heise security News

Best Western Hotels warnt vor Phishing-Attacken

2026-02-25T10:06:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Betrüger haben offenbar Zugang zu aktuellen Buchungsdaten von Best Western Hotels. Das Unternehmen warnt vor einer Phishingwelle.

(Bild: Best Western / heise medien)

11:06 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Die Best Western Hotels (BWH) versenden aktuell E-Mails an alle Kunden, in denen sie vor derzeit laufenden Phishing-Angriffen warnen. Betroffen seien jedoch nicht nur Best Western Hotels, sondern die gesamte Hotellerie weltweit.

In der uns vorliegenden E-Mail schreibt BWH: „Derzeit erreichen uns zahlreiche Meldungen von Reisenden, die im Zusammenhang mit einer bevorstehenden Buchung betrügerische E-Mails oder WhatsApp-Nachrichten von ausländischen Rufnummern und kryptischen E-Mailadressen erhalten haben.“ Im Nachrichtentext werden Empfänger aufgefordert, Buchungen zu bestätigen oder Zahlungsdaten zu verifizieren.

Echte Daten in Phishing-Nachrichten

Wir haben einen Leserhinweis erhalten, demzufolge eine derartige WhatsApp-Nachricht ihn am 17. Februar erreichte, mit der Bitte, eine am 15. Januar vorgenommene Buchung nach Klick auf einen Link zu ergänzen. Bei Nichtbefolgung würde die Buchung innerhalb von 24 Stunden verfallen. Sowohl Buchungsdatum als auch Name waren korrekt, die Telefonnummer stammt mutmaßlich ebenso aus der unbekannten Datenquelle.

BWH führt damit übereinstimmend aus: „Die Absender missbrauchen unsere Logos, um den Eindruck zu erwecken, die Nachrichten kämen von unseren Hotels. Dies ist nicht der Fall. Bitte klicken Sie auf keinen Fall auf enthaltene Links und geben Sie keine persönlichen Daten oder Zahlungsinformationen preis.“ Die Hotelkette ergänzt: „Wir beobachten derzeit eine flächendeckende Phishing-Attacke, die die gesamte Hotellerie weltweit betrifft und nicht auf unsere Hotels beschränkt ist. Diese betrügerischen Nachrichten können Buchungsinformationen enthalten, einschließlich Namen, Kontaktinformationen und Informationen zu einem zukünftigen Aufenthalt.“ Zusätzliche Informationen wie Sonderwünsche, Zahlungsinformationen oder andere sensible Daten seien jedoch nicht enthalten.

Videos by heise

Die Quelle des Datenlecks ist derzeit noch unbekannt. Die Best Western Hotels arbeiten den eigenen Angaben zufolge jedoch „mit externen IT-Spezialisten und den zuständigen Behörden im In- und Ausland [..] mit Hochdruck an der Aufklärung“. Kunden, die eine solche betrügerische Nachricht erhalten haben, sollen einen Screenshot speichern, jedoch keinesfalls auf den enthaltenen Link klicken. Wer bereits Daten auf solch einer Phishing-Seite eingegeben hat, solle die eigene Bank kontaktieren und die Zahlungskarten präventiv sperren lassen. Zudem bitten die Best Western Hotels darum, in diesem Fall auch das Datenschutz-Team mit der E-Mail-Adresse datenschutzbeauftragter@bwhhotels.de zu benachrichtigen.

Die aktuellen Vorfälle erinnern an die ungeklärten Phishing-Vorfälle rund um Booking.com, die etwa Mitte vergangenen Jahres vermehrt Hotels in Südtirol betrafen. Dort kam es vermehrt zu kompromittierten Extranet-Zugängen bei Booking.com.

(dmk)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Spyware kann Kamera- und Mikrofonanzeige beim iPhone abdrehen

2026-02-25T09:19:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Eigentlich sollte man bei jeder iOS-App sehen können, dass Kamera- oder Mikrofonaufzeichnung laufen. Predator, ein Spionageprogramm, hackt diese aber.

Indikator für Kamera (grün) und Mikrofon (orange) auf dem iPhone: Per Hack abdrehbar.

(Bild: Apple)

10:19 Uhr

Lesezeit: 2 Min.

Mac & i

Von

Ben Schwan

Die scheinbar „fest verdrahtete“ Warnung, dass Kamera oder Mikrofon beim iPhone aktuell aktiv sind, lässt sich offenbar umgehen. Das Sicherheitsforschungsteam des MDM-Spezialisten Jamf warnt in einer neuen Untersuchung davor, dass dies mindestens eine bekannte Spyware bereits tut. Dabei handelt es sich um die kommerziell erhältliche Spionagesoftware Predator vom Hersteller Intellexa/Cytrox. Immerhin: Damit der Trick funktioniert, muss das iPhone zuvor vollständig übernommen worden sein und die Spyware Kernelzugriff haben.

Eingriff ins System mit einem Hook

Im Gegensatz zum Mac, der eine physische LED für die Webcam-Anzeige verwendet, für die zumindest aktuell keine Hacks bekannt sind (allerdings früher), werden ein grünes Licht für Kamerazugriff (plus gegebenenfalls Mikrofon) und ein oranges Licht für Mikrofonzugriff auf iPhones und iPads rein grafisch dargestellt. Predator nutzt zur Umgehung dieser tief im System verankerten Funktion eigene Hooks und Code-Injections, die Systemprozesse aushebeln.

Videos by heise

In ihrer Studie, die keine neuen Angriffsformen für die jüngste iOS-Version beschreibt, sondern ein Reverse-Engineering von Predator vornimmt, wird ein einzelner Hook identifiziert, der sowohl Kamera- als auch Mikrofonanzeige aushebeln kann. Frühere Ansätze arbeiteten anders, simulierten ein Herunterfahren des gesamten Geräts, um dann Kamera und Mikrofon aktiv zu lassen. Predator unterdrückt hingegen nur die Anzeige, während das iPhone normal weiterarbeitet.

Spyware braucht kompletten iPhone-Zugriff

Aus der Jamf-Studie geht nicht hervor, was Apple tun könnte, um diese Angriffsform abzuwehren – oder ob die ausgenutzten Lücken weiterhin bestehen beziehungsweise überhaupt abgewehrt werden könnten. "Diese Erkenntnisse schließen Lücken in den vorhandenen Bedrohungsinformationen und zeigen die ausgeklügelten Post-Exploitation-Techniken auf, die von kommerzieller Spyware eingesetzt werden, um die Datenschutzmaßnahmen von iOS zu umgehen", schreiben die Forscher. Wir haben bei Jamf angefragt, wie man die aktuelle Lage dort einschätzt.

Informationen zu Predator waren bereits 2024 bekannt geworden – die Google Threat Intelligence Group hatte die Angriffe aufgedeckt. Bei der Spyware handelt es sich um eine vermutlich sehr teure und nur für gezielte Angriffe eingesetzte Software. Um die Kamera- und Mikrofonanzeige auszuhebeln, muss sie wie erwähnt vollen Zugriff auf das iPhone haben, was nur über die Ausnutzung schwerwiegender Zero-Day-Lücken geht. Diese treten allerdings immer wieder auf.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Preisvergleiche immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Schadcode-Lücken in Dell Repository Manager, Wyse Management Suite geschlossen

2026-02-25T08:48:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Dells Fernwartungstools Repository Manager und Wyse Management Suite sind verwundbar. Sicherheitsupdates schließen mehrere Lücken.

(Bild: Artur Szczybylo/Shutterstock.com)

09:48 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Nutzen Angreifer Sicherheitslücken in Dell Repository Manager oder Wyse Management Suite (WMS) erfolgreich aus, können sie sich höhere Nutzerrechte verschaffen oder sogar eigenen Code ausführen. Letzteres führt in der Regel zur vollständigen Kompromittierung von Systemen. Bislang gibt es noch keine Berichte, dass Angreifer in diesen Fällen bereits Systeme attackieren.

Mit Repository Manager versorgen Admins PowerEdge-Server des Computerherstellers mit unter anderem Systemupdates. Über Wyse Management Suite verwalten Admins Thin-Client-PCs.

Die Gefahren

In Repository Manager haben die Entwickler den Angaben aus einer Warnmeldung zufolge eine Sicherheitslücke (CVE-2026-21420 „hoch“) geschlossen. Voraussetzungen für eine Attacke sind, dass Angreifer lokalen Zugriff haben und über niedrige Nutzerrechte verfügen. Ist das gegeben, können sie auf einem nicht näher beschriebenen Weg Schadcode ausführen und ihre Rechte erhöhen. Die Version 3.4.8 soll gegen solche Angriffe gerüstet sein. Alle vorigen Ausgaben sind den Entwicklern zufolge verwundbar.

Wyse Management Suite ist insgesamt über vier Schwachstellen angreifbar. Zwei Lücken (CVE-2026-22765, CVE-2026-22766) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Im ersten Fall können sich Angreifer mit niedrigen Rechten aufgrund von Fehlern bei der Authentifizierung hochstufen. Im zweiten Fall können Angreifer mit hohen Nutzerrechten eigenen Code ausführen, indem sie mit Schadcode verseuchte Dateien hochladen. Schuld ist eine nicht eingeschränkte Uploadfunktion, erläutern die Entwickler in einer Warnmeldung. Hier schafft die Version 5.5 Abhilfe.

Videos by heise

Zuletzt sorgten Dells Speicherarray-Software für die EMC-Serie Unity, UnityVSA und Unity XT mit Root-Sicherheitslücken für Schlagzeilen.

(des)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

brillen.de: Kundendaten nach erneutem Angriff im Darknet aufgetaucht

2026-02-25T08:24:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Bei brillen.de gab es erneut einen IT-Angriff. Dabei erbeuteten die Täter 1,5 Millionen Kundendatensätze. Die stehen nun im Darknet.

(Bild: heise medien)

09:24 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Der Anbieter brillen.de ist erneut Opfer eines IT-Angriffs geworden. Die Kriminellen konnten dabei abermals Kundendaten abgreifen. Dieses Mal sind Informationen von 1,5 Millionen Kunden betroffen. Mit den Daten lassen sich etwa gezieltere Phishing-Angriffe durchführen, aber auch Identitätsdiebstahl könnte damit möglich sein.

Auf der Webseite von brillen.de haben die Betreiber Supervista einen aktualisierten Hinweis veröffentlicht. Das Unternehmen schreibt dort: „Im Februar 2026 haben wir im Rahmen unseres kontinuierlichen Darknet-Monitorings festgestellt, dass Datensätze mit Kundeninformationen in einem Darknet-Forum veröffentlicht wurden.“ Die Untersuchungen hätten ergeben, dass diese Daten aus „einem separaten, gezielten Cyberangriff stammen, der im September 2025 stattfand.“ Unbefugte hätten sich Zugriff auf Kundendaten verschafft.

brillen.de-Datenleck: Betroffene Informationen

Laut brillen.de seien „personenbezogene Daten wie Name, Anschrift, E-Mail-Adresse, Telefonnummer sowie das Geburtsdatum betroffen“; Passwörter, Zahlungsdaten und Sehwerte waren demnach jedoch nicht in falsche Hände gelangt. Das stimmt auch mit den Angaben überein, die sich im Darknet bei dem Angebot finden. Am 12. Februar dieses Jahres hat ein Täter mit dem Handle „Meow“ die Daten von angeblich 1.531.618 Kunden dort eingestellt. Er erklärte dort zudem, dass es sich um einen neuen IT-Vorfall handelt. „3,5 Millionen Datensätze sind 2024 aus Elastic geleakt, und nicht in die Öffentlichkeit geleakt. Das hier ist ein Leck von Ende 2025 aus ihrem Panel. Die Originaldateien enthalten mehr als zwei Millionen Zeilen. Aber ich habe die analysiert und die Ergebnisdatei umfasst 1,5 Millionen Einträge“ schreibt der Täter im Untergrundforum dazu.

brillen.de gibt an, dass ein Passwortwechsel das Einfallstor für den oder die Angreifer gesichert habe. „Darüber hinaus haben wir umgehend weitere Sicherheitsmaßnahmen implementiert und externe IT-Forensik-Experten eingebunden“, erklärt das Unternehmen. Der Vorfall sei auch der Datenschutzaufsichtsbehörde gemeldet worden. „Wir empfehlen Ihnen, bei unerwarteten Kontaktaufnahmen besondere Vorsicht walten zu lassen und keine sensiblen Informationen weiterzugeben.“

Videos by heise

Bereits im Oktober 2024 gab es einen IT-Vorfall bei brillen.de, bei dem 3,5 Millionen Kundendatensätze offen im Netz zugreifbar waren. Eine Elasticsearch-Instanz des Unternehmens stand ohne vorgeschaltete Authentifizierung zugreifbar im Internet. Rund sechs Wochen später hat Supervista die Ergebnisse der damaligen Untersuchungen öffentlich gemacht.

(dmk)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Windows-Update-Vorschau: Neue Secure-Boot-Zertifikate, App-Backups und mehr

2026-02-25T07:37:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Die Windows-Update-Vorschau im Februar ist umfangreich. Es gibt etwa neue Secure-Boot-Zertifikate und App- und Einstellungs-Backups.

(Bild: heise online / dmk)

08:37 Uhr

Lesezeit: 4 Min.

Security

Von

Dirk Knop

In der Nacht zum Mittwoch dieser Woche hat Microsoft die Update-Vorschau für Windows 11 veröffentlicht. Sie fällt im Februar recht umfangreich aus. Die Aktualisierung bringt unter anderem neue Secure-Boot-Zertifikate und führt Wiederherstellungsfunktionen für das Windows-Backup für Organisationen ein.

Die Details der Änderungen mit den Updates listet Microsoft im Knowledgebase-Eintrag KB5077241 auf. Nach der Installation steht Windows 11 auf den Build-Nummern 26200.7922 (Windows 11 25H2) oder 26100.7922 (Windows 11 24H2). Eigentlich soll die Update-Vorschau nicht sicherheitsrelevante Bestandteile der Updates des kommenden Microsoft-Patchdays einem größeren Test unterziehen. Im Februar gehören jedoch auch aktualisierte Secure-Boot-Zertifikate zur Liste der aktualisierten Komponenten. Die alten laufen im Juni dieses Jahres aus, die neuen werden nun auf mehr Maschinen verteilt. Außerdem haben die Entwickler an der Zuverlässigkeit der BitLocker-Laufwerksverschlüsselung gearbeitet. Jetzt sollen Systemhänger nach Eingabe des BitLocker-Wiederherstellungsschlüssels nicht mehr auftreten.

Update-Bestandteile auch für Unternehmenskunden

Bestandteil von Windows Backup für Organisationen ist auch die Wiederherstellung der Apps aus dem Microsoft Store sowie deren Einstellungen. Das hat Microsoft etwa für den reibungslosen Umzug von Windows 10 auf Windows 11 angepriesen. Beim ersten Login auf Geräten, die an Microsoft Entra angebunden sind, auf Cloud-PCs und in Mehrbenutzerumgebungen startet nun der zugehörige Wiederherstellungsprozess, sodass Nutzer und Nutzerinnen auch auf neuen PCs die gewohnte Umgebung vorfinden. Die „schnelle Systemwiederherstellung“ (Quick Machine Recovery, QMR) schaltet Microsoft nun auf Windows-Pro-Ausgaben scharf, die nicht in einer Organisationsumgebung oder Domäne verwaltet werden. Sollte ein Rechner nicht mehr starten, weil etwa ein Treiber einer Sicherheitslösung wie der von Crowdstrike Mitte 2024 millionenfach den Startvorgang verhindert, startet dadurch die Windows-Wiederherstellungsumgebung, verbindet sich ins Netz und übermittelt Diagnose-Daten. Daraufhin soll sie Lösungen anwenden, die den Rechner wieder normal starten lassen.

Die Update-Vorschau bringt zudem Funktionen mit, die erst vergangene Woche in der Windows-Insider-Vorschau im Release-Vorschau-Kanal gelandet sind. Dazu gehört ein Geschwindigkeitstest für die Netzwerkverbindung, der sich direkt aus der Taskleiste über einen Rechtsklick auf das Netzwerksymbol starten lässt. Neben einem stilisierten Tachometer-Symbol lautet der neue Eintrag „Geschwindigkeitstest durchführen“. Etwas unerwartet startet das lediglich eine Bing-Suche im Standardbrowser nach „Speed Test“, wobei sich ähnlich wie bei der Google-Suche nach dem Begriff ein direkt auf der Ergebnisseite eingebetteter Speedtest starten lässt. Ebenfalls an Bord ist nun die native Sysmon-Unterstützung, wodurch das Überwachungs- und Debugging-Tool direkt als Windows-Zusatzfunktion installiert werden kann.

Mehr Werbung

Weitere Änderungen fallen dahinter etwas zurück. Mehr Werbung im Betriebssystem verkauft Microsoft als Verbesserung im Konto-Menü des Startmenüs, in dem eine „Benefits-Seite“ nun die Übersicht und Verwaltung der Benefits des Microsoft-Kontos ermöglicht. Die Kamera-Einstellungen ermöglichen die Konfiguration von Pan und Tilt bei unterstützten Kameras. Widget-Einstellungen öffnen jetzt eine ganze Seite, anstatt nur einen Einstellungsdialog anzuzeigen. Desktop-Hintergründe können im WebP-Format vorliegen.

Für Windows 11 auf ARM-Prozessoren macht Microsoft nun auch Remote Server Administration Tools (RSAT) verfügbar. Damit lassen sich Active Directory Domain Services und LDAP-Service-Tools und weitere installieren. Die Windows-Update-Seite in den Systemeinstellungen soll schneller reagieren. Auch Nearby-Sharing soll mit größeren Dateien verlässlicher sein.

Videos by heise

Das Update erhalten Windows-11-Installationen automatisch, sofern die Option „Erhalten Sie die neuesten Updates, sobald sie verfügbar sind“ auf der Windows-Update-Einstellungsseite aktiviert wurde. Ansonsten bietet die Suche nach Updates die Aktualisierung als optionales Update an.

(dmk)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Zeitersparnis durch KI – doch viele befürchten Datenlecks

2026-02-25T05:55:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Smarte Spartipps, Betrugsschutz, blitzschnelle Baufinanzierung: KI soll Bankgeschäfte erleichtern. Wie sicher sind die Daten wirklich? Die Skepsis ist groß.

(Bild: Lalaka/Shutterstock.com)

06:55 Uhr

Lesezeit: 2 Min.

Security

Von

Viele Bankkunden stehen der Nutzung von Künstlicher Intelligenz (KI) bei Finanzgeschäften grundsätzlich offen gegenüber – doch die Sorge vor Datenlecks ist groß. In einigen Fällen sind KI-gestützte Entscheidungen schwer zu verkaufen, wenn keine Menschen daran beteiligt sind. Das sind Ergebnisse einer repräsentativen Civey-Umfrage mit 4000 Online-Banking-Nutzern, die das Technologieunternehmen Solaris in Auftrag gegeben hat.

Als größten Vorteil von KI nennen die Befragten in der Erhebung aus dem November Zeitersparnis (46,7 Prozent). Fast ebenso viele sorgen sich jedoch vor Datenlecks (45,6 Prozent). Auf die Frage, was Ihnen besonders wichtig ist, damit sie sich bei KI-gestützten Bank- oder Finanzaufgaben sicher fühlen, steht für vier von fünf Befragten Datensicherheit ganz oben.

Künstliche Intelligenz als Helfer

Zwei Drittel der Befragten (65,5 Prozent) würden KI-Funktionen nutzen, die sie davor warnen, dass sie möglicherweise Geld an einen Betrüger senden. Mehr als die Hälfte würden Vorschläge zur Vermeidung von Gebühren und Kosten (54,6 Prozent) und technische Möglichkeiten nutzen, um Ausgaben zu analysieren und personalisierte Spartipps zu bekommen (51,8 Prozent).

Auch beim Ausfüllen von Formularen (55,1 Prozent) oder dem Zusammenstellen von Informationen für eine Antragstellung (52,8 Prozent) würden die Befragten, die aus einem Katalog von Möglichkeiten auswählen konnten, mehrheitlich auf KI zurückgreifen.

Videos by heise

Aber ohne Menschen geht es nicht

Allerdings würde nur gut ein Drittel der Befragten (37,7 Prozent) einen vollständig automatisierten Kreditantragsprozess nutzen. Dies sei „wahrscheinlich auf die Befürchtung zurückzuführen, dass ein Antrag willkürlich oder unfair abgelehnt werden könnte“, folgern die Auftraggeber der Umfrage. Der Prozentsatz steige auf 55,4 Prozent, wenn der Kreditprozess eine Überprüfung und Genehmigung durch Menschen umfasst.

Kreditentscheidung in einer halben Stunde?

Die Direktbank ING hatte jüngst angekündigt, Anträge auf Baufinanzierung mithilfe von KI bald innerhalb von 30 Minuten prüfen zu können. Künstliche Intelligenz soll bei der automatisierten Beschaffung zentraler Objektdaten wie Grundstücksgröße oder Wohnfläche aus öffentlichen und amtlichen Quellen zum Einsatz kommen.

Es folgt – mit Zustimmung des Kunden – eine ebenfalls automatisierte Bonitätsprüfung durch einen digitalen Blick ins Konto desjenigen, der eine Baufinanzierung beantragt hat.

Die ING Deutschland versichert: Trotz der massiven technischen Unterstützung entscheide bei dieser „Instant Baufi“, die im Laufe des zweiten Quartals 2026 beginnen soll, letztlich ein Mensch, ob der Kredit gewährt wird oder nicht.

(dmk)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Microsoft-Anleitung für Secure-Boot-Zertifikate von Windows Servern

2026-02-24T13:25:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Microsofts Secure-Boot-Zertifikate laufen im Juni aus und müssen ersetzt werden. Microsoft gibt Server-Admins eine Handreichung.

(Bild: Dirk Knop / heise medien)

24.02.2026, 14:25 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Microsoft hat ein „Playbook“ für den Umgang mit den im Juni 2026 auslaufenden Secure-Boot-Zertifikaten von Windows Servern herausgegeben. Es soll IT-Verantwortlichen in Organisationen helfen, die Zertifikate unter Windows-Server-Versionen auszutauschen, bevor sie im Juni ablaufen.

Ein aktueller Blog-Beitrag in Microsofts Techcommunity erklärt verfügbare Werkzeuge und Optionen. Die Autoren schränken ein, dass die Anleitung nicht auf Azure Local-Hosts, Windows-PCs oder Hyper-V-VMs der ersten Generation anwendbar ist.

Ablaufende Zertifikate: Manuelle Eingriffe nötig

Microsoft erklärt, dass die Secure-Boot-Zertifikate mit einer vordefinierten Laufzeit versehen sind, wie andere kryptografische Objekte auch. Der periodische Austausch helfe, aktuelle Sicherheitsanforderungen zu erfüllen. Daher müssen Organisationen sicherstellen, dass die Secure-Boot-CAs aus 2023 auf den Windows-Server-Systemen vorhanden sind, bevor die alten CAs aus dem Jahr 2011 ablaufen. „Systeme mit den CAs von 2011 laufen nach Juni 2026 Gefahr, mit einem geringeren Sicherheitsstatus zu arbeiten“, führen die Autoren aus.

Windows Server 2025 auf zertifizierten Server-Plattformen bringt bereits die 2023er-Zertifikate in der Firmware mit. Auf Servern, bei denen das nicht der Fall ist, müssen IT-Verantwortliche die Zertifikate manuell aktualisieren, da Windows Server sie nicht automatisch erhält. Anders als Windows-PCs, die die Secure-Boot-Zertifikatsupdates als Teil des Controlled Feature Rollout (CFR) im Rahmen der monatlichen Updates erhalten, erfordern Windows Server manuelle Eingriffe.

Microsoft liefert dann eine schrittweise, nachvollziehbare Anleitung. Sie beginnt mit Inventur und Vorbereitung der Umgebung. Anschließend geht sie weiter zur Überwachung und Prüfung des Secure-Boot-Status der Geräte und darauffolgend hin zur Anwendung benötigter OEM-Firmware-Updates vor den Zertifikatsaktualisierungen. Daran schließt sich die Planung und Begleitung der Secure-Boot-Zertifikatsverteilung an und schließlich endet sie mit Problemlösungen und dem Beheben üblicher Probleme.

Videos by heise

Admins mit Windows-Servern im Netzwerk sollten die Anleitung studieren und deren Umsetzung in absehbarer Zeit in Angriff nehmen. Für Windows-Desktop-Systeme hat Microsoft bereits Ende Januar mit der Verteilung von aktualisierten Secure-Boot-Zertifikaten begonnen. Mit der Sensibilisierung für den anstehenden Zertifikatsaustausch hat Microsoft zudem bereits im Juni vergangenen Jahres angefangen.

(dmk)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

iOS 26.4 Beta 2: Apple testet RCS-Verschlüsselung mit Android

2026-02-24T10:28:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Apple hat eine neue Entwicklerbeta fürs iPhone freigegeben. Damit lassen sich erstmals verschlüsselte RCS-Gespräche in Richtung Android testen – und mehr.

iOS 26: Apple reicht nach wie vor neue Features nach.

(Bild: Apple)

11:28 Uhr

Lesezeit: 2 Min.

Mac & i

Von

Ben Schwan

Nach ersten Versuchen zwischen iPhones mit einer Ende-zu-Ende-Verschlüsselung (E2EE) für den SMS-Nachfolger Rich Communication Services (RCS) unter iOS 26.4 Beta 1 beginnt Apple nun mit „richtigen“ Tests des Dienstes. Mit der in der Nacht zum Dienstag erschienenen zweiten Beta von iOS 26.4 für Entwickler soll man nun auch in Richtung Android sicher kommunizieren können. Das geht aus dem Beipackzettel für iOS 26.4 Beta 2 hervor. Allerdings gilt das, wie schon zuvor zwischen iPhones, nicht für alle Mobilfunkanbieter – bei manchen ist der Dienst schlicht nicht freigeschaltet.

Erste Tests von Android zu iPhone und umgekehrt

Wie Apple mitteilt, geht es zunächst nur um „Tests zwischen Apple- und Android-Geräten“. Auf Android-Seite muss die jüngste Version von Google Messages vorhanden sein. Eine Freigabe von RCS-E2EE mit der Finalversion von iOS 26.4 ist derzeit nicht geplant. Die Funktion kommt erst mit einer „späteren Version“ von iOS 26, so der iPhone-Hersteller, ohne genaue Angaben zu machen. Die Implementierung ist nicht nur für iOS, sondern auch für iPadOS, macOS und watchOS geplant.

Videos by heise

Apple nutzt den E2EE-Standard für RCS, den die GSM Association vorgeschlagen hat – offenbar im Rahmen von RCS Universal Profile 3.0, das noch weitere Verbesserungen verspricht, darunter E2EE-Gruppenchats, das nachträgliche Editieren von Botschaften, Tapbacks mit Emojis und mehr. Damit das alles funktioniert, müssen offenbar passende Carrier-Profile her, die die Mobilfunkanbieter ausliefern. Google hat E2EE via RCS zwischen Android-Geräten hingegen über eigene Server umgesetzt.

Weitere Neuerungen in iOS 26.4 Beta 2

Die zweite Beta von iOS 26.2 für Entwickler liefert auch noch weitere Neuerungen. So gibt es grafische Änderungen beim Editieren des Homescreens (stärkerer Liquid-Glass-Effekt), eine veränderte Suche in der Games-App (Eingabeleiste oben), Layout-Anpassungen im App Store und bei Apple Music und sogenannte Highlighting-Effekts lassen sich im Bereich Barrierefreiheit nun deaktivieren.

Schließlich schaltet sich die Verteilung von Beta-Updates nun automatisch ab, wenn man vier Monate lang keine neue Vorabversion installiert hat. Weiterhin nicht in Europa erhältlich ist unterdessen die neue KI-Wiedergabeliste für Apple Music, sie steht bislang nur US-Nutzern zur Verfügung.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Preisvergleiche immer laden

(bsc)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Microsoft beendet Unterstützung für Windows-Versionen aus 2016

2026-02-24T10:23:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Windows-Versionen aus 2016 erhalten in Kürze keinen Support mehr. Erweiterte Sicherheits-Updates (ESU) sind jedoch in Planung.

(Bild: charnsitr / Shutterstock.com)

11:23 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Microsoft beendet den Support für drei Windows-Produkte, die im Jahr 2016 erschienen sind. Das nahende Aus lässt sich etwa mit erweiterten Sicherheits-Updates (ESU) hinauszögern – natürlich mit einem Preis verbunden.

Im Windows-Release-Health-Message-Center hat Microsoft das angekündigt. Ein Blog-Beitrag im Windows-IT-Pro-Blog geht auf die Details ein. Demnach läuft der offizielle Support zehn Jahre nach Erscheinen für Windows 10 Enterprise LTSB 2016, Windows 10 IoT Enterprise 2016 LTSB (beide am 13. Oktober 2026) sowie für Windows Server 2016 (am 12. Januar 2027) aus. Das sind die Daten der jeweils letzten Sicherheits-Updates, die Maschinen mit diesen Windows-Versionen offiziell erhalten. „Danach erhalten diese Geräte keine Windows-Sicherheits-Updates, non-Security-Updates, Fehlerkorrekturen, technischen Support oder Updates für technische Inhalte mehr“, schreibt Microsoft. Es gebe aber gute Neuigkeiten: Wer zusätzliche Zeit benötige, könne das ESU-Programm nutzen.

ESU: Preise teils noch nicht bekannt

Im Rahmen des ESU können Interessierte monatliche Sicherheitsupdates für bis zu weitere drei Jahre bei Microsoft einkaufen. Neue Funktionen, Verbesserung der Qualität oder Designänderungen fallen nicht darunter, ebenso gibt es keinen weiteren technischen Support für die betroffenen Windows-Versionen. Für Windows Server 2016 muss Microsoft noch Preise ausknobeln. Windows IoT Enterprise LTSB 2016 ist ausschließlich über die OEMs der Geräte erhältlich – die bestimmen auch Preis und Verfügbarkeit.

Für Windows 10 Enterprise 2016 LTSB sollen ab dem zweiten Quartal 2026 ESU-Lizenzen für 61 US-Dollar je Maschine und Jahr verfügbar werden. Wer die Geräte mit Intune oder Autopatch verwaltet, erhält einen rabattierten Preis von 45 US-Dollar. Jedes Jahr verdoppelt sich der jedoch – wer sich also erst im zweiten Jahr dazu entscheidet, Maschinen mit einer ESU-Lizenz auszustatten, zahlt das erste Jahr trotzdem mit. Preise in Euro nennt Microsoft noch nicht.

Videos by heise

Microsoft empfiehlt Betroffenen, auf Windows Server 2025, Windows 11 Enterprise LTSC 2024 oder Windows 11 IoT Enterprise LTSC 2024 zu aktualisieren und damit länger offizielle Unterstützung einschließlich technischen Support zu erhalten.

Mit dem Support-Ende dieser Windows-Versionen dürften die meisten IT-Verantwortlichen Übung haben. Das offizielle Support-Aus für Windows 10 zum 14. Oktober 2025 hatte großen Handlungsbedarf erzeugt. Microsoft lieferte da zudem Hinweise und Tipps.

(dmk)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

40 Sicherheitslücken in ImageMagick geschlossen

2026-02-24T09:39:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Die Bildbearbeitungssoftware ImageMagick ist an mehreren Stellen verwundbar. Sicherheitspatches stehen zur Installation bereit.

(Bild: Photon photo/Shutterstock.com)

10:39 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Angreifer können insgesamt an 40 Schwachstellen in ImageMagick ansetzen, um Computer zu attackieren. Nach erfolgreichen Angriffen kommt es in erster Linie zu DoS-Zuständen und somit zu Abstürzen. Bislang gibt es seitens des Softwareherstellers keine Hinweise auf laufende Attacken. Admins sollten mit dem Patchen aber nicht zu lange zögern.

Verschiedene Gefahren

Mit der freien Bildbearbeitungssoftware erstellt und bearbeitet man Raster- und Vektorgrafiken. Im Sicherheitsbereich der GitHub-Website des Projekts sind weiterführende Informationen zu den in den Ausgaben 6.9.13-40 und 7.1.2-15 geschlossenen Lücken aufgeführt. Von den 40 gelösten Sicherheitsproblemen sind acht mit dem Bedrohungsgrad „hoch“ eingestuft.

So kommt es etwa bei der Verarbeitung von SVG-Dateien zu Fehlern und es werden rund 674 GB Speicher beansprucht, was zu Abstürzen führt (CVE-2026-25985). Die Verarbeitung von PSD-Dateien mit einem ZIP-Compressed-Layer führt ebenfalls zu Abstürzen (CVE-2026-24481). Im Kontext von Speicherfehlern kommt es oft nicht nur zu DoS-Zuständen, sondern es kann auch Schadcode auf Systeme gelangen.

Videos by heise

Wie solche Attacken im Detail ablaufen könnten, ist bislang unklar. Die knappen Beschreibungen der Schwachstellen lassen aber darauf schließen, dass Opfer eine von einem Angreifer präparierte Datei öffnen müssen, um eine Attacke einzuleiten. Im Kontext von Webanwendungen liegt es nahe, dass der Upload einer präparierten Datei Schaden anrichten kann.

Weitere mögliche Attacken

Der Großteil der verbleibenden Softwareschwachstellen ist mit dem Bedrohungsgrad „mittel“ versehen. In diesen Fällen können Angreifer unter anderem ebenfalls Speicherfehler auslösen oder die CPU zu 100 Prozent auslasten (CVE-2026-26283 „mittel“). Außerdem kann es zu Memoryleaks kommen.

(des)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

MedConf 2026: Das Programm der Medizintechnik-Konferenz steht

2026-02-24T09:00:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

heise-Angebot

Die MedConf by heise ist die wichtigste deutschsprachige Konferenz zur Entwicklung von Medizintechnik. Der Branchentreff findet im Mai in München statt.

10:00 Uhr

Lesezeit: 3 Min.

Von

Dr. Oliver Diedrich

Vom 19. bis 21. Mai 2026 findet in München-Unterhaching die MedConf statt, die etablierteste Networking-Plattform für Software- und Geräteentwicklung in der Medizintechnik. Die Veranstaltung von heise medien richtet sich an Fachexperten aus Forschung und Entwicklung, Qualitätsmanagement, Produktentwicklung und Regulatory Affairs. Rund 250 Teilnehmer nutzen die Konferenz jährlich, um sich über aktuelle Entwicklungen auszutauschen und praxisnahe Lösungen für die Herausforderungen der Branche zu finden.

Seit ihrer Gründung im Jahr 2007 hat sich die MedConf als zentrale Technologie-Drehscheibe der deutschsprachigen Medizintechnik-Branche etabliert. Die Konferenz adressiert das Spannungsfeld zwischen regulatorischen Anforderungen und agiler, effizienter Produktentwicklung. Das Themenspektrum wurde über die Jahre kontinuierlich erweitert und umfasst heute neben klassischen Themen wie Safety, Security und Usability auch KI in der Medizintechnik, Gerätevernetzung und Medical Apps.

Know-how von Spezialisten

Eine Besonderheit der MedConf sind die 100-minütigen Intensiv-Coachings in kleinen Gruppen mit handverlesenen Experten. Das Motto „Von KÖNNERN und nicht nur von Kennern“ verdeutlicht den praktischen Ansatz der Veranstaltung. Teilnehmer erhalten Zertifikate für die absolvierten Coachings. Neben den Vorträgen und Coachings bietet die MedConf eine Partnerausstellung mit Branchenunternehmen.

Das Programm der MedConf 2026 adressiert zentrale Probleme der Branche. An drei Tagen mit vier parallelen Tracks geht es um Usability in der Medizintechnik, Geräte-Entwicklung, Software-Engineering, KI in der Medizintechnik. Safety und Security, Normen und Richtlinien sowie Agilität. So befasst sich ein Vortrag von Constantin Hoya und Michael Kitzelmann mit agilen Frameworks in regulierten Umfeldern. Dabei geht es um die Frage, warum agile Methoden in MedTech-Organisationen oft nicht zu besseren Entscheidungen führen. Als Kernprobleme identifizieren die Referenten fehlendes Mandat für Product Owner, Teams ohne Risiko- oder Produkthoheit sowie Quality und Compliance als Kontrolle statt als Lernsystem.

Videos by heise

Worst Practices und Compliance by Design

Bernd Schleimer und Joachim Pfeffer präsentieren in unterhaltsamer Form Worst Practices der MedTech-Produktentwicklung. Das Format orientiert sich an „Fuckup-Nights“ aus der Start-Up-Szene und richtet sich speziell an Produkt Manager und Clinical-/Regulatory Affairs Spezialisten. Der Vortrag schließt mit der Vorstellung von „Compliance by Design“ als Leading Practice. Eine Vertiefung erfolgt in einem Praxis-Workshop mit TÜV-Rheinland-Build-in-Compliance-Modulen.

Die Digitalisierung im Gesundheitswesen steht im Fokus eines Vortrags von Susanne Bublitz. Sie zeigt Praxischallenges auf, darunter Medienbrüche, doppelte Dokumentation und semantische Inkonsistenzen zwischen Praxisverwaltungssystemen, Krankenhausinformationssystemen und der elektronischen Patientenakte. Als zentrale Spannungsfelder identifiziert sie HL7v2-Bestandskommunikation versus FHIR-basierte Zielarchitekturen sowie die Integration von KI-Assistenzsystemen mit offenen Verantwortungsfragen.

(odi)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Microsoft Edge: Tumult um VPN-Funktion

2026-02-24T08:13:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Aktuell macht eine Meldung die Runde: Microsoft Edge Secure Network ist gar kein VPN. Es macht jedoch das, was angekündigt war.

(Bild: DANIEL CONSTANTE/Shutterstock.com)

09:13 Uhr

Lesezeit: 4 Min.

Security

Von

Dirk Knop

Derzeit häufen sich die Meldungen, dass die Funktion „Microsoft Edge Secure Network“ gar kein VPN sei. Es stelle die Funktion nur für den Browser und nicht für das gesamte System bereit. Zudem wird nicht aller Verkehr getunnelt. Das hat Microsoft jedoch nie versprochen.

Der derzeitige Aufschrei geht zurück auf einen Beitrag auf X von einem jungen IT-Sicherheitsforscher namens Sooraj Sathyanarayanan. Dort schreibt er: „Ich habe eine gründliche Sicherheitsanalyse von Microsoft Edges ‚Secure Network VPN‘ gemacht“. Der Name lautet allerdings offiziell „Microsoft Edge Secure Network“ (auf Deutsch etwas ungelenk das „sichere Microsoft Edge-Netzwerk“). Die Beschreibung in den Browser-Einstellungen unter „Datenschutz, Suche und Dienste“ – „Sicheres Microsoft Edge-Netzwerk verwenden“ lautet tatsächlich „integriertes VPN, das vor Onlinetrackern schützt. Sie erhalten 5 GB kostenloses VPN pro Monat“. Etwas detaillierter ist nach Klick auf das Fragezeichen neben der Funktion zu lesen: „Secure Network ist ein integriertes VPN, mit dem Sie Ihre Netzwerkverbindungen gegen Online-Hacker absichern, sich vor Onlinetrackern schützen und Ihren Standort privat halten können. Sie erhalten jeden Monat 5 GB kostenlose sichere Netzwerkdaten, wenn Sie sich mit Ihrem Microsoft-Konto bei Edge anmelden“.

Tunnel für Klartext-Verbindungen im Browser

Sathyanarayanan erklärt, dass Edge Secure Network jedoch kein VPN sei. Es handele sich um einen „HTTP CONNECT“-Proxy, der auf Cloudflares Privacy-Proxy-Plattform aufsetzt. Lediglich Verkehr aus dem Edge-Browser werde getunnelt. Andere Anfragen des Systems wie DNS-Anfragen, E-Mail-Clients, Hintergrunddienste, Betriebssystemupdates, schlicht alles außerhalb von Edge bleibt weiterhin sichtbar. Schlimmer noch: Standardmäßig sei die „optimierte“ Einstellung vorausgewählt, die nur in öffentlichen WLANs oder beim Besuch unverschlüsselter HTTP-Seiten eingreift. Im heimischen Netz macht das VPN also beim Besuch von HTTPS-Seiten nichts, außer man stellt die Einstellungen um auf „Alle Seiten“. „Die meisten User werden das niemals machen, was bedeutet, die meisten User erhalten die meiste Zeit null Schutz“, führt der IT-Forscher aus. Ein weiteres Problem liegt darin, dass der Traffic ohne Verschlüsselung weiterlaufe, wenn die Verbindung zu Cloudflare-Servern ausfalle – ohne, dass Nutzer gewarnt würden.

Außerdem muss man sich mit einem Microsoft-Konto anmelden. Damit ist die eigene Identität mit der VPN-Nutzung verknüpft. Sofern ein Konto angemeldet ist, synchronisiert er die meisten Daten, den Verlauf, Passwörter, Favoriten, Formulardaten, Erweiterungen und geöffnete Tabs in allen Edge-Instanzen. Daher erfordere Edge Secure Network die vollständige Offenlegung der Identität der Nutzer. Zudem übernimmt Cloudflare das Routing. Alle 25 Stunden lösche das Unternehmen Diagnose- und Support-Daten. Microsoft behauptet, dass Cloudflare niemals die Konto-Identität sehe, und Cloudflare gibt an, dass es den Traffic nicht untersuche. Hier müssten Nutzer den Unternehmen vertrauen, da sie keine unabhängige Überprüfung vornehmen können und die Codebasis Closed Source sei.

Microsofts Angebot

Zwar sind die Beobachtungen korrekt. Allerdings behauptet Microsoft gar nicht, dass es sich um ein vollwertiges VPN handelt. Bereits bei der Vorstellung in einer Vorabversion von Microsoft Edge im April 2022 war der Nutzen des Quasi-VPNs im Webbrowser klar: „Der Datenverkehr ist damit auch bei Verbindungen, die nicht SSL-gesichert sind, nicht mehr abhörbar. Zudem verschleiert der Tunnel die eigene IP-Adresse, sodass Tracking erschwert wird. Der Tunnel wird über den CDN- und Internet-Security-Anbieter Cloudflare aufgebaut.“

Videos by heise

Auf der verlinkten Webseite zu „Microsoft Edge Secure Network“ erklärt das Unternehmen auch die Voreinstellung, dass zur Begrenzung des Traffics nur unsichere Verbindungen über die VPN-Tunnel gehen. „Um Ihre zugewiesene VPN-Datenbandbreite zu schonen, werden Streaming-Seiten wie Netflix, Hulu, HBO und andere nicht über den Secure-Network-VPN-Dienst geleitet, es sei denn, Sie entscheiden sich dafür, das VPN für alle Seiten zu nutzen“, schreibt Microsoft dort.

Übertriebene Aufregung

Die Aufregung um die Microsoft-Edge-Funktion erscheint daher übertrieben. Interessierte müssen die Funktion überhaupt erst finden und aktivieren. Dass daraus aufgrund der Beschreibung die Erwartung erwächst, dass sämtlicher Traffic des Geräts über einen VPN-Tunnel geleitet wird, ist zumindest zweifelhaft. Bei anderen Webbrowsern mit integrierter VPN-Funktion erwartet das vermutlich ebenfalls niemand. Microsoft geht zudem offen damit um, dass Nutzer angemeldet sein müssen und Cloudflare den Dienst bereitstellt.

(dmk)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Mit ChatGPT erstellte Passwörter sind nicht sicher

2026-02-23T13:45:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Wer KI-Chatbots auffordert, starke Passwörter zu erstellen, erhält zwar sicher erscheinende Ergebnisse, jedoch sind die Passwörter leicht zu knacken.

126

(Bild: TierneyMJ/Shutterstock.com)

23.02.2026, 14:45 Uhr

Lesezeit: 3 Min.

Von

Jörn Brien

Auf den ersten Blick mag es als sinnvolle Idee erscheinen, KI-Chatbots mit der Erstellung von sicheren Passwörtern zu beauftragen. Doch das dürfte sich schnell als gefährlicher Irrtum herausstellen, wie Sicherheitsforscher warnen.

KI mit eingebauter Schwachstelle

Entsprechenden Tests der Firma Irregular zufolge lassen sich die per KI erstellten Passwörter nämlich leicht knacken – und das, obwohl sie für Laien durchaus sicher aussehen. Das Problem: Große Sprachmodelle (LLM), auf denen ChatGPT, Gemini oder Claude basieren, haben in diesem Zusammenhang eine eingebaute Schwachstelle.

Denn diese KI-Systeme sind darauf optimiert, vorhersehbare und plausible Ergebnisse zu generieren. Das sei mit einer sicheren Passworterzeugung nicht kompatibel, warnen die Experten. Oder einfacher gesagt: LLMs können keinen echten Zufall, da sie Zeichenfolgen anhand von Wahrscheinlichkeiten und den integrierten Trainingsdaten ausgeben.

Zeichenfolgen an vorhersehbaren Stellen

Dabei erzeugen die KI-Chatbots zwar Passwörter, die aussehen wie sichere Zeichenfolgen mit Sonderzeichen und Zahlen. Allerdings würden diese oft an identischen und damit vorhersehbaren Stellen platziert, so die Experten. Ein kryptografisch sicheres Passwort habe eine Entropie von rund 98 Bit. Die KI-generierten Passwörter haben in den Tests dagegen nur rund 27 Bit erreicht. Das bedeute, dass Hacker die KI-Passwörter per Brute-Force-Attacke selbst mit normalen Computern innerhalb von Stunden statt Jahrzehnten knacken könnten.

Getestet haben die Sicherheitsforscher Anthropics Claude Opus 4.6, OpenAIs GPT-5.2 und Googles Gemini 3 Flash. Bei allen drei KI-Systemen hätten sich feste Strukturen gezeigt, etwa identische Anfänge und nur geringe Variationen bei der Zeichenauswahl.

Videos by heise

Muster in Open-Source-Code

Den Forschern zufolge ist das Problem längst nicht mehr theoretisch, sondern habe längst seinen Niederschlag in der Softwareentwicklung gefunden. So seien die identifizierten Muster in Open-Source-Code auf GitHub gefunden worden. Das sogenannte Vibe-Coding könne dadurch zum gefährlichen Einfallstor für Cyberangriffe werden.

Experten raten daher zur Nutzung von Passwort-Managern, die auf kryptografisch sichere Pseudozufallszahlengeneratoren setzen. Einige KI-Anbieter haben derweil schon auf die potenzielle Gefahr reagiert. Gemini etwa zeigt Warnhinweise an, dass die von der KI erstellten Passwörter nicht für echte Konten genutzt werden sollten.

Lesen Sie auch

Sicher anmelden ohne Passwort: c’t-Webinar zu Passkeys

c’t-Webinar Passkeys verstehen und im Alltag einsetzen

Sparkassen stellen Passwort-Manager S-Trust ein

Netzwerkfreigaben checken: Sensible Daten in offenen Windows-Fileshares

Opera: Passwörter importieren - so klappt's

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Sicherheitsupdate: Schadcode-Attacken auf GIMP möglich

2026-02-23T10:36:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Angreifer können PCs, auf denen das Grafikprogramm GIMP installiert ist, attackieren. Dafür müssen Opfer aber mitspielen.

(Bild: Alfa Photo/Shutterstock.com)

23.02.2026, 11:36 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Bei der Verarbeitung von bestimmten Dateitypen durch GIMP kann es zu Fehlern kommen. Das ist ein Einstiegspunkt für Angreifer, um Schadcode auf Computer zu schieben und auszuführen. Eine dagegen abgesicherte Version steht zum Download bereit.

Die Gefahren

Sicherheitsforscher von Trend Micros Zero Day Initiative führen die Lücken in ihrem Portal auf. Wie aus mehreren Warnmeldungen (CVE-2026-2044 „hoch“, CVE-2026-2045 „hoch“, CVE-2026-2047 „hoch“, CVE-2026-2048 „hoch“) hervorgeht, können entfernte Angreifer für Schadcode-Attacken an den Schwachstellen ansetzen. Ob davon alle Betriebssysteme bedroht sind, geht aus den Beiträgen nicht hervor.

Die Fehler finden sich bei der Verarbeitung von ICNS-, PGM- oder XWD-Dateien. Dabei kommt es zu Speicherfehlern und es gelangt Schadcode auf PCs. Das geschieht aber nicht ohne Weiteres: Dazu müssen Angreifer den Opfern eine präparierte Datei unterschieben, die diese dann öffnen. Alternativ können Angreifer präparierte Dateien auf einer von ihnen kontrollierten Website zum Download bereitstellen.

In den Beiträgen der Sicherheitsforscher gibt es keine Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen. Unklar bleibt auch, an welchen Parametern man bereits attackierte Systeme erkennen kann.

Hintergründe

Die Zero Day Initiative gibt an, dass die Sicherheitslücken bereits im November vergangenen Jahres an die GIMP-Entwickler gemeldet wurden. Die Warnmeldungen wurden erst jüngst veröffentlicht. Aus dem Changelog zu GIMP 3.0.8 von Ende Januar dieses Jahres geht hervor, dass die Entwickler die Sicherheitsprobleme gelöst haben. Nutzer sollten sicherstellen, dass sie mindestens diese Version installiert haben.

Videos by heise

Zuletzt sorgte GIMP im IT-Security-Kontext im Oktober 2025 für Schlagzeilen, als die Entwickler ebenfalls Schadcode-Schlupflöcher geschlossen haben.

(des)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

CarGurus: Have I Been Pwned integriert Daten von 12,5 Millionen Kunden

2026-02-23T09:53:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Have I Been Pwned ist um 12,5 Millionen Einträge von CarGurus-Nutzern und -Nutzerinnen reicher. Die haben ShinyHunters geklaut.

(Bild: heise medien)

23.02.2026, 10:53 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Die kriminelle Online-Bande ShinyHunters hat Daten von Nutzern und Nutzerinnen bei dem Fahrzeug-Verkaufsdienstleister CarGurus Inc. kopiert. Nach offenbar fehlgeschlagenem Erpressungsversuch des seit 2017 auch in Deutschland aktiven Unternehmens sind die Daten nun öffentlich. Das Prüfangebot Have-I-Been-Pwned (HIBP) von Troy Hunt hat die Daten aufgenommen. Wer die Plattform genutzt hat, kann dort jetzt prüfen, ob die eigenen Informationen betroffen sind.

Wie Hunt auf der Have-I-Been-Pwned-Übersichtsseite zu den Datenlecks schreibt, umfassen die veröffentlichten Daten mehr als 12 Millionen E-Mail-Adressen in mehreren Dateien. Zudem sind Nutzerkonten-IDs enthalten, Daten aus finanziellen Vorprüfungen, Händlerkonten sowie Abo-Informationen. Hunt führt weiter aus, dass auch Namen, Telefonnummern, Anschriften und IP-Adressen sowie der Ausgang von Finanzierungsanfragen betroffen sind.

CarGurus: Umfangreicher Datensatz kopiert

Laut der Leaksite von ShinyHunters im Darknet sind die Daten komprimiert 6,1 GByte groß und umfassen mehr als 12,4 Millionen Einträge – das deckt sich mit den Angaben von Troy Hunt. Die Cyberbande hat die Daten demnach am vergangenen Samstag veröffentlicht. Hunt hat sie am gestrigen Sonntag in die HIBP-Datensammlung eingepflegt.

Videos by heise

ShinyHunters fielen etwa Mitte Dezember auf, als die Kriminellen Daten von einem Dienstleister von Pornhub abgegriffen hatten und mit deren Veröffentlichung drohten. Diese gehörten etwa zu Nutzern des Premium-Angebots der Pornografie-Plattform. Zu dem Zeitpunkt war der Darknet-Auftritt der Gruppe offline. Nun ist er jedoch wieder erreichbar.

Wer prüfen möchte, ob die eigene E-Mail-Adresse in diesem oder anderen Datenlecks enthalten ist, kann das einfach auf der Webseite des Have-I-Been-Pwned-Projekts machen. Der Identity Leak Checker des Hasso-Plattner-Instituts bietet einen vergleichbaren Dienst an, ebenso die Universität Bonn mit ihrem eigenen Identity Leak Checker. Anfang November vergangenen Jahres hatte das Have-I-Been-Pwned-Projekt 1,3 Milliarden neu geleakter E-Mail-Adressen zu dem Datenfundus hinzugefügt. Sie stammten von Datensammlungen, die Infostealer-Malware angelegt hatte.

(dmk)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Pi-hole: Update schließt Sicherheitslücken und liefert mehr Performance

2026-02-23T08:11:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Die Pi-hole-Programmierer haben dem DNS-Werbefilter Sicherheitslücken ausgetrieben und die Software verschlankt.

134

(Bild: heise medien)

23.02.2026, 09:11 Uhr

Lesezeit: 3 Min.

Security

Von

Dirk Knop

Der DNS-basierte Werbeblocker Pi-hole stopft in aktualisierter Fassung zwei Sicherheitslücken. Außerdem haben die Programmierer Änderungen umgesetzt, die der Performance insbesondere auf älteren Raspberry Pis auf die Sprünge helfen.

In einem Blog-Beitrag auf der Pi-hole-Webseite haben die Entwickler die neuen Versionen der Komponenten angekündigt. Die darin geschlossenen Sicherheitslücken betreffen das Web-Interface von Pi-hole. Zum einen hätten als Admin angemeldete Angreifer eine „Stored HTML-Injection“-Schwachstelle missbrauchen können, um HTML-Code einzuschleusen, der bei der Anzeige der DNS-Eintragstabelle angezeigt wird (CVE-2026-26952, CVSS 5.4, Risiko „mittel“). Zum anderen gelingt dies auch auf der API-Einstellungswebseite (CVE-2026-26953, CVSS 5.4, Risiko „mittel“).

Aktualisierte Pi-hole-Komponenten

Die aktuellen Pi-hole-Komponenten FTL 6.5, Web 6.4.1 und Core 6.4 stopfen die Sicherheitslecks in der Web-Oberfläche. Wer Pi-hole einsetzt, sollte generell sicherstellen, dass die Web-GUI nicht offen im Internet steht und gegebenenfalls den Zugriff auf die Admin-Rechner beschränken.

Die aktualisierten Teile von Pi-hole haben jedoch noch mehr zu bieten. Die Performance haben die Entwickler nach eigenen Angaben darin verbessert. Das Starten geht nun schneller, da FTL den Anfragenverlauf asynchron aus der Datenbank importiert. Bislang blieb die DNS-Auflösung blockiert, bis der komplette Anfrageverlauf in den Speicher geladen wurde. Jetzt akzeptiert FTL Anfragen umgehend und importiert die alten Daten in einem Hintergrund-Thread. Um die Konsistenz sicherzustellen, startet der Garbage Collector erst, wenn der Import abgeschlossen wurde.

Lesen Sie auch

IPFire stellt freie Domain-Blockliste DBL vor

Werbeblocker: Pi-hole v6 durchläuft Schlankheitskur

iOS und iPadOS 18.2: Neue Berichte über Probleme mit Apple Mail

c’t Daten schützen: Jetzt im heise Shop erhältlich

Werbeblocker: Browser-Add-ons vs. Pi-hole & Co. | c’t uplink

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Roundcube Webmail: Angriffe auf Sicherheitslücken laufen

2026-02-23T07:00:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Die IT-Sicherheitsbehörde CISA warnt vor aktuell beobachteten Angriffen auf Roundcube-Webmail-Schwachstellen. Admins sollten updaten.

(Bild: Michael Traitov/Shutterstock.com)

23.02.2026, 08:00 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf die quelloffene Software Roundcube Webmail. Es handelt sich um eine kritische und eine hochriskante Schwachstelle, die Kriminelle nun offenbar ins Visier nehmen.

Die Warnung der CISA ist wie üblich äußerst knapp. Angriffe wurden demnach auf eine Schwachstelle bei der Deserialisierung von nicht vertrauenswürdigen Daten (CVE-2025-49113, CVSS 9.9, Risiko „kritisch“) sowie eine Cross-Site-Scripting-Lücke (CVE-2025-68461, CVSS 7.2, Risiko „hoch“) beobachtet. Wie die Angriffe aussehen und in welchem Umfang sie erfolgen, bleibt unklar. IT-Verantwortliche sollten jedoch nicht zögern und auf die jüngste fehlerbereinigte Fassung von RoundCube Webmail aktualisieren.

Die als „kritisch“ eingestufte Sicherheitslücke wurde vom NIST lediglich mit einem CVSS-Wert von 8.8 als hohes Risiko verortet. Allerdings tauchte Anfang Juni vergangenen Jahres bereits ein Beispiel-Exploit auf, der den Missbrauch der Lücke demonstriert. Angreifer können durch die Schwachstelle beliebige Befehle auf verwundbaren Systemen ausführen. Dazu ist ein gültiges Mailkonto nötig. Diese Sicherheitslücke hat Roundcube Webmail 1.5.10 und 1.6.11 geschlossen.

Roundcube Webmail: Zwei attackierte Sicherheitslücken

Die zweite Sicherheitslücke wurde kurz vor Weihnachten bekannt. Sie ermöglicht Cross-Site-Scripting-Angriffe. Die Schwachstelle betrifft die Verarbeitung des „Animate“-Tag in SVG-Dateien. Auch hier hat das NIST zunächst eine Einstufung als mittleres Risiko mit einem CVSS-Wert von 6.1 abgegeben, MITRE hingegen sieht ein hohes Risiko mit der Gefahrenstufe „hoch“ und einem CVSS-Wert 7.2. Die beobachteten Angriffe sprechen offenbar für letztere Einschätzung.

Videos by heise

IT-Verantwortliche sollten ihre Systeme absichern, indem sie zumindest auf die fehlerkorrigierten Versionen 1.5.12 und 1.6.12 installieren. Darin haben die Entwickler die Cross-Site-Scripting-Lücke geschlossen. Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOCs) liefert die CISA ebenfalls nicht, mit denen Admins prüfen könnten, ob ihre Instanzen attackiert wurden.

(dmk)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Anthropic launcht Claude Code Security – Cybersecurity-Aktien verlieren

2026-02-21T15:53:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Das KI-Tool Claude Code Security von Anthropic analysiert Code kontextbasiert statt regelbasiert. Die Börse reagiert nervös, Aktienkurse geben nach.

(Bild: tadamichi/Shutterstock.com)

21.02.2026, 16:53 Uhr

Lesezeit: 5 Min.

Developer

Von

Matthias Parbel

Anthropic hat mit „Claude Code Security“ eine neue Funktion vorgestellt, die direkt in die webbasierte Version von Claude Code integriert ist. Das Werkzeug durchsucht Codebasen nach Sicherheitslücken und schlägt gezielte Software-Patches zur menschlichen Überprüfung vor, wie das Unternehmen auf seiner Website mitteilt. Die Funktion steht zunächst als limitierte Research Preview für Enterprise- und Team-Kunden zur Verfügung. Maintainer von Open-Source-Projekten können einen kostenlosen und beschleunigten Zugang beantragen.

Laut der Ankündigung von Anthropic soll das Werkzeug ein grundlegendes Problem in der IT-Sicherheit angehen: Es gebe zu viele Software-Schwachstellen und zu wenig Fachleute, die sich darum kümmern könnten. Während sich viele Analysetools auf die Suche nach bekannten Mustern konzentrieren, nutzen Angreifer immer häufiger subtile, kontextabhängige Sicherheitslücken aus.

Kontextbasierte Analyse statt Musterabgleich

Die weitverbreitete statische Codeanalyse arbeitet laut Anthropic regelbasiert: Sie gleicht Code mit bekannten Schwachstellenmustern ab und findet so etwa offengelegte Passwörter oder veraltete Verschlüsselung. Komplexere Fehler – etwa in der Geschäftslogik oder bei Zugriffskontrollen – blieben dabei jedoch oft unerkannt.

Claude Code Security verfolge einen anderen Ansatz: Statt nach bekannten Mustern zu suchen, lese und analysiere die KI den Code so, wie es ein menschlicher Sicherheitsverantwortlicher tun würde. Das System untersucht, wie Komponenten zusammenwirken und wie Daten durch eine Anwendung fließen. Jeder Fund durchlaufe einen mehrstufigen Verifikationsprozess. Laut der Ankündigung von Anthropic überprüfe Claude zudem seine eigenen Ergebnisse, versuche sie zu bestätigen oder zu widerlegen und filtere Falschmeldungen heraus. Den verbleibenden Funden ordne das System Schweregrade und Konfidenzwerte zu.

Die validierten Ergebnisse stellt das Werkzeug in einem Dashboard bereit, in dem Security-Teams die vorgeschlagenen Patches prüfen und freigeben können. Ohne menschliche Zustimmung werde nichts angewendet – die letzte Entscheidung liege stets bei den Entwicklern, betonen die Anthropic-Verantwortlichen.

Videos by heise

Über 500 Schwachstellen in Open-Source-Projekten gefunden

Anthropic stellt Claude Code Security als Ergebnis von mehr als einem Jahr Forschung dar. Das hauseigene Frontier Red Team habe die Cybersecurity-Fähigkeiten von Claude systematisch getestet – unter anderem in Capture-the-Flag-Wettbewerben und in einer Partnerschaft mit dem Pacific Northwest National Laboratory zum Schutz kritischer Infrastruktur.

Mit dem Anfang des Monats veröffentlichten Modell Claude Opus 4.6 habe das Team nach eigenen Angaben über 500 Schwachstellen in produktiv genutzten Open-Source-Codebasen gefunden – Fehler, die trotz jahrzehntelanger Experten-Reviews unentdeckt geblieben seien. Die Offenlegung an die jeweiligen Maintainer laufe derzeit noch. Das Unternehmen nutze Claude auch zur Überprüfung des eigenen Codes und habe das Werkzeug dabei als „extrem effektiv“ eingestuft. Claude Code Security solle diese Fähigkeiten nun einem breiteren Anwenderkreis zugänglich machen.

In diesem Zuge räumt Anthropic allerdings ein, dass dieselben Fähigkeiten, die Verteidigern helfen, auch Angreifern nützen könnten. Claude Code Security solle jedoch gezielt Verteidiger dabei unterstützen, Code gegen eine „neue Kategorie KI-gestützter Angriffe" zu schützen.

Kurse von Cybersecurity-Aktien brechen deutlich ein

Die Ankündigung hatte unmittelbare Auswirkungen an der Börse. Laut Bloomberg fielen die Aktienkurse zahlreicher Cybersecurity-Unternehmen am 20. Februar 2026 deutlich. So verloren etwa die Papiere von CrowdStrike 8 Prozent, Cloudflare 8,1 Prozent, Zscaler 5,5 Prozent, SailPoint 9,4 Prozent und Okta 9,2 Prozent. Der Global X Cybersecurity ETF gab um 4,9 Prozent nach und schloss damit auf dem niedrigsten Stand seit November 2023.

Der Ausverkauf reiht sich Bloomberg zufolge in einen breiteren Trend ein: Der iShares Expanded Tech-Software Sector ETF hat seit Jahresbeginn rund 23 Prozent verloren und steuert auf seinen größten prozentualen Quartalsrückgang seit der Finanzkrise 2008 zu. Viele Investoren fürchten demnach, dass die Möglichkeit des sogenannten „Vibe Codings" – also der KI-gestützten Softwareentwicklung – die Nachfrage nach etablierten Softwareprodukten verringern und das Wachstum, die Margen sowie die Preisgestaltung der Anbieter unter Druck setzen könnte.

Analysten: Kurzfristiger Gegenwind, langfristig Chancen

„Es gibt einen stetigen Abverkauf bei Software, und heute trifft es die Security-Branche mit einem Mini-Flash-Crash auf eine Schlagzeile“, sagte Dennis Dick, Head Trader bei Triple D Trading, gegenüber Bloomberg. „Diese Art von Markt ist beängstigend für Investoren, weil die Kurse unerbittlich nach unten gehen, sobald auch nur ein Hauch von Disruption auftaucht.“

Jefferies-Analyst Joseph Gallo erwartet laut Bloomberg hingegen, dass der Cybersecurity-Sektor letztlich ein Netto-Gewinner durch KI sein werde. Allerdings dürften sich Rückschläge durch „Schlagzeilen" zunächst noch verstärken, bevor Klarheit herrsche und sich die Absicherung von KI-Systemen selbst als Wachstumstreiber für die Branche auszahle. Die mittel- bis langfristigen Implikationen von Anthropics Ankündigung seien, dass KI-Anbieter weitere Produkte auf den Markt bringen und um zusätzliche Cybersecurity-Budgets konkurrieren würden.

Anthropic hat in den vergangenen Monaten die Fähigkeiten von Claude kontinuierlich ausgebaut – von der Veröffentlichung von Claude Sonnet 4.6 mit einem Kontextfenster von einer Million Token bis hin zur Bereitstellung von Claude Code als webbasierte Plattform. Unterdessen befeuert der Abgang eines leitenden IT-Sicherheitsforschers bei Anthropic die Bedenken gegen den zunehmenden Einsatz von KI und die Gefahren durch deren Missbrauch.

(map)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Zahlreiche Kernel-Lücken in Dell PowerProtect Data Manager geschlossen

2026-02-20T12:16:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Dells Backuplösung PowerProtect Data Manager ist unter anderem für Schadcode-Attacken anfällig. Sicherheitspatches stehen zum Download bereit.

(Bild: Tatiana Popova/Shutterstock.com)

13:16 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Die Entwickler von Dell haben primär mehrere Schwachstellen in verschiedenen Komponenten von Drittanbietern geschlossen, die PowerProtect Data Manager nutzen. Davon ist in erster Linie der Linux-Kernel betroffen.

Diverse Sicherheitsprobleme

Wie aus einer Warnmeldung hervorgeht, sind unter anderem GnuPG, OpenSSL und Vim betroffen. Stichproben zeigen, dass der Großteil der Lücken mit dem Bedrohungsgrad „mittel“ eingestuft ist. Es gibt aber auch Schadcode-Schwachstellen im Kernel (etwa CVE-2023-53572 „hoch“).

Ferner wurden auch Lücken in der Backuplösung direkt geschlossen. So können Angreifer, die bereits über niedrige Nutzerrechte verfügen, in zwei Fällen Schadcode ausführen (CVE-2026-22266 „hoch“, CVE-2026-22267 „hoch“).

Die Entwickler versichern, die Sicherheitsprobleme in Dell PowerProtect Data Manager 19.22.0-24 gelöst zu haben. Alle vorigen Ausgaben sollen verwundbar sein.

Videos by heise

Zuletzt hat Dell unzählige Schwachstellen in Avamar, iDRAC und NetWorker geschlossen.

(des)

Top 7: Das beste Digitalradio mit DAB+ und ASA im Test

Top 10: Die beste Handykamera im Test

Top 10: Die beste kabellose Überwachungskamera

Kommentar: Russlands Cyber-Angriffe erfordern eine Reaktion

2026-02-20T12:07:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Jürgen Schmidt sprach sich lange Zeit gegen offensive Cyber-Aktionen aus. Russlands Sabotage-Angriff auf Polens Energieversorgung hat seine Meinung geändert.

(Bild: vectorfusionart / Shutterstock.com/ Bearbeitung heise medien)

13:07 Uhr

Lesezeit: 5 Min.

Security

Von

Jürgen Schmidt

Deutschland muss offensive Fähigkeiten im Cyberspace entwickeln und auch einsetzen. Wir können uns dieser bereits stattfindenden Auseinandersetzung nicht länger verweigern.

Das Wort „Hackbacks“ verabscheue ich. Es ist ein aufgeblasener Politik-Marketing-Begriff, der falsche Assoziationen hervorruft. Als ob als direkte Antwort auf irgendwelche Hacks irgendwie „zurückgecybert“ würde. So funktioniert das aber nicht. Es geht nicht um Gegenschläge, sondern darum, ob man sich an einer Auseinandersetzung im Cyberspace aktiv beteiligt. Also lasst uns lieber von „offensiven Cyber-Fähigkeiten“ reden.

Eskalation im Cyberspace

Damit meine ich Möglichkeiten, in einer Auseinandersetzung durch gezielte Cyber-Angriffe Informationen über den Gegner zu beschaffen, diesen zu beeinflussen und auch seine IT-Infrastruktur lahmzulegen. Die Auseinandersetzung gibt es bereits. Da tobt seit Jahren ein Krieg direkt vor unserer Haustür, in dem wir ganz eindeutig und aus guten Gründen für die angegriffene Ukraine und damit gegen den Aggressor Russland Partei ergriffen haben. Wir sind also bereits Teil davon.

Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Sein aktuelles Projekt ist heise Security Pro für Sicherheitsverantwortliche in Unternehmen und Organisationen.

heise Security Pro

Und wir sehen auch die Auswirkungen im Cyberspace bereits: Russland greift Europa und die NATO mit all seinen Cyber-Kräften an. Die Kreml-nahe Gruppe NoName057(16) koordiniert ganz offen DDoS-Angriffe gegen europäische Behörden und Unternehmen. Sie führt sogar öffentliche Hitlisten der aktuell ins Visier zu nehmenden Opfer. Auch heise online tauchte dort nach Russland-kritischen Äußerungen bereits auf. Russlands Geheimdienste betreiben außerdem in großem Stil Desinformationskampagnen, die auf Verunsicherung der Bevölkerung und Destabilisierung unserer Demokratie abzielen.

Und zur Jahreswende hat Russland eine weitere rote Linie überschritten. Wie das polnische CERT detailliert dokumentiert, haben – mit ziemlicher Sicherheit russische – Angreifer mit einem zerstörerischen Sabotage-Angriff die Energieversorgung unseres Nachbarlandes attackiert. Polen ist genau wie wir EU- und NATO-Mitglied. Dass es trotzdem darauf bisher keinerlei Reaktion des Westens gab, wird vor allem eines zur Folge haben: Russland wird im Cyberspace munter weiter eskalieren. Die nächsten Cyber-Angriffe könnten Energie-Versorger hier in Deutschland treffen.

Funktioniert unser Cyber-Pazifismus?

Ich stelle mir seither die Frage: Können wir es uns wirklich leisten, uns dieser Auseinandersetzung im Cyberspace komplett zu verweigern oder genauer: dort immer nur einzustecken? Dem Cyber-Bully Russland die andere Cyber-Wange hinhalten, in der Hoffnung – ja welcher Hoffnung? Die werden doch nicht einfach aufhören. Warum sollten sie, wenn es funktioniert und für sie keine negativen Konsequenzen hat? Wir brauchen Möglichkeiten, diesen Aggressor in seine Schranken zu verweisen.

Man kann jetzt über die Unzuverlässigkeit der Informationen zur Täterschaft lamentieren. Doch Attribution hat sich so weit entwickelt, dass sie brauchbare Informationen über Tätergruppen und deren Herkunft liefern kann. Natürlich bleibt das Zuweisen der Verantwortung für Cyber-Angriffe ein schwieriges Handwerk, und es bleibt dabei immer etwas Rest-Unsicherheit. Genau deshalb machen direkte 1:1-Aktionen keinen Sinn. Denn da bestünde tatsächlich die Gefahr, mal den falschen zu beschuldigen und sich mit einer übereilten, direkten Antwort ins Unrecht zu setzen. Doch die generelle Entwicklung ist klar und unumstritten: Russland hat in den vergangenen Jahren seine Cyber-Angriffe gegen Europa und die NATO massiv ausgeweitet. Daran gibt es nichts zu deuteln. Und darauf haben wir – also Deutschland, die EU und die NATO – bislang keine angemessene Antwort.

Die könnte natürlich auch in anderen Bereichen erfolgen. Doch das haben wir ja bereits alles durchexerziert – ohne dass es Russland von einer Eskalation seiner Cyber-Aktivitäten abgeschreckt hätte. Glaubt jemand ernsthaft, dass eine Drohung mit weiteren Sanktionen oder der Ausweisung von Diplomaten Putin davon abhalten könnte, einen Cyber-Strike gegen deutsche KRITIS-Infrastruktur abzusegnen? Mit offensiven Cyber-Fähigkeiten ergeben sich da jedoch neue Möglichkeiten.

Videos by heise

Gezielte Aktionen mit überschaubarem Risiko

Was spräche denn dagegen, in die IT-Infrastruktur von NoName* einzudringen und diese nachhaltig zu sabotieren? Das wäre ein deutlicher Schlag gegen Russlands offensive Cyber-Aktivitäten und es demonstriert, dass wir in der Lage und bereit sind, auf Eskalation in diesem Bereich zu reagieren. Man könnte auch wichtige Personen in Russlands Kriegs-Maschinerie identifizieren, deren Kommunikation überwachen und ihre Handys mit Spionage-Software infizieren. Die daraus gewonnenen Informationen wären sicher überaus nützlich für die Koordination weiterer Aktionen – auch außerhalb des Cyberspace.

Insbesondere bei Sabotage-Aktionen kann man zwar unbeabsichtigte Nebenwirkungen nie völlig ausschließen. Doch man darf diese Gefahr auch nicht überzeichnen. Tausende Ransomware-Attacken haben trotz ihres rücksichtslosen Charakters bislang vor allem finanziellen Schaden angerichtet. Wenn man Cyber-Strikes mit Bedacht ausführt, kann man anders als etwa bei Raketenangriffen die Gefahr für Menschenleben sehr gering halten.

Natürlich bedeutet das nicht, dass man die defensiven Bemühungen im Cyber-Space vernachlässigen darf. Bessere IT-Sicherheit und mehr Resilienz sind unverzichtbar und haben höchste Priorität. Speziell der Angriff auf Polens Energieversorger zeigt, dass da trotz NIS-2 noch vieles im Argen liegt. Aber Deutschland, die EU und die NATO brauchen jetzt auch offensive Fähigkeiten im Cyberspace, um in der Auseinandersetzung mit Russland nicht dauerhaft am kürzeren Hebel zu sitzen.

Diesen Kommentar schrieb Jürgen Schmidt ursprünglich für den exklusiven Newsletter von heise security PRO, wo er jede Woche das Geschehen in der IT-Security-Welt für Sicherheitsverantwortliche in Unternehmen einordnet:

(ju)