultureller Kompetenz. Letztlich erfordert sie eine Abkehr von rein nationalen Lehrplänen hin zu globalem Lernen.
Dieses vermittelt Nachhaltigkeit, Diversität und ökonomische Zusammenhänge, um den Nachwuchs auf eine zunehmend vernetzte Arbeitswelt vorzubereiten. In dieser Arbeitswelt werden unterschiedliche lokale Standards immer wichtiger.
Der Einzelne muss ihre Bedeutung erkennen und für seine Zukunft bewerten können. Auf lokale staatliche Akteure und überkommene Karrieremuster kann er sich bei dieser Dynamik nicht mehr verlassen.
Lange Zeit konnte man mit einer ordentlichen Grundausbildung an europäischen Universitäten noch auf einen weiteren Karriereschritt in den USA hoffen, der inzwischen aufgrund der aktuellen irrlichternden Politik der US-Regierung und deren Kampf gegen Universitäten und Wissenschaft jedoch zunehmend wegbricht.
Die gefühlte Dominanz der traditionellen Industrieländer hat Fähigkeiten wie interkulturelle Kompetenz lange Zeit nicht berücksichtigt und schreibt ihnen bis heute nur eine untergeordnete Rolle in der Ausbildung zu. "Wer mit uns Geschäfte machen will, soll sich an unsere Leitkultur anpassen, sonst bleibt er halt außen vor" – dieses Motto gilt hierzulande vielfach bis heute.
Dabei wird meist übersehen, dass sich andere Regionen der Erde mit einer positiveren Grundstimmung häufig schneller entwickeln als die verschlafenen Industriestaaten.
Hinzu kommt, dass im Westen oft nicht berücksichtigt wird, dass gerade in Ost- und Südostasien vieles für Westler ganz anders erscheint, als es in Wirklichkeit ist, und Erklärungen via KI oft ins Leere gehen.
In den alten Industriestaaten, wo eine oft geradezu mangelhafte Bildung gerne mithilfe von KI ausgeblendet wird, hofft man damit, die Bildungs-Lücken zu schließen und koppelt sich so zunehmend von der technischen Entwicklung ab.
Dazu kommt, dass mithilfe von KI inzwischen viele Einsteiger-Aufgaben von Algorithmen erledigt werden. Dabei schreibt man die schon bisher meist unerfüllbaren Forderungen an Berufsanfänger fort. Man erwartet von Berufseinsteigern eine langjährige Berufspraxis, die bestenfalls auch noch studienbegleitend erworben wurde.
Wer sich nach Ende eines Master-Studiums noch höher qualifiziert, muss dann feststellen, dass er es bei seinem Einstiegs-Job mit Vorgesetzten zu tun bekommt, die eine mindere Qualifikation besitzen, aber früher ins Berufsleben eingestiegen sind. Diese Konstellation kann den Berufseinstieg deutlich erschweren und mangels Anerkennung für die Rente deren Höhe letztlich reduzieren.
Solange die durchaus überspannten Hoffnungen auf die Segnungen der künstlichen Intelligenz nicht dem nächsten KI-Winter [5] zu Opfer fallen, muss sich der Einzelne damit abfinden, dass sich seine Bildung pekuniär eher nicht auszahlt, sondern nur – mit etwas Glück – in der Form von persönlicher Zufriedenheit, weil man den aktuell verbreiteten Narrativen mit kürzester Halbwertszeit nicht aufsitzen muss.
URL dieses Artikels:
https://www.heise.de/-11250351
Links in diesem Artikel:
[1] https://www.sueddeutsche.de/karriere/akademischer-grad-im-personalausweis-nicht-ohne-meinen-doktortitel-1.1120396
[2] https://www.spiegel.de/lebenundlernen/uni/akademischer-grad-bayerns-kampf-um-den-doktortitel-a-466829.html#:~:text=Die%20Bundesregierung%20will%20pragmatisch%20sein:%20weg%20mit,zu%20retten%20-%20schlie%C3%9Flich%20handele%20es%20sich
[3] https://www.diepresse.com/5195571/oesterreichs-titelwahn-gibt-es-nur-noch-im-wartezimmer
[4] https://www.derstandard.de/story/3000000209299/brauchen-wir-noch-mehr-titel-in-oesterreich
[5] https://www.telepolis.de/article/KI-Die-Echokammer-denkt-mit-10467135.html
Copyright © 2026 Heise Medien
(Bild: Skrypnykov Dmytro/Shutterstock.com)
Die Attacke auf Router und Access Points von TP-Link zielte auf die Übernahme von Microsofts Office-Cloud-Sessions. Deutschland war laut BSI wenig betroffen.
Bei der am Dienstag vom britischen National Cyber Security Center (NCSC) bekannt gemachten Angriffsserie auf Router und Access Points des Herstellers TP-Link hatten Angreifer offenbar die Microsoft Cloud im Visier. Deutschland ist nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aber nur in geringem Ausmaß betroffen. Zuvor hatten Bundesnachrichtendienst und Verfassungsschutz aktiv vor Angriffen gewarnt und Kompromittierungs-Indikatoren [1] zur Verfügung gestellt.
Die Gruppierung APT-28, die dem russischen Militärgeheimdienst GRU zugerechnet wird, habe bei ihrem Angriff eine 2024 bekannt gewordene Zero-Day-Lücke (CVE-2023-50224 [2]) ausgenutzt, bestätigen die Sicherheitsbehörden. Ziel der Attacken, bei denen die DNS-Anfragen auf von den Angreifern kontrollierte Server geleitet wurden, soll die Übernahme von eigentlich wirksam verschlüsselten Sessions zu Microsofts Clouddiensten gewesen sein, berichtet die Firma in einer umfangreichen Stellungnahme [3].
„Glücklicherweise gehen wir mit Blick auf die nun erfolgreich gestörte Angriffskampagne von einer sehr geringen Betroffenenanzahl in Deutschland aus“, sagt BSI-Präsidentin Claudia Plattner auf Anfrage von heise online. Das Bundesamt für Verfassungsschutz hatte in einer ersten Einordnung die Zahl von 30 betroffenen Geräten genannt. Auf identifizierte Betroffene sind die Verfassungsschutzbehörden der Länder individuell zugegangen – was angesichts der überschaubaren Zahl möglich war.
Die meisten der betroffenen Geräte von TP-Link sind einige Jahre, teils weit über ein Jahrzehnt alt. „Auch und gerade Netzwerkgeräte wie Router können zum Einfallstor für Angriffe werden – regelmäßige Härtungsmaßnahmen, insbesondere das Schließen bekannter Sicherheitslücken, sind essentiell“, mahnt Plattner. „Wenn es Angreifern gelingt, in den Router einzudringen, können sie nicht nur das Gerät selbst, sondern potentiell auch alle angeschlossenen Geräte kompromittieren.“ In Sicherheitskreisen wird das im März von der US-Regulierungsbehörde FCC verhängte Importverbot für Router [4] in engem Zusammenhang mit der Entdeckung der GRU-Kampagne gesehen.
Für viele der betroffenen Modelle (vollständige Liste des NCSC [5]) gibt es jedoch längst keine Sicherheitsupdates vom Hersteller mehr. Für einige davon ist aber zumindest alternative Software aus dem OpenWRT-Projekt abrufbar. Diese Versionen sind laut OpenWRT-Aktiven im aktuellen Fall nicht kompromittiert. Stichproben von heise online haben derweil gezeigt, dass manche der betroffenen Modelle hierzulande auch weiterhin in Elektronikmärkten verkauft werden.
URL dieses Artikels:
https://www.heise.de/-11250989
Links in diesem Artikel:
[1] https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations#ioc
[2] https://nvd.nist.gov/vuln/detail/cve-2023-50224
[3] https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/
[4] https://www.heise.de/news/USA-verbieten-alle-neuen-Router-fuer-Verbraucher-11222044.html
[5] https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations
[6] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[7] mailto:mho@heise.de
Copyright © 2026 Heise Medien
(Bild: Artur Szczybylo/Shutterstock.com)
Angreifer können an zahlreichen Schwachstellen im Netzwerkbetriebssystem Junos OS ansetzen. Nun gibt es Sicherheitsupdates.
Mehrere Sicherheitslücken gefährden Netzwerk- und Sicherheitsprodukte von Juniper. Die Schwachstellen stecken im Netzwerkbetriebssystem Junos OS und Junos OS Evolved, die unter anderem die Basis für Router und Switches bilden. Im schlimmsten Fall verschaffen sich Angreifer weitreichende Rechte auf Geräten. Bislang warnt der Netzwerkausrüster nicht vor Attacken. Admins sollten die Sicherheitsupdates dennoch zeitnah installieren.
Im Sicherheitsbereich der Juniper-Website [1] sind 28 nun geschlossene Softwareschwachstellen aufgelistet. Dort finden Netzwerkadmins auch die Sicherheitsupdates, deren Auflistung den Rahmen dieser Meldung sprengt.
Von den Lücken sind einige mit dem Bedrohungsgrad „hoch“ eingestuft. So können Angreifer etwa mit präparierten BGP-Anfragen an verwundbaren Geräten ansetzen und Abstürze auslösen (CVE-2026-33797 [2]).
Angreifer können sich aber auch an mehreren Stellen Root-Rechte verschaffen (etwa CVE-2026-21916 [3]). Mit derart weitreichenden Rechten liegt es nahe, dass Geräte als vollständig kompromittiert gelten. In diesem Fall gibt es aber eine Hürde, und ein lokaler Angreifer muss bereits über niedrige Nutzerrechte verfügen. Das ist auch die Voraussetzung für einen weiteren Angriff, bei dem sensible Daten leaken können (CVE-2026-33776 [4]).
Die Fabric-Management-Software Apstra ist ebenfalls verwundbar. Aufgrund einer fehlerhaften SSH-Implementierung kann sich ein Angreifer ohne Authentifizierung als Man-in-the-Middle in Verbindungen einklinken (CVE-2026-13914 [5] „hoch“).
Aufgrund eines Standardpassworts in vLWC sind unbefugte Zugriffe vorstellbar (CVE-2026-33784 [6]). Diese Sicherheitslücke ist mit dem Bedrohungsgrad „kritisch“ eingestuft.
URL dieses Artikels:
https://www.heise.de/-11250007
Links in diesem Artikel:
[1] https://supportportal.juniper.net/s/global-search/%40uri#sortCriteria=date%20descending&f-sf_primarysourcename=Knowledge&f-sf_articletype=Security%20Advisories&numberOfResults=50
[2] https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-An-attacker-sending-a-specific-genuine-BGP-packet-causes-a-BGP-reset-CVE-2026-33797
[3] https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-Junos-OS-A-low-privileged-user-can-escalate-their-privileges-so-that-they-can-login-as-root-CVE-2026-21916
[4] https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-Specific-low-privileged-CLI-command-exposes-sensitive-information-CVE-2026-33776
[5] https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-Apstra-SSH-host-key-validation-vulnerability-for-managed-devices-CVE-2025-13914
[6] https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-vLWC-Default-password-is-not-required-to-be-changed-which-allows-unauthorized-high-privileged-access-CVE-2026-33784
[7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[8] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: heise medien)
Was telefoniert unter Linux nach Hause? Mit der Firewall Little Snitch lassen sich Anwendungen jetzt auch abseits von macOS überwachen.
Little Snitch, bislang vor allem als macOS-Firewall bekannt, kommt für Linux. Die Software überwacht ausgehende Netzwerkverbindungen auf Anwendungsebene und zeigt Nutzern, welche Prozesse wohin kommunizieren. Bei Bedarf lassen sich Verbindungen gezielt blockieren – allerdings mit technischen Grenzen.
Die Software arbeitet als hostbasierte Application Firewall: Statt nur Ports oder IP-Adressen zu filtern, kontrolliert Little Snitch den ausgehenden Traffic pro Prozess und erlaubt feingranulare Regeln. Bekannt ist das Tool für seine interaktiven Abfragen bei neuen Verbindungen und die grafische Aufbereitung der Netzwerkaktivität. Unter Linux trifft es auf etablierte Werkzeuge [1] wie nftables oder ufw, die primär paket- und netzwerkzentriert arbeiten.
Die Linux-Version knüpft Netzwerkregeln direkt an Anwendungen. Verbindungen lassen sich nicht nur nach Zieladresse oder Port steuern, sondern nach konkretem Binary oder Prozess. So kann ein Administrator zum Beispiel curl ausschließlich den Zugriff auf eine bestimmte API-Domain gestatten und alle anderen Ziele blockieren. Die Kontrolle verschiebt sich damit von der Netzwerk- auf die Anwendungsebene.
Baut ein Prozess erstmals eine Verbindung auf, informiert Little Snitch den Nutzer und fordert eine Entscheidung ein. Das greift beispielsweise, wenn ein frisch installiertes Tool unbemerkt Telemetriedaten verschickt. Unter Linux gibt es solche interaktiven Mechanismen bisher kaum – die meisten Firewall-Lösungen setzen auf Logging und nachträgliche Regelpflege.
(Bild: Objective Development Software GmbH)
Ein Network Monitor zeigt aktive Verbindungen mit Zielsystemen, Protokollen und Datenvolumen an. Damit lassen sich etwa dauerhaft aktive Hintergrundverbindungen oder ungewöhnliche Kommunikationsmuster aufspüren. Das ist nützlich für Debugging und Analysen gleichermaßen.
Die Regeln lassen sich nach Protokollen und Zielen definieren – etwa, um Verbindungen auf HTTPS zu beschränken. Solche Funktionen erfordern typischerweise eine enge Verzahnung mit der DNS-Auflösung.
Anders als viele Linux-Tools setzt Little Snitch stark auf eine grafische Oberfläche. Regeln entstehen per UI statt über nftables-Regelwerke. Das kommt vor allem Desktop-Nutzern entgegen, die mehr Transparenz wollen, ohne sich in Low-Level-Firewall-Konfiguration einzuarbeiten.
Technisch setzt die Linux-Umsetzung auf eBPF, um Netzwerkverbindungen auf Kernel-Ebene abzufangen. Das ermöglicht eine performante und portable Überwachung – anders als Kernel-Erweiterungen, die distributionsabhängig wären. Die Zuordnung von Netzwerkpaketen zu User-Space-Prozessen ist anspruchsvoll. eBPF bietet hier eine vergleichsweise flexible Möglichkeit, Socket- und Netzwerkereignisse zu überwachen.
Little Snitch hilft Nutzern zwar dabei, unerwartete Verbindungen wie für Telemetriedaten aufzuspüren. Trotzdem ist es kein Security-Tool: eBPF hat technische Grenzen, die Umgehungen ermöglichen. OpenSnitch verfolgt unter Linux ein ähnliches Konzept, Little Snitch bietet im Vergleich eine Kombination aus ausgereifter Oberfläche, Visualisierung und Regel-Engine. Die Software zielt dabei keineswegs nur auf den Desktop: Da die Bedienoberfläche als Web-Anwendung umgesetzt wurde, lässt sich Little Snitch explizit auch auf Headless-Servern einsetzen und von anderen Geräten aus fernsteuern, um etwa die Verbindungen von Diensten wie Nextcloud zu überwachen.
Aktuell läuft Little Snitch für Linux ab Linux-Kernel 6.12 – in der Praxis also auf Debian 13, Ubuntu 25.04, Mint 22, Fedora 40 oder RHEL 10 sowie auf Rolling-Release-Distros wie Arch und Manjaro, wie der Blog-Post der Entwickler [2] erläutert. Interessierte Nutzer können das Tool auf der Webseite des Anbieters [3] kostenlos herunterladen.
URL dieses Artikels:
https://www.heise.de/-11250677
Links in diesem Artikel:
[1] https://www.heise.de/tests/Kostenlose-Open-Source-Firewalls-im-Vergleich-4230352.html
[2] https://obdev.at/blog/little-snitch-for-linux/
[3] https://obdev.at/products/littlesnitch-linux/index.html
[4] https://www.heise.de/ix
[5] mailto:fo@heise.de
Copyright © 2026 Heise Medien
(Bild: HAKINMHAN / Shutterstock.com)
Das Open-Source-IAM-System Keycloak 26.6 befördert fünf Features in den produktiven Status – darunter Federated Client Authentication und Zero-Downtime-Updates.
Das Keycloak-Projekt hat Version 26.6.0 des Open-Source-Identity-Providers veröffentlicht. Im Mittelpunkt stehen fünf Features, die den Preview-Status verlassen und nun als vollständig unterstützt gelten. Für Unternehmen, die Keycloak in Kubernetes-Umgebungen betreiben, dürften dabei vor allem die Zero-Downtime-Patch-Releases und die Federated Client Authentication relevant sein.
Die wohl praxisrelevanteste Neuerung laut Ankündigung [1]: Patch-Releases lassen sich künftig als Rolling Updates innerhalb eines Minor-Release-Streams einspielen, ohne dass der Dienst unterbrochen wird. Zusammen mit dem ebenfalls verbesserten Graceful HTTP Shutdown, der Fehlermeldungen beim Abschalten einzelner Nodes verhindert, greift das Entwicklungsteam damit eine zentrale Anforderung containerisierter Deployments auf. Um von den Zero-Downtime-Patch-Releases profitieren zu können, genügt es laut Release Notes, die Update-Strategie für den Keycloak Operator auf „Auto“ zu setzen.
Daneben hat das Projekt die Federated Client Authentication in den produktiven Status befördert. Das Feature erlaubt es Clients, vorhandene Credentials eines externen Issuers zu nutzen, sobald eine Vertrauensbeziehung besteht. Individuelle Client-Secrets in Keycloak entfallen damit. Unterstützt werden Client-Assertions externer OpenID-Connect-Identity-Provider sowie Kubernetes Service Accounts. Organisationen mit mehreren Identity-Providern reduzieren so den Verwaltungsaufwand für Secrets erheblich. Die OAuth-SPIFFE-Client-Authentication bleibt allerdings im Preview-Status, da die zugrunde liegende Spezifikation noch nicht finalisiert ist.
Mit den nun unterstützten Workflows bringt Keycloak zentrale Funktionen aus dem Bereich Identity Governance and Administration (IGA) mit. Administratoren können Realm-Aufgaben wie das Lifecycle-Management von Benutzern und Clients in YAML-Dateien definieren und anhand von Ereignissen, Bedingungen oder Zeitplänen automatisiert ausführen lassen. Das Release enthält zudem neue Built-in-Steps, einen Troubleshooting-Guide sowie diverse Verbesserungen an der Workflow-Engine.
Auch der JWT Authorization Grant nach RFC 7523 [5] gilt nun als produktionsreif. Er ermöglicht den Austausch externer JWT-Assertions gegen OAuth-2.0-Access-Token und hilft somit bei Anwendungsfällen, in denen externe Token in interne überführt werden müssen. Komplettiert wird das Quintett durch das neue Keycloak Test Framework, das den bisherigen Arquillian-basierten Ansatz ablöst.
Jenseits der fünf Haupt-Features liefert das Release weitere Neuerungen. Experimentell unterstützt Keycloak nun das OAuth Client ID Metadata Document (CIMD) – ein aufkommender Standard zur Beschreibung von OAuth-2.0-Client-Metadaten. Da das Model Context Protocol (MCP) ab Version 2025-11-25 CIMD voraussetzt, lässt sich Keycloak künftig als Authorization Server für MCP-Szenarien nutzen.
Als Preview erscheinen zudem die Identity Brokering APIs V2, die den Legacy Token Exchange V1 ablösen sollen, sowie Step-up Authentication für das SAML-Protokoll. Organisationen profitieren außerdem von isolierten Gruppenhierarchien pro Organisation, die Namenskonflikte innerhalb eines Realms vermeiden.
Auf der Infrastrukturseite unterstützt Keycloak inzwischen OpenJDK 25 [6]. Das Container-Image setzt allerdings weiterhin auf Java 21, um FIPS-Kompatibilität zu gewährleisten – für Unternehmen in regulierten Umgebungen bleibt damit alles beim Alten. Bestehende Deployments mit Java 21 sollen unverändert weiter funktionieren. Weitere Verbesserungen betreffen die automatische Truststore-Initialisierung auf Kubernetes und OpenShift, neue Client-Certificate-Lookup-Provider für Traefik und Envoy sowie überarbeitete HTTP-Access-Logs, die sensible Informationen wie Token und Cookies ausfiltern.
Vor dem Update auf Keycloak 26.6.0 [7] sollten Administratoren die Breaking Changes im Upgrading Guide [8] prüfen. JavaScript-basierte Policies erfordern nun ein aktiviertes Scripts-Feature. Client-URIs müssen HTTPS verwenden, und die Issuer-Konfiguration für JWT Authorization Grant und Client Assertions muss eindeutig einen Provider identifizieren.
URL dieses Artikels:
https://www.heise.de/-11250371
Links in diesem Artikel:
[1] https://www.keycloak.org/2026/04/keycloak-2660-released
[2] https://clc-conference.eu/?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_clc.empfehlung-ho.link.link&LPID=35283
[3] https://clc-conference.eu/cfp.php?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_clc.empfehlung-ho.link.link&LPID=35283
[4] https://clc-conference.eu/?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_clc.empfehlung-ho.link.link&LPID=35283
[5] https://datatracker.ietf.org/doc/html/rfc7523
[6] https://www.heise.de/blog/Java-25-Neue-Features-nicht-so-bekannt-aber-wichtig-10530723.html
[7] https://www.keycloak.org/2026/04/keycloak-2660-released
[8] https://www.keycloak.org/docs/latest/upgrading/index.html
[9] mailto:map@ix.de
Copyright © 2026 Heise Medien
(Bild: Plane)
Mit Version 1.3.0 erhält Plane viele wichtigste Updates: Gitea-Login, verbesserte Oberfläche und neue API-Endpunkte kommen für die Open-Source-Jira-Alternative.
Plane schließt in Version 1.3.0 der freien Community-Version mehrere Sicherheitslücken, bringt neue Integrationen und überarbeitet die Benutzeroberfläche umfassend. Das Release führt unter anderem eine Gitea-Authentifizierung ein, öffnet die API für externe Projektzusammenfassungen und validiert Dateiuploads sowie Projektkennungen strenger. Parallel haben die Entwickler mehrere sicherheitsrelevante Schwachstellen behoben – darunter manipulierbare Rate-Limits für API-Tokens, eine SSRF-Lücke in Webhooks und CSV-Injection beim Datenexport.
Bei Plane handelt es sich um ein quelloffenes Projektmanagement- und Issue-Tracking-System für Entwickler. Es bietet Aufgabenverwaltung, Roadmaps und API-Anbindung und ist als selbst hostbare Alternative zu Jira oder Linear gedacht.
Plane unterstützt ab Version 1.3.0 die Authentifizierung über Gitea. Teams mit selbst gehosteter Git-Infrastruktur können damit Benutzerkonten koppeln oder Single Sign-on einrichten. Neu ist außerdem eine externe Project-Summary-API, über die Drittsysteme Projektübersichten abrufen können – etwa für Dashboards oder Reporting. Webhook-Payloads lassen sich nun zudem lokalisieren.
Projektnamen und -kennungen akzeptieren keine potenziell ausführbaren Sonderzeichen mehr, was Injection-Angriffe erschwert. Im Administrationsmodus verhindert Plane außerdem, dass Admins versehentlich alle Authentifizierungsmethoden deaktivieren. Erweiterte Logs liefern detailliertere Fehlermeldungen bei Authentifizierungsproblemen und erleichtern die Fehlersuche und das Auditing.
Einen großen Teil des Releases machen Änderungen an der Oberfläche aus. Plane setzt stärker auf Design-Tokens – also zentral definierte Werte für Farben, Abstände und andere UI-Parameter –, die für ein einheitlicheres Erscheinungsbild sorgen. Die Entwickler haben unter anderem die Detailansichten von Work Items, die Sidebar, Kommentare sowie die Workspace- und Mitgliederverwaltung überarbeitet. Dropdowns verhalten sich kontextsensitiver und zeigen ausgewählte Einträge oben an. Neue Ladezustände sorgen für flüssigere Übergänge, überarbeitete Themes und Editor-Farben für mehr visuelle Konsistenz.
Attachments akzeptieren jetzt auch Markdown-Dateien. Eine Zeitzonen-Einstellung auf Workspace-Ebene sorgt dafür, dass neue Projekte automatisch die richtige Zeitzone übernehmen. Die Mention-Suche nutzt jetzt Debouncing und löst damit bei schneller Eingabe weniger API-Anfragen aus. Die Navigation zeigt eingehende Aufgaben (Intake) direkt als Zähler an.
Im Bereich Sicherheit verhindert eine serverseitige Absicherung nun, dass Angreifer Rate-Limits von API-Tokens manipulieren. Webhook-URLs durchlaufen eine strengere Validierung, um Server-Side Request Forgery (SSRF) zu unterbinden – also Angriffe, bei denen ein Server dazu gebracht wird, interne Ressourcen anzusprechen.
Beim CSV-Export bereinigt Version 1.3.0 eingebettete Formeln, die Tabellenprogramme wie Excel sonst ungefragt ausführen könnten. Zusätzlich blockiert eine neue Upload-Validierung potenziell schädliche Dateien, und der HTTP-Header X-Frame-Options schützt vor Clickjacking.
Bei der Internationalisierung kommt Ukrainisch als neue Sprache hinzu, die russische Übersetzung wurde erweitert. Zahlreiche Bugfixes betreffen den Editor, die Navigation, API-Endpunkte und E-Mail-Templates.
Alle Informationen zum Update finden sich in den Release Notes auf der Projektseite von Plane auf GitHub [1].
Siehe auch:
URL dieses Artikels:
https://www.heise.de/-11250055
Links in diesem Artikel:
[1] https://github.com/makeplane/plane/releases/tag/v1.3.0
[2] https://www.heise.de/download/product/plane-project-management?wt_mc=intern.red.download.tickermeldung.ho.link.link
[3] https://www.heise.de/ix
[4] mailto:fo@heise.de
Copyright © 2026 Heise Medien
(Bild: software-architektur.tv)
Patterns of Anarchy: Andrew Harmel-Law und Eberhard Wolff sprechen über anarchistische Ideen, die auf Softwarearchitektur treffen.
Andrew Harmel-Law, Tech Principal beim Beratungsunternehmen Thoughtworks, hat eine ungewöhnliche Verbindung zwischen anarchistischer Theorie und moderner Softwarearchitektur aufgedeckt. Ausgangspunkt ist das 1966 erschienene Buch „Patterns of Anarchy“ von Leonard I. Krimerman und Lewis Perry – eine Anthologie anarchistischer Aufsätze, die auch Christopher Alexander als Inspiration für sein einflussreiches Werk „A Pattern Language“ diente.
Harmel-Law stieß auf die Sammlung, weil Alexander sie in seinem 1977 veröffentlichten Standardwerk [1] zitierte. Alexanders Konzept der Pattern Language – 253 Entwurfsmuster für Architektur und Städtebau – hat auch die Softwarebranche nachhaltig geprägt. Die berühmten Design Patterns der sogenannten Gang of Four aus dem Jahr 1994 gehen direkt auf Alexanders Arbeit zurück.
Die Anthologie von Krimerman und Perry versammelt Texte zur anarchistischen Tradition und behandelt unter anderem alternative Gemeinschaftsmodelle und Organisationsprogramme. Besonders der Abschnitt „Constructive Anarchism: Alternative Communities and Programs“ widmet sich praktischen Aspekten dezentraler Organisationsformen – ein Thema, das in der Softwareentwicklung aktueller ist denn je. Darüber sprechen Andrew Harmel-Law und Eberhard Wolff in dieser englischsprachigen Folge des Videocasts software-architektur.tv [2].
Der auf agile Methoden und Domain-Driven Design spezialisierte Berater [4] Andrew Harmel-Law sieht deutliche Parallelen zwischen anarchistischen Organisationsideen und modernen Entwicklungspraktiken. Dezentrale, autonome Strukturen und föderale Entscheidungsprozesse, wie sie anarchistische Denker beschrieben, spiegeln sich in agilen Teams, Open-Source-Communities und selbstorganisierten Entwicklungsgruppen wider. Harmel-Law wird einige der interessantesten Erkenntnisse aus seiner Perspektive als Student des soziotechnischen Organisationsdesigns teilen. Manchmal wird er eigene Kommentare hinzufügen. Und natürlich stellt sich die Frage, inwiefern dies mit Softwareentwicklung zusammenhängt.
Die Folge wird am Freitag, 10. April 2026, live ab 13 Uhr gestreamt. Während des Livestreams können Interessierte Fragen via Twitch-Chat, YouTube-Chat oder anonym über das Formular auf der Videocast-Seite [5] einbringen.
software-architektur.tv ist ein Videocast von Eberhard Wolff, iX-Blogger [6] und bekannter Softwarearchitekt, der als Head of Architecture bei SWAGLab arbeitet. Zum Team gehören außerdem Lisa Maria Schäfer [7] (Socreatory) und Ralf D. Müller [8] (DB Systel). Seit Juni 2020 sind über 250 Folgen entstanden, die unterschiedliche Bereiche der Softwarearchitektur beleuchten – mal mit Gästen, mal Wolff, Schäfer oder Müller solo. Seit mittlerweile mehr als zwei Jahren berichtet heise Developer über die Episoden.
URL dieses Artikels:
https://www.heise.de/-11248682
Links in diesem Artikel:
[1] https://en.wikipedia.org/wiki/A_Pattern_Language
[2] https://software-architektur.tv/
[3] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[4] https://andrewharmellaw.github.io
[5] https://software-architektur.tv/
[6] https://www.heise.de/developer/Continuous-Architecture-2687847.html
[7] https://www.socreatory.com/de/trainers/lisa-moritz
[8] https://techstories.dbsystel.de/blog/profiles/Ralf-D.-Mueller.html
[9] mailto:map@ix.de
Copyright © 2026 Heise Medien
(Bild: Nostrifikator, CC BY-SA 3.0)
In Dukovany steht das älteste Atomkraftwerk Tschechiens. Die Betreiber nennen den Zustand der Reaktorblöcke sowjetischer Bauart „ausgezeichnet“.
Tschechien will sein ältestes Atomkraftwerk am Standort Dukovany bis zu 80 Jahre lang laufen. Das sei kein Ersatz für den geplanten Bau neuer Atomreaktoren, sondern eine „logische Ergänzung“, teilte Industrie- und Handelsminister Karel Havlicek in Prag mit [1]. Die vier Reaktorblöcke des sowjetischen Typs WWER-440/213 gingen bereits in den Jahren 1985 bis 1987 ans Netz. Sie könnten damit bis in die Jahre 2065 bis 2067 Strom produzieren.
Bisher habe man mit einer Betriebsdauer von 60 Jahren gerechnet, sagte der Vorstandsvorsitzende des teilstaatlichen Stromkonzerns CEZ, Daniel Benes. Doch aktuelle Wirtschafts- und Sicherheitsanalysen hätten gezeigt, dass man die Reaktorblöcke in Dukovany länger betreiben könne. „Jeden Tag stellen wir fest, dass sie in einem ausgezeichneten Zustand sind“, sagte Benes. Eine Vereinbarung über eine feste AKW-Laufzeit gibt es in Tschechien nicht.
Umweltschützer – vor allem aus dem nahen Österreich – halten die bestehende Anlage des Typs WWER 440/213 für veraltet. Diese Bauart wurde auch in den Blöcken 5 bis 8 des stillgelegten DDR-Atomkraftwerks Greifswald verwendet. Neben dem Weiterbetrieb der alten Reaktorblöcke plant Tschechien in Dukovany auch den Bau von zwei neuen. Den Zuschlag erhielt im vorigen Jahr der südkoreanische Energiekonzern KHNP [2]. Dukovany liegt rund 100 Kilometer nördlich von Wien und rund 210 Kilometer östlich von Passau.
URL dieses Artikels:
https://www.heise.de/-11251161
Links in diesem Artikel:
[1] https://mpo.gov.cz/cz/rozcestnik/pro-media/tiskove-zpravy/budoucnost-ceske-energetiky-delsi-provoz-stavajicich-dukovan--nove-jaderne-i-obnovitelne-zdroje-a-plyn--292447/
[2] https://www.heise.de/news/Atomkraft-Suedkoreanischer-Konzern-baut-neue-tschechische-Reaktoren-9804671.html
[3] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[4] mailto:mho@heise.de
Copyright © 2026 Heise Medien
Kanada und Deutschland setzen sich für die Fusion ihrer zwei wichtigsten KI-Unternehmen ein: Nach Informationen des Handelsblatts aus Regierungs- und Branchenkreisen verhandeln die kanadische Firma Cohere und die Heidelberger Aleph Alpha über einen Zusammenschluss. Die Gespräche befinden sich in einem fortgeschrittenen Stadium.
Die Bundesregierung ist bereit, ein wichtiger Kunde des fusionierten Unternehmens zu werden und will es mit der Digitalisierung von Behörden beauftragen. Bei dem Zusammenschluss soll eine neue Firma entstehen, die sowohl in Kanada als auch in Deutschland Niederlassungen hat. Perspektivisch ist auch eine finanzielle Beteiligung des Bundes nicht ausgeschlossen.
"Wenn sich führende KI-Unternehmen aus Kanada und Deutschland zusammenschließen, wäre das ein sehr starkes Signal" , sagte Digitalminister Karsten Wildberger (CDU) dem Handelsblatt. Schon heute arbeiteten Deutschland und Kanada eng bei Digitalisierung und künstlicher Intelligenz zusammen, betonte der Digitalminister. Ein Firmenzusammenschluss sei deshalb auch ein wichtiger politischer Schritt. Vor allem sein Bundesministerium treibt laut dem Bericht das Vorhaben voran. Der Vertrag sei im strategischen Interesse Deutschlands und daher von höchster Bedeutung, hieß es in Regierungskreisen. Zustande komme er allerdings nur, wenn sich die kommerziellen Parteien einig werden.
Das Heidelberger KI-Unternehmen Aleph Alpha konnte im milliardenschweren Wettstreit mit den USA und China nicht mithalten. Statt ein eigenes Sprachmodell zu entwickeln, verlegte das Unternehmen den Fokus auf die Nische einer Orchestrierungsplattform für KI. Cohere ist dagegen fast ausschließlich auf dem Enterprise-Sektor aktiv und baut Modelle, die darauf optimiert sind, über große Cloudanbieter in die bestehende Infrastruktur von Unternehmen integriert zu werden.
Es handelt sich nicht um einen Zusammenschluss unter Gleichen: Das kanadische Unternehmen Cohere wird mit 6 bis 7 Milliarden US-Dollar erheblich höher bewertet als Aleph Alpha mit nur 1,5 bis 2 Milliarden US-Dollar.
