heise security News

KI-Betrug: Deutsche überschätzen ihre Fähigkeit, Deepfakes zu entlarven

2026-04-13T16:27:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Eine Sonderauswertung des Cybersicherheitsmonitor von BSI und ProPK zeigt gefährliche Wissenslücken beim Erkennen von KI-Manipulationen und Online-Anlagebetrug.

(Bild: tete_escape / Shutterstock.com)

13.04.2026, 18:27 Uhr

Lesezeit: 3 Min.

Von

Stefan Krempl

Künstliche Intelligenz ist im Alltag der Bundesbürger angekommen, doch das Risikobewusstsein hinkt der technischen Entwicklung hinterher. Wie eine Sonderauswertung des Cybersicherheitsmonitors 2026 offenbart, klafft in der Bevölkerung eine große Lücke zwischen Selbsteinschätzung und tatsächlichen Kenntnissen. Zwar gibt fast die Hälfte der befragten Internetnutzer in Deutschland an, KI-generierte Inhalte als solche identifizieren zu können. Doch in der Praxis schauen nur die wenigsten genau hin.

KI-generierte Bilder und Videos sind laut den Ergebnissen der repräsentativen Umfrage im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der polizeilichen Kriminalprävention (ProPK) unter mehr als 3000 Personen längst Normalität: Sieben von zehn Befragten sind online bereits solchen Inhalten begegnet. Bei den unter 30-Jährigen sind es sogar neun von zehn.

47 Prozent der Befragten trauen sich zu, die Fälschungen zu erkennen, Doch bei konkreten Überprüfungsmaßnahmen herrscht Zurückhaltung: Ein Drittel der Deutschen hat noch nie eine der gängigen Methoden zur Verifizierung genutzt. Lediglich 28 Prozent suchten gezielt nach grafischen Unstimmigkeiten wie fehlerhaften Schatten oder deformierten Gliedmaßen. Nur 19 Prozent kontrollierten die Verlässlichkeit der Quelle.

Deepfakes werben für Krypto-Anlagen

BSI-Präsidentin Claudia Plattner mahnt, für Verbraucher sei es inzwischen unerlässlich, KI-Inhalte zu identifizieren. Nur so könnten sie Risiken und Falschinformationen früh erkennen. Das BSI setze daher verstärkt auf Sensibilisierung und biete Orientierungshilfen an, um die Medienkompetenz im Umgang mit generativer KI zu stärken.

Der Bedarf dafür ist groß, denn viele technisch bereits machbare Betrugsszenarien werden von der breiten Masse noch als unmöglich eingestuft. So halten etwa nur 38 Prozent der Befragten die Manipulation eines KI-Agenten zur Preisgabe persönlicher Daten für realistisch. Auch die Gefahr durch unsichtbare, bösartige Anweisungen in Dokumenten, die KI-Sprachmodelle beim Zusammenfassen austricksen können, ist nur einer Minderheit bewusst.

Besonders perfide Formen nimmt der Betrug im Bereich der Geldanlagen an. Laut der ProPK- Vorsitzenden Stefanie Hinz ist Betrug rund um Online-Trading eine Straftat, die im Polizeialltag immer häufiger auftritt. Kriminelle nutzen KI dabei etwa für Deepfakes prominenter Persönlichkeiten, die in täuschend echten Videos für vermeintlich lukrative Kryptowährungen werben.

Videos by heise

Ruf nach Kennzeichnungspflicht

Die Statistik untermauert die Gefahr: 15 Prozent der Befragten haben in Kryptowährungen investiert. Von diesen ist fast jeder Dritte auf ein betrügerisches Angebot hereingefallen. In den meisten Fällen wurden die Opfer durch gezielte Werbung im Internet auf die Scams aufmerksam.

Das Vertrauen in staatliche Schutzmechanismen ist derweil hoch. Eine breite Mehrheit der Bevölkerung wünscht sich ein konsequentes Eingreifen der Behörden. Ganz oben auf der Wunschliste stehen ein schnelles polizeiliches Handeln bei betrügerischen Webseiten sowie eine verpflichtende Kennzeichnungspflicht für alle mit KI erstellten oder veränderten Inhalte.

(vbr)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Fitnesskette Basic-Fit: Mehr als 200.000 Mitglieder von Datenleck betroffen

2026-04-13T13:36:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Bei einem IT-Vorfall haben sich Unbekannte Zugriff auf das System von Basic-Fit verschafft und dabei persönliche Informationen abgegriffen.

(Bild: Basic-Fit)

13.04.2026, 15:36 Uhr

Lesezeit: 2 Min.

Security

Von

Dafina Maloku

Ein unerlaubter Zugriff auf die Daten der börsennotierten Fitnesskette Basic-Fit betrifft Mitglieder in mehreren Ländern, davon allein 200.000 aus den Niederlanden. Er wurde kurz nach seiner Entdeckung am heutigen 13. April vom Sicherheitsteam des Fitness-Unternehmens gestoppt und den zuständigen Behörden gemeldet.

Durch das Datenleck gelangten personenbezogene Daten wie E-Mail-Adresse, Name und Mitgliederinformationen in fremde Hände. Zu Passwörtern und Ausweisdokumenten hatten die Unbefugten laut dem Unternehmen keinen Zugang.

Basic-Fit informierte nach eigenen Angaben die betroffenen Kunden per E-Mail und versichert, dass bisher kein Datenmissbrauch nachgewiesen werden kann. Die Fitnesskette rät ihren Mitgliedern jedoch, besonders achtsam bei Phishing-Versuchen zu sein. Sie hat zudem eine eigene FAQ-Seite erstellt, in der sich die Kunden über das Datenleck informieren können.

Basic-Fit betreibt laut eigenen Angaben 2150 Fitnessstudios in zwölf europäischen Ländern. Sie zählt knapp sechs Millionen Mitglieder.

Videos by heise

Was können Hacker mit gestohlenen Daten machen?

Sie können sich beispielsweise in einem Phishing-Angriff mit gefälschten E-Mails als Basic-Fit ausgeben und vermeintlich nicht bezahlte Mitgliedsbeiträge oder andere Informationen einfordern. Bei Phishing-Verdacht ist es wichtig, nicht darauf einzugehen und auf keine Links zu klicken.

Fitnessapps und -studios sind häufig von Datenlecks betroffen. So gab es eine massive Datenpanne beim Sportanbieter „Urban Sports Club“, in der tausende sensible Dateien auf einem öffentlich zugänglichen Cloudspeicher lagen. Bei der Ernährungs-App „MyFitnessPal“ brachten Hacker 150 Millionen Nutzerdaten an sich.

(mho)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

„ClickFix“-Angriffe auf macOS jetzt auch via Script Editor

2026-04-13T10:59:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Eine aktuell laufende Malware-Kampagne nutzt Apples Script Editor statt des Terminals, um den Datenklauer Atomic Stealer auf Macs einzuschleusen.

Website, die Apple nachahmt: Nein, so schafft man auf dem Mac keinen Platz.

(Bild: Jamf)

12:59 Uhr

Lesezeit: 3 Min.

Mac & i

Von

Ben Schwan

Sicherheitsforscher vom MDM-Spezialisten Jamf haben eine neue Variante der sogenannten ClickFix-Angriffstechnik entdeckt, bei der Nutzer dazu bewegt werden, Kommandos auf ihrem Mac auszuführen, die dann Malware installieren. Die neue Verteilmethode des bekannten Datenklauschädlings Atomic Stealer scheint darauf optimiert zu sein, einen neuen Schutz im macOS-Terminal zu umgehen, den Apple mit macOS 26.4 eingeführt hatte. Dieser soll dafür sorgen, dass problematischer Code nicht mehr so leicht ausgeführt werden kann.

Wie Jamf Threat Labs in einer Analyse schreibt, locken die Angreifer ihre Opfer auf eine gefälschte Apple-Webseite, die vorgibt, dabei zu helfen, Speicherplatz auf dem Mac freizugeben. Ein „Execute“-Button auf der Seite ruft dabei das applescript://-URL-Schema auf. Der Browser fordert daraufhin vom Nutzer die Erlaubnis, Script Editor zu öffnen – eine Aktion, die das Opfer womöglich arglos bestätigt.

Vom URL-Schema zum Datenklauer

Das eigentlich neue an der Methode liegt in der Nutzung des applescript://-URL-Schemas: Beim Aufruf startet Script Editor mit einem von der Website übergebenen, bösartigen AppleScript. Dieses Script führt nach der Ausführung durch den Nutzer eine verschleierte Befehlskette aus. Zunächst wird per curl-Kommando eine Payload von einem externen Server geladen, die nach Dekodierung anschließend an zsh übergeben wird. Eine zweite Stufe dekodiert per Base64 und gunzip weiteren Code, der schließlich die eigentliche Malware – ein Mach-O-Binary des Atomic Stealers – nach /tmp herunterlädt, erweiterte Attribute zum Ausführungsschutz entfernt und die Datei startbar macht.

Videos by heise

Interessant dabei ist, dass die Installationskette dabei den Terminal-Paste-Schutz von macOS 26.4 umgeht. Apple hatte diese Schutzfunktion eingeführt, um Nutzer vor ClickFix-Angriffen zu warnen, wenn sie manipulierte Befehle ins Terminal einfügen, wobei das auch nicht immer funktioniert. Durch den Wechsel zu Script Editor wird dieser Mechanismus laut Jamf augenscheinlich ausgehebelt. Um die Malware aktiv zu schalten, muss der User allerdings noch den Abspielknopf (Play) in Script Editor klicken. Dass er das tun soll, wird auf der nachgeahmten Apple-Seite so mitgeteilt.

Was Atomic Stealer abgreift

Atomic Stealer ist ein schon seit 2023 aktiver Infostealer, der unter anderem über Telegram an Kriminelle vermarktet wird. Die Malware stiehlt unter anderem Keychain-Passwörter, Browser-Daten wie Autofill-Einträge, Cookies und Kreditkartennummern sowie Krypto-Wallets. Auch Dateien vom Desktop und aus dem Dokumentenordner können exfiltriert werden.

Neu ist die Verwendung von Script Editor zur Malware-Verbreitung eigentlich nicht, doch die Verbreitung via applescript://-Links ist neu. Nutzer sollten das Aufrufen des Script Editors über eine Website keinesfalls bestätigen. Apple hat bislang noch nicht auf die neue Methode reagiert. Es dürfte relativ leicht sein, diese zu verhindern.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Preisvergleiche immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

SSL-Konfigurationsfehler gefährdet VMware Tanzu Spring Cloud Gateway

2026-04-13T09:51:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Ein Sicherheitsupdate schließt eine Lücke im API-Gateway VMware Tanzu Spring Cloud Gateway.

(Bild: Artur Szczybylo / Shutterstock.com)

11:51 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Aufgrund eines Fehlers werden bestimmte SSL-Konfigurationen im API-Gateway VMware Tanzu Spring Cloud Gateway nicht angewendet – Nutzer bekommen davon nichts mit. Ein Patch löst nun die Problematik.

Instanzen vor möglichen Angriffen schützen

In einer Warnmeldung erläutern die Entwickler, dass es bei der Konfiguration von SSL-Bundles mittels spring.ssl.bundle zu Fehlern kommen kann. Das führt dazu, dass Einstellungen ignoriert werden und stattdessen die Standard-SSL-Konfiguration genutzt wird.

Nehmen Admins an dieser Stelle individuelle, sicherheitsrelevante Änderungen vor, die dann nicht übernommen werden, entsteht hier ein Sicherheitsrisiko.

Videos by heise

Die Entwickler geben an, die Schwachstelle (CVE-2026-22750 „hoch“) in Spring Cloud Gateway 4.2.1 (Enterprise Support Only) geschlossen zu haben. Bislang gibt es noch keine Hinweise auf Attacken.

(des)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Angreifer attackieren Python-Notebook Marimo

2026-04-13T07:51:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Aufgrund von zurzeit laufenden Attacken sollten Softwareentwickler Marimo zügig auf den aktuellen Stand bringen.

(Bild: tete_escape/Shutterstock.com)

09:51 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Derzeit haben es Angreifer auf das Python-Notebook Marimo abgesehen und nutzen eine Sicherheitslücke zum Ausführen von Schadcode aus.

Marimo ist eine integrierte Arbeitsumgebung für Python, in der Code, Ergebnisse, Visualisierungen und Dokumentation kombiniert werden.

Sicherheitslücke schließen

Wie aus einer Warnmeldung hervorgeht, ist die Authentifizierung im Kontext des WebSocket-Endpoints /terminal/ws kaputt und Angreifer können ohne Anmeldung an der „kritischen“ Schwachstelle (CVE-2026-39987) ansetzen.

Im Anschluss greifen sie mit weitreichenden Rechten auf eine Shell zu und können eigene Befehle ausführen. Aufgrund der Einstufung des Schweregrads ist davon auszugehen, dass Systeme im Anschluss als vollständig kompromittiert gelten. In welchem Umfang die Attacken ablaufen und auf welche Ziele es die bislang unbekannten Angreifer abgesehen haben, ist zurzeit unklar.

Auf die Attacken sind Sicherheitsforscher von Sysdig gestoßen. In einem Bericht führen sie aus, dass sie zwölf Stunden nach Bekanntwerden der Lücke Angriffsaktivitäten von 125 IP-Adressen ausgehend beobachtet haben. Sie geben an, dass Angreifer sich nach erfolgreichen Zugriffen Zugangsdaten wie SSH-Schlüssel verschaffen und sich damit ausgerüstet weiter in Netzwerken ausbreiten. Demzufolge sollten Marimo-Nutzer aus Sicherheitsgründen ihre Zugangsdaten für Datenbanken und API-Schlüssel ändern, um den Angreifern den Zugriff zu entziehen.

Videos by heise

Die Entwickler versichern, die Lücke in Marimo 0.23.0 geschlossen zu haben. Aktuell ist derzeit die Ausgabe 0.23.1. Wer das Sicherheitsupdate nicht umgehend installieren kann, muss den Zugriff auf /terminal/ws reglementieren oder die Funktion temporär deaktivieren.

(des)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Crime-as-a-Service: Regierung warnt vor hochprofessionellen kriminellen Netzen

2026-04-12T14:16:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Ransomware bis Gewalt auf Bestellung: Der Staat reagiert auf die Umwandlung krimineller Gruppen in arbeitsteilige Ökonomien, die ihre Taten online koordinieren.

Symbolfoto

(Bild: DC Studio/Shutterstock.com)

16:16 Uhr

Lesezeit: 4 Min.

Von

Stefan Krempl

Die Zeiten, in denen organisierte Kriminalität (OK) als starr strukturierte Gruppierung agierte, gehört der Vergangenheit an. In ihrer Antwort auf eine Anfrage der AfD-Bundestagsfraktion zeichnet die Bundesregierung das Bild einer hochflexiblen, funktional organisierten kriminellen Ökonomie. Das Schlagwort lautet „Crime-as-a-Service“ (CaaS): Kriminelle Gruppen gehen dazu über, spezialisierte Dienste einzukaufen, um getrennte Teilprozesse ihrer Taten abzudecken.

Anstatt alle Kompetenzen im eigenen Haus zu bündeln, agieren moderne Täterstrukturen laut der Auskunft konspirativ, international vernetzt. Sie nutzten modernste Technologien sowie Messenger-Dienste, um sich regelmäßig neue, profitable Handlungsfelder zu erschließen.

Supermarkt der Schattenwirtschaft

Im Bereich der Cyberkriminalität ist dieses Modell zum Standard geworden. Dem federführenden Innenministerium zufolge ist CaaS ein elementarer Bestandteil dieses Sektors. In der digitalen Underground Economy werde ein Großteil der für Cyberattacken benötigten Komponenten als Dienstleistung angeboten. Das senke Eintrittshürden: Auch technisch weniger versierte Akteure würden in die Lage versetzt, komplexe Angriffe durchzuführen.

Prominentes Beispiel ist „Ransomware-as-a-Service“. Dabei vermarkten spezialisierte Entwickler ihre Schadsoftware und stellen sie „Affiliates“ gegen Gebühr oder eine Beteiligung am erpressten Lösegeld zur Verfügung.

Ein Faktor für Planung, Koordination und Verschleierung dieser Aktivitäten ist der Einsatz digitaler Kommunikations- und Infrastruktursysteme. Die Exekutive betont, dass diese strukturellen Entwicklungen systematisch erfasst und analysiert werden müssten, um eine wirksame strategische Bekämpfung zu ermöglichen.

Gewalt auf Bestellung: Perfides Outsourcing

Die Auslagerung von Tatbeiträgen beschränkt sich nicht auf die digitale Welt. Die Regierung berichtet von einer Zunahme von „Violence-as-a-Service“. Dabei werden teils schwerste Auftragstaten wie Drohungen unter Verwendung von Explosivstoffen, physische Gewalt oder sogar Tötungsdelikte über digitale Plattformen koordiniert.

Erschreckend sei vor allem die Rekrutierung, heißt es: Insbesondere Minderjährige und junge Erwachsene würden für diese Aufgaben angeworben. Schweden gilt als stark betroffen und hat ein vierstufiges Rekrutierungsmodell identifiziert, das vom Auftraggeber über Vermittler bis zum ausführenden Täter reicht.

Die Hintermänner nutzen gezielte Strategien zur Risikominimierung, um hochrangige Mitglieder der Netzwerke zu schützen und das Entdeckungsrisiko zu verringern. Zudem dient die Ansprache Jugendlicher der Kostenminimierung, da diese oft geringere Entlohnungen akzeptieren oder leichter manipuliert und ausgebeutet werden können. Zugleich ermöglichen die Kontaktnetzwerke dieser jungen Täter kriminellen Gruppen neue Zugänge zu Abnehmern etwa von Drogen und fördern die territoriale Verankerung. Die Trennung von Planung, Steuerung und operativer Durchführung erschwert die Zurechenbarkeit von Verantwortung.

Professionelle Geldwäsche und Identitätsbetrug

Daneben umfasst das Portfolio krimineller Dienstleister Angebote in den Bereichen Geldwäsche, Fälschungskriminalität oder die Bereitstellung technischer Infrastruktur wie verschlüsselter Messenger. Zwar waschen laut einer Europol-Studie noch immer 96 Prozent der untersuchten Netzwerke ihre Erträge selbst. Doch der Zugriff auf spezialisierte externe Dienstleister wird beliebter. Diese Profis nehmen inkriminierte Vermögenswerte an und zahlen dafür „sauberes“ Geld an ihre Kunden aus.

Videos by heise

Ferner verwenden OK-Mitglieder verstärkt gefälschte oder gestohlene Identitätsdokumente, um unentdeckt zu bleiben und ihre Aktivitäten über lange Zeiträume fortzusetzen. Auch dafür werden teils externe Angebote genutzt, sofern die Gruppen diese Leistungen nicht selbst erbringen können. Das korrespondiert mit einem steigenden Gewaltpotenzial, was Konflikte zwischen rivalisierenden Gruppen vermehrt in den öffentlichen Raum trägt. Das Innenressort sieht in dieser schleichenden Unterwanderung von Staat und Gesellschaft durch OK-Strukturen ein erhebliches Gefahrenpotenzial.

Strategische Gegenmaßnahmen

Die Antwort der Sicherheitsbehörden besteht aus mehr internationaler Zusammenarbeit. Ziel bleibt die Zerschlagung krimineller Strukturen. Dabei soll sichergestellt werden, dass Gruppierungen in finanzieller Hinsicht nachhaltig getroffen werden. Der Missbrauch staatlicher und gewerblicher Strukturen wird der Strategie nach durch enge Kooperation verschiedener Institutionen verhindert. Die Regierung unterstreicht, dass eine Kombination repressiver und präventiver Ansätze nötig sei.

Auf europäischer Ebene koordiniert den Kampf die European Multidisciplinary Platform Against Criminal Threats (Empact). Im laufenden Zyklus bis 2029 liegt ein Schwerpunkt auf der Identifizierung und Zerschlagung der bedrohlichsten kriminellen Netzwerke sowie von Personen in Schlüsselfunktionen. Deutschland integriert Erkenntnisse aus dieser Einschätzung in die strategische Bewertung der OK, um dem Phänomen der Gewaltdelegation und neuen digitalen Geschäftsmodellen begegnen zu können. Empact soll so helfen, einschlägige Netzwerke dauerhaft zu brechen.

Lesen Sie auch

Rockstar bestätigt Cyberangriff und Datendiebstahl

Donnerstag: Milliardenverluste durch Cybercrime, Metas brandneues KI-Modell

US-Amerikaner verlieren 2025 fast 21 Milliarden US-Dollar durch Cybercrime

Warnung aus UK: Russische Cyberkriminelle kapern Router zum Passwort-Klau

IT-Sicherheitstag Mainz: Risiken in digitalen Lieferketten

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Rockstar bestätigt Cyberangriff und Datendiebstahl

2026-04-12T14:11:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Die bekannte Cybercrime-Gruppe Shiny Hunters erpresst Rockstar Games auf ihrer Webseite. Rockstar bestätigt einen Cybervorfall.

(Bild: Rokas Tenys/Shutterstock.com)

16:11 Uhr

Lesezeit: 3 Min.

Von

Niklas Jan Engelking

Zum wiederholten Mal ist Rockstar Opfer eines Cyberangriffs geworden: Der Entwickler des von vielen sehnsüchtig erwarteten Spiels GTA6 bestätigte, dass es einen Angriff auf seine Systeme gab und Daten entwendet wurden. Die bekannte Cybercrime-Gruppe ShinyHunters richtete derweil auf ihrer Webseite ein Erpresserschreiben an Rockstar.

Rockstar bestätigte Kotaku, „dass im Zusammenhang mit einer Datenpanne bei einem Drittanbieter auf eine begrenzte Menge an unwesentlichen Unternehmensdaten zugegriffen wurde.“ Der Vorfall habe keine Auswirkungen auf das Unternehmen oder seine Spieler.

Zugriff auf Snowflake

Die Cybergang ShinyHunters erklärte auf ihrer Webseite, sie habe Rockstars Snowflake-Instanzen mithilfe des Drittanbieter-Tools AnoDot kompromittiert. An Rockstar richtete sie die Forderung, bis zum 14. April in Kontakt zu treten und Geld zu zahlen, damit die erbeuteten Daten nicht publik werden. Wieviel die Cyberkriminellen fordern oder welche Daten sie besitzen, sagten sie in dem öffentlichen Statement nicht.

Mit AnoDot können Unternehmen unter anderem ihre Cloud-Kosten überwachen, auch Rockstar tut das. Das KI-Tool soll anhand zahlreicher gesammelter Daten ungewöhnliche Veränderungen erkennen, welche sich negativ auf die Einnahmen des Unternehmens auswirken könnten. Und der Vorfall bei Rockstar Games ist möglicherweise die Folge eines Cyberangriffs auf AnoDot, ebenfalls ausgeführt von ShinyHunters.

Cybersicherheitsvorfall bei AnoDot

BleepingComputer berichtete diese Woche über Probleme, die zunächst bei diversen Cloud- und SaaS-Anbietern auftraten, in deren Software sich das Tool einbinden lässt – etwa auch bei Snowflake. Das Unternehmen konnte das Problem schnell auf AnoDot zurückführen, da sich Angreifer mit AnoDot-Zugangsdaten in die Snowflake-Systeme einloggten.

BleepingComputer erfuhr aus mehreren Quellen, unter anderem von Snowflake, dass es bei AnoDot einen Sicherheitsvorfall gegeben hat. AnoDot selbst informiert auf einer Supportseite darüber, dass derzeit weltweit Probleme beim Abrufen von Datenproben auftreten. AnoDot nahm seine Datenkollektoren für die Dienste Snowflake, S3 und Kinesis demnach bereits am 4. April offline. Die Datenkollektoren sind auch weiterhin offline (Stand: Sonntag, 12. April, 14:55 Uhr).

Videos by heise

Derweil läuft die Frist von ShinyHunters für Rockstar Games weiter. Die Bande ist berüchtigt und hat bereits zahlreiche Cyberangriffe durchgeführt, unter anderem stahl sie dabei Millionen von Nutzerdaten beim Konzertkartenshop Ticketmaster und dem Auto-Verkaufsdienstleister Carguru. Dass ShinyHunters jetzt an die Öffentlichkeit geht, könnte dafür sprechen, dass sie durchaus etwas gegen Rockstar in der Hand haben.

Es ist nicht das erste Mal, dass Cyberkriminelle bei Rockstar Daten entwenden. Bei einem anderen Cyberangriff 2022 erbeutete die Cybercrime-Gruppe Lapsus$ Gameplay-Videos von GTA6 und stellte diese ins Netz. Später wurde bekannt, dass der Angriff von einem Teenager ausgeführt wurde, der sich von einem Hotelzimmer aus mit einem Smartphone, einem Amazon Fire TV Stick und einem Fernseher Zugang zu den Cloud-Diensten verschaffte. Für den Angriff auf Rockstar Games wurde er auch angeklagt und verurteilt, zu dem Zeitpunkt war er 18 Jahre alt.

Lesen Sie auch

Rückschlag für Ex-Rockstar-Mitarbeiter: Richter lehnt Gehaltsfortzahlung ab

Netflix bringt "Red Dead Redemption" aufs Handy

"GTA 6": Nächster Teil der Open-World-Saga um weitere sechs Monate verschoben

"GTA 6": Rockstar Games veröffentlicht zweiten Trailer

"GTA 6": Sechster Teil der Open-World-Saga verspätet sich erneut

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Jetzt patchen! Adobe veröffentlicht Notfall-Sicherheitsupdate für Acrobat Reader

2026-04-11T19:15:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Angreifer nutzen eine kritische Schwachstelle in Adobe Acrobat Reader aus. Nun ist ein Sicherheitspatch für macOS und Windows erschienen.

(Bild: Sashkin/Shutterstock.com)

11.04.2026, 21:15 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Um aktuell laufende Angriffe auf Adobe Acrobat Reader zu verhindern, müssen Nutzer der PDF-Anwendung die jüngst veröffentlichten reparierten Versionen installieren. Das alleinige Öffnen von manipulierten PDF-Dokumenten reicht aus, damit Attacken erfolgreich sind und Schadcode auf Computer gelangt.

Jetzt patchen!

Videos by heise

Die Sicherheitslücke ist erst seit Kurzem bekannt, dem Entdecker der Schwachstelle nutzen Angreifer die Sicherheitslücke aber bereits seit vergangenem Dezember aus. In welchem Umfang die Angriffe ablaufen und gegen wen sie sich richten, ist bislang unklar. Nun hat Adobe Sicherheitsupdates veröffentlicht. Aus einer Warnmeldung geht hervor, dass die Lücke (CVE-2026-34621) mit dem Bedrohungsgrad „kritisch“ eingestuft ist.

Der Softwareentwickler versichert, die macOS- und Windows-Ausgaben Acrobat DC Continuous 26.001.21411, Acrobat Reader DC Continuous 26.001.21411 und Acrobat 2024 Classic 2024 Windows: 24.001.30362 | Mac: 24.001.30360 gegen die Angriffe gerüstet zu haben. In den Standardeinstellungen installieren sich die Updates Adobe zufolge automatisch.

(des)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Einzelhändler frustriert über strenge Regeln bei KI-Kameras

2026-04-11T15:50:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Eine Studie von Ibi Research und der DIHK zeigt: Händler setzen auf KI-Kameras, fühlen sich aber durch die DSGVO und mangelnde Strafverfolgung ausgebremst.

(Bild: TimmyTimTim/Shutterstock.com)

11.04.2026, 17:50 Uhr

Lesezeit: 4 Min.

Von

Stefan Krempl

Der deutsche Einzelhandel sieht sich einer wachsenden Welle von Kriminalität gegenüber und schlägt Alarm. Laut der Studie „Kameraeinsatz im Einzelhandel“, die Ibi Research an der Uni Regensburg mit Unterstützung der Deutschen Industrie- und Handelskammer (DIHK) mit einem Fokus auf Präventionsoptionen durchgeführt hat, ist Ladendiebstahl längst keine Petitesse mehr: Mehr als die Hälfte der Handelsunternehmen in Deutschland wurde 2025 nachweislich von Dieben heimgesucht. Die Dunkelziffer gilt als hoch.

Dabei berichten die Betroffenen laut der Untersuchung nicht nur von einer zunehmenden Professionalisierung der Täter. Auch die Gewaltbereitschaft steige. Viele Händler fühlen sich in dieser Situation von der Politik und den Sicherheitsbehörden im Stich gelassen, während die wirtschaftlichen Schäden durch Inventurdifferenzen Milliardenhöhe erreichen.

Ein zentraler Baustein in der Verteidigungsstrategie der Unternehmen ist moderne Videotechnik. Die Forscher verdeutlichen, dass Kameras heute mehr seien als passive Aufzeichnungsgeräte. Sie dienten der frühzeitigen Risikoerkennung, der Abschreckung und als psychologische Stütze für das Personal. Dieses könne in brenzligen Situationen ruhiger agieren, wenn es sich durch Videomaterial abgesichert wisse.

KI-Kameras gegen organisierte Banden

Besonders den Einsatz von Künstlicher Intelligenz sieht der Handel als Hoffnungsträger. KI-gestützte Systeme könnten Verhaltensmuster analysieren, Personalengpässe an Kassen identifizieren oder zur Optimierung des Energiemanagements beitragen, indem sie Licht- und Kühlsysteme an die Kundenfrequenz koppeln. In Zeiten von akutem Personalmangel wird die Technik als Kompensationsinstrument verstanden, um die Aufmerksamkeit gezielt auf kritische Situationen zu lenken, die das Verkaufspersonal nicht immer im Blick haben kann.

Videos by heise

Hier stößt der digitale Schutzwall auf rechtliche Hürden. Die Datenschutz-Grundverordnung (DSGVO) wird vom Handel als größtes Hindernis für einen effektiven Kameraeinsatz wahrgenommen. Ein Streitpunkt ist die zulässige Speicherdauer der Aufzeichnungen.

In der Praxis gelten aktuell 48 bis 72 Stunden als datenschutzkonformer Richtwert. Für viele Händler ist dieser Zeitraum zu kurz, da professionelle Diebstähle häufig erst später bemerkt werden, etwa bei der nächsten Inventur oder Warenverräumug. Dann sind die entscheidenden Bilder oft bereits automatisiert überschrieben, was eine spätere Identifizierung der Täter und eine erfolgreiche Strafverfolgung vereitelt.

Rechtsunsicherheit bremst

Die Branche fordert daher praxistauglichere und einheitlichere Regeln. Es herrscht Unsicherheit darüber, was rechtlich zulässig ist. Während einfache Überwachungsmaßnahmen zum Schutz von Eigentum unter das „berechtigte Interesse“ fallen können, sind komplexere Anwendungen wie biometrische Gesichtserkennung zur Identifizierung bekannter Ladendiebe rechtlich problematisch und im stationären Handel in der Regel unzulässig.

Diese Lage führt laut der Analyse dazu, dass Pilotprojekte zur KI-gestützten Überwachung in Deutschland oft abgebrochen oder gar nicht gestartet werden. In anderen europäischen Ländern laufen den Autoren zufolge aufgrund einer weniger restriktiven Auslegung der DSGVO dagegen bereits Tests.

Zusätzlich sorgt die Überlastung von Justiz und Polizei für Frustration bei den Ladenbetreibern. Wenn Anzeigen wegen Geringfügigkeit eingestellt werden oder Wiederholungstäter trotz Hausverbot und Videobeweis keine spürbaren Konsequenzen fürchten müssen, sinkt die Motivation, Delikte zur Anzeige zu bringen. Der Handel wünscht sich daher auch eine konsequentere Strafverfolgung und eine engere Zusammenarbeit mit den Behörden.

Bedenken von Aufsichtsbehörden

Um die Lücke zwischen Sicherheitsbedarf und Datenschutz zu schließen, setzen die Verfasser auf Aufklärung und bieten praktische Leitlinien für Händler. Ohne eine Anpassung der Rahmenbedingungen werde die Schere zwischen technischem Potenzial und realem Schutz im deutschen Einzelhandel aber noch größer.

Datenschützer betonen die Notwendigkeit der Verhältnismäßigkeit sowie den Schutz von Grundrechten. Aus ihrer Sicht muss Videoüberwachung das letzte Mittel („Ultima Ratio“) bleiben, nachdem mildere Maßnahmen wie Warenetikettierung oder erhöhte Personalpräsenz nicht ausreichen. Bedenken haben die Aufsichtsbehörden wegen der Gefahr einer flächendeckenden Überwachung des öffentlichen Raums sowie der unzulässigen Identifizierung Unbeteiligter durch biometrische Verfahren. Potenziell drohe eine Vorratsdatenspeicherung ohne konkreten Verdacht, befürchten sie. Vor allem bei KI-Systemen warnen Experten vor einer Blackbox-Problematik, bei der automatisierte Entscheidungsprozesse nicht nachvollziehbar sind und zu Diskriminierung führen können.

(nen)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

US-Regierung traf sich vor Mythos-Preview-Rollout mit KI-Herstellern

2026-04-11T15:10:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Vor dem Mythos-Preview-Rollout diese Woche sprachen Regierungsvertreter mit den großen KI-Herstellern. Derweil testen US-Banken die neue KI.

(Bild: jackpress/Shutterstock.com)

11.04.2026, 17:10 Uhr

Lesezeit: 3 Min.

Von

Niklas Jan Engelking

US-Vizepräsident JD Vance und US-Finanzminister Scott Bessent haben sich mit den Köpfen führender Big-Tech-Unternehmen besprochen, um über KI-Sicherheit zu reden. Ein entsprechendes Telefonat soll vergangene Woche stattgefunden haben, etwa eine Woche, bevor Anthropics neues KI-Modell Mythos Preview ausgewählten Unternehmen zur Verfügung gestellt wurde. Mythos soll in jeder wichtigen Software Sicherheitslücken finden und auch gleich passende Angriffe entwickeln können.

Dem US-Nachrichtensender CNBC zufolge sollen dem Anruf Anthropic-CEO Dario Amodei, xAI-Chef Elon Musk, Google-Chef Sundar Pichai, OpenAI-Chef Sam Altman, Microsoft-Chef Satya Nadella, CrowdStrike-Chef George Kurtz und Palo-Alto-Networks-Chef Nikesh Arora zugeschaltet gewesen sein. Als Quellen beruft sich CNBC auf zwei Personen, deren Namen aufgrund der Vertraulichkeit der Angelegenheit nicht bekannt werden sollen. Ein Anthropic-Sprecher wollte zu dem Thema keinen Kommentar abgeben, bestätigte aber, dass es am Freitag voriger Woche ein Treffen mit Spitzenvertretern der Regierung gegeben habe.

Lesen Sie auch

Anthropics neues KI-Modell Mythos: Zu gefährlich für die Öffentlichkeit

Einzelhändler frustriert über strenge Regeln bei KI-Kameras

Digitale Souveränität in der Praxis – Cloud, KI und Security krisensicher machen

Deutsch-kanadische KI-Freundschaft: Aleph Alpha und Cohere sollen fusionieren

Das kann OpenClaw in der PRAXIS | c't 3003

KI-Update Deep-Dive: KI-Kompetenzen verbessern mit dem KI-Campus

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

iOS: Gelöschte Signal-Daten von FBI via Benachrichtigungsdatenbank extrahiert

2026-04-10T09:33:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Trotz der Tatsache, dass eine Verdächtige die gesamte App entfernt hatte, konnten FBI-Forensiker noch Signal-Nachrichten finden. Sie verwendeten einen Trick.

Jacke mit FBI-Schriftzug: Signal wieder gefunden.

(Bild: Dzelat / Shutterstock.com)

10.04.2026, 11:33 Uhr

Lesezeit: 2 Min.

Mac & i

Von

Ben Schwan

Im Zusammenhang mit Ermittlungen gegen Personen, die die US-Regierung „Antifa“-Gruppen zuordnet, hat die Bundespolizeibehörde FBI Daten von einem iPhone wiederherstellen können, die eigentlich als gelöscht galten. Das berichtet das Magazin 404 Media. Dabei gelang es den Forensikern, einlaufende Signal-Nachrichten aus der iOS-Benachrichtigungsdatenbank zu extrahieren, obwohl Signal selbst auf dem Gerät nicht mehr vorhanden war. Bei dem Fall ging es um Angriffe auf ein Gefängnis der US-Grenzschutzbehöre ICE in Texas im vergangenen Sommer, das laut FBI mit Feuerwerk beschossen und „mutwillig beschädigt“ worden war. Zudem wurde mindestens ein Polizist verletzt.

In Signal weg, in der iPhone-Datenbank nicht

Der Trick, den die FBI-Analysten verwendeten, wurde im Rahmen eines Prozesses gegen die Beteiligten bekannt. Eine Person, die aufseiten der Angeklagten den Prozess beobachtete, teilte 404 Media mit, man habe erfahren, dass bei aktiven Signal-Benachrichtigungen samt Vorschau diese Daten auch im internen Speicher des iPhones landeten. Dort wurden sie dann vom FBI forensisch extrahiert. Im Rahmen der Beweisaufnahme hieß es: „Die Nachrichten wurden über den internen Benachrichtigungsspeicher von Apple vom Handy wiederhergestellt – Signal war zwar deinstalliert worden, doch die eingehenden Benachrichtigungen waren im internen Speicher erhalten geblieben. Es wurden nur eingehende Nachrichten erfasst (keine ausgehenden).“

Videos by heise

Interessanterweise soll die betroffene Person Signal so eingestellt haben, dass die eingehenden Nachrichten automatisch verschwinden. In der Benachrichtigungsdatenbank geschieht dies allerdings offenbar nicht. 404 Media geht davon aus, dass nicht nur Signal von dieser Tatsache betroffen ist, sondern auch andere Anwendungen, die Benachrichtigungen nutzen.

Auch auf den Servern gibt es Push-Daten

In diesem Fall waren nur lokale Daten einsehbar, Apple und andere Betreiber von Smartphone-Diensten sollen in der Vergangenheit aber auch Informationen von ihren Push-Servern mit Behörden geteilt haben. Auf eine Anfrage von 404 Media reagierte Apple nicht. Das Verfahren endete mit einer Verurteilung, eine der Personen wurde wegen versuchten Mordes schuldig gesprochen.

Signal reagierte auf eine Nachfrage, antwortete später aber nicht mehr, so das Magazin. In der App ist es möglich, die Vorschau von Nachrichten zu unterbinden. Damit dürften diese auch nicht in der Benachrichtigungsdatenbank landen. Es ist aber auch möglich, alle Benachrichtigungen abzuschalten.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Preisvergleiche immer laden

(bsc)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Frankreichs Plan: Weg von Windows, hin zu Linux

2026-04-10T07:37:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Frankreichs Verwaltung soll weg von Windows und US-Tools: Die Regierung legt einen konkreten Fahrplan für digitale Souveränität vor.

331

(Bild: Tatoh/Shutterstock.com)

10.04.2026, 09:37 Uhr

Lesezeit: 3 Min.

iX Magazin

Von

Moritz Förster

Frankreich will sich schneller von außereuropäischen IT-Anbietern lösen. Auf einem interministeriellen Seminar am 8. April 2026 legte die Digitalbehörde DINUM gemeinsam mit weiteren Regierungsstellen konkrete Maßnahmen und Zeitpläne fest. Der Staat soll seine digitale Souveränität über alle Ressorts hinweg stärken – zusammen mit Behörden und Industrie.

Die Initiative knüpft an eine seit Jahren laufende französische und europäische Debatte an. Frankreich sieht zunehmend ein strategisches, politisches und wirtschaftliches Risiko darin, dass zentrale IT-Systeme der Verwaltung – Betriebssysteme, Cloud-Dienste, Kollaborationswerkzeuge – von nicht-europäischen Anbietern abhängen.

Wechsel zu Linux

Einen ersten zentralen Schritt kündigte die DINUM für die eigenen Arbeitsplätze an: Sie will Windows durch Linux ersetzen. Parallel migrieren Behörden auf staatlich betriebene Kollaborationswerkzeuge. Die Krankenversicherung Caisse nationale d'Assurance maladie etwa stellt ihre rund 80.000 Beschäftigten auf den Messenger Tchap, die Videokonferenzsoftware Visio und den Dateiübertragungsdienst FranceTransfert um. Bereits zuvor hatte die Regierung angekündigt, die zentrale Gesundheitsdatenplattform bis Ende 2026 auf eine „vertrauenswürdige“ – also europäisch gehostete – Lösung zu migrieren.

Neben den technischen Umstellungen setzt die Regierung auf eine neue Organisationsform: Ministerien, öffentliche Einrichtungen und Privatunternehmen sollen in thematischen Koalitionen zusammenarbeiten. Im Mittelpunkt stehen dabei offen entwickelte Software (communs numériques) und Interoperabilitätsstandards wie Open-Interop und OpenBuro. So soll der Wechsel einzelner Komponenten leichter werden, ohne ganze Infrastrukturen umbauen zu müssen.

Videos by heise

Pläne müssen noch dieses Jahr stehen

Die DINUM koordiniert einen ressortübergreifenden Abbauplan. Bis Herbst 2026 muss jedes Ministerium – einschließlich nachgeordneter Behörden – eine eigene Roadmap vorlegen. Sie soll Arbeitsplatzsysteme, Kollaborationswerkzeuge, Antivirensoftware, KI-Systeme, Datenbanken, Virtualisierung und Netzwerktechnik abdecken.

Parallel kartiert die staatliche Beschaffungsbehörde DAE die bestehenden Abhängigkeiten, während die Wirtschaftsbehörde DGE ein europäisches digitales Angebot definiert. Auf dieser Grundlage sollen konkrete Zielwerte und Fristen entstehen. Für Juni 2026 plant die DINUM zudem die ersten „rencontres industrielles du numérique“ – Branchentreffen, auf denen öffentlich-private Partnerschaften konkret werden sollen. Geplant ist unter anderem eine „alliance public-privé pour la souveraineté européenne“, also eine öffentlich-private Allianz für europäische Souveränität.

„Der Staat kann sich nicht länger damit begnügen, seine Abhängigkeit festzustellen – er muss sie überwinden“, sagte Haushaltsminister David Amiel im Rahmen der Ankündigung der Maßnahmen. Frankreich müsse die Kontrolle über seine Daten, Infrastrukturen und technologischen Entscheidungen zurückgewinnen. Anne Le Hénanff, beigeordnete Ministerin für Künstliche Intelligenz und Digitales, nannte digitale Souveränität eine „strategische Notwendigkeit“ und forderte interoperable und nachhaltige Lösungen auf europäischer Ebene.

(fo)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Google Chrome macht Cookie-Klau unter Windows sinnlos

2026-04-10T07:27:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Cyberangreifer sehen es auf Session-Cookies ab, mit denen sie Zugang erhalten. Google aktiviert in Chrome für Windows nun einen Schutz. macOS folgt.

(Bild: amgun / Shutterstock.com)

10.04.2026, 09:27 Uhr

Lesezeit: 3 Min.

Security

Von

Dirk Knop

Cyberkriminelle und ihre Infostealer haben es oftmals auf sogenannte Session-Cookies abgesehen. Damit erlangen sie Zugriff auf laufende Sitzungen, in denen Nutzer und Nutzerinnen an Diensten angemeldet sind. Google hat in Chrome für Windows ab Version 146 einen Schutz standardmäßig aktiviert und kündigt das in Kürze auch für macOS an.

Es geht dabei um die Funktion „Device Bound Session Credentials“ (DBSC), wie Google in einem Blogbeitrag erklärt. Dieser Cookie-Schutz ist seit 2024 in der Entwicklung und schafft nun den Sprung in die Praxis. Die kurze Erläuterung der Funktion lautet: Authentifizierte Sitzungen (authentication sessions) werden an das Gerät gebunden, mit dem die Anmeldung erfolgte. Gestohlene Cookies werden dadurch wertlos.

Google Chrome aktiviert Device Bound Session Credentials

Etwas ausführlicher steckt dahinter ein Mechanismus, der ein wenig an Passkeys erinnert. Beim Start einer Session erzeugt der Webbrowser ein Schlüsselpaar, bei dem der private Schlüssel auf dem Rechner verbleibt, derzeit geschützt im TPM (Trusted Platform Module) des Rechners. Zur Ablage im TPM nutzt Chrome Funktionen des Betriebssystems. Unter macOS kommt dafür die Secure Enclave zum Einsatz. Server nutzen den öffentlichen Schlüssel und können bei laufenden Sitzungen durch die API den Besitzbeweis des privaten Schlüssels beim Client anfordern.

Bei Session-Diebstahl laden User in der Regel unabsichtlich Malware herunter, die nach Aktivierung heimlich die Session-Cookies aus dem Browser ausschleusen oder auf neue Logins warten, bevor sie die Token an die Server der Angreifer übertragen. Infostealer-Malware wie Lumma wird Google zufolge immer geschickter beim Abgreifen der Zugangsdaten. Da Cookies in der Regel eine längere Laufzeit haben, können Angreifer sich damit unbefugten Zugang zu Nutzerkonten verschaffen. Derartige Session-Cookies werden dann gebündelt und unter Bedrohungsakteuren gehandelt oder verkauft. Das Ausschleusen solcher Cookies lasse sich mit Software allein jedoch nicht verlässlich verhindern.

DBSC soll das Problem nun lösen. Das Schlüsselpaar lässt sich nicht aus der Maschine exportieren. In Kombination mit Cookies mit kurzer Laufzeit führt das dazu, dass gestohlene Cookies zügig ablaufen und für Angreifer nutzlos werden. Google hat im vergangenen Jahr frühe Versionen des Mechanismus getestet und seitdem einen signifikanten Rückgang beim Session-Diebstahl beobachtet.

Videos by heise

Web-Entwickler können ihre Systeme damit jetzt ebenfalls gegen Session-Klau wappnen. Google stellt dafür eine Anleitung für Entwickler bereit. Außerdem stellt das W3C eine aktuelle Spezifikation des Protokolls bereit, es gibt auch ein zugehöriges Projekt auf GitHub. Google kündigt bereits weitere Entwicklungen an. So soll eine Unterstützung für Single-Sign-on-Systeme (SSO) kommen oder noch strengerer Schutz zum Binden von DBSC an existierende, vertraute Schlüssel, anstatt beim Anmelden neue zu erstellen. Außerdem wollen die Entwickler die Möglichkeiten mit softwarebasierten Schlüsseln ausloten, um auch auf Geräten ohne spezialisierte Sicherheitshardware den Sicherheitsmechanismus anbieten zu können.

(dmk)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Warten auf Sicherheitsupdate: Angreifer attackieren Adobe Reader

2026-04-10T07:23:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Angreifer nutzen derzeit eine Zero-Day-Lücke in Adobe Reader aus. Bis es ein Sicherheitsupdate gibt, sollte man keine PDFs aus unbekannten Quellen öffnen.

(Bild: Gorodenkoff/Shutterstock.com)

10.04.2026, 09:23 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Sicherheitsforscher warnen vor Attacken auf Adobe Reader. Das alleinige Öffnen von manipulierten PDF-Dateien soll für einen erfolgreichen Angriff ausreichen. Im Anschluss sollen Angreifer Dateien kopieren und Systeme kompromittieren.

Hintergründe

Auf die Zero-Day-Sicherheitslücke ist ein Sicherheitsforscher mit dem Sandbox-Analysetool EXPMON gestoßen. Seine Erkenntnisse führt er in einem Beitrag aus. Ihm zufolge nutzen unbekannte Angreifer die Schwachstelle mindestens seit vergangenem Dezember aus. Derzeit ist die Lücke noch mit keiner CVE-Nummer versehen; auch eine Einstufung des Bedrohungsgrads steht noch aus.

Dem Forscher zufolge stehen aber alle Zeichen auf kritisch: Er gibt an, dass Opfer lediglich ein von den Angreifern präpariertes PDF-Dokument öffnen müssen, um eine Attacke einzuleiten. Danach zapfen sie die Adobe-Reader-APIs util.readFileIntoStream() und RSS.addFeed() an, die mit hohen Rechten laufen. Darüber kopieren sie Dateien und schicken sie an von ihnen kontrollierte Server.

Da geht aber noch mehr: Dem Forscher zufolge laden die Angreifer im Zuge der Attacke weitere Schadcodemodule nach, um eigenen Code auszuführen und Computer letztlich zu kompromittieren. In welchem Umfang die Attacken ablaufen und wer dahintersteckt, ist zurzeit unklar.

Ein weiterer Sicherheitsforscher hat in der Angriffskampagne verwendete PDF-Dateien analysiert. Auf X schreibt er, dass sie russische Sprache beinhalten und inhaltlich die aktuellen Ereignisse im Zusammenhang mit der Öl- und Gasindustrie in Russland behandeln.

Videos by heise

Unklar ist derzeit auch, inwiefern die Sicherheitslücke die in Microsofts Edge-Browser implementierte Acrobat-PDF-Reader-Funktion betrifft.

Warten auf Update

Wann ein Sicherheitspatch kommt, ist bislang unbekannt. Der Finder der Schwachstelle gibt an, Adobe kontaktiert zu haben. Die Antwort auf eine Anfrage von heise security steht noch aus. Bis ein Patch kommt, sollte man keine PDF-Dateien aus unbekannten Quellen öffnen.

(des)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Pornografische KI-Plattform MyLovely.ai: Datenleck von 106.000 Konten

2026-04-10T06:26:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Bei der pornografischen "KI-Freundin"-Plattform MyLovely.ai haben Kriminelle Daten von 106.000 Zugängen abgegriffen. Die sind nun im Darknet.

(Bild: heise medien)

10.04.2026, 08:26 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Die KI-Plattform „MyLovely.ai“ bietet das Erstellen von „KI-Freundinnen“ an, mitsamt KI-Bild- und -Video-Erstellung sowie Chats. Auf der Plattform sind mehr als 106.000 User registriert. Deren Daten sind bei einem IT-Vorfall in falsche Hände gelangt und stehen nun in einem Darknet-Forum. Das Have-I-Been-Pwned-Projekt (HIBP) hat die Daten in den eigenen Fundus integriert.

Das berichtet der Betreiber Troy Hunt in einem neuen „Breach“-Eintrag. Demnach umfasst das Datenleck rund 106.300 Konten, von denen die E-Mail-Adressen offengelegt wurden. Der Datensatz umfasst zudem die von den Nutzern erstellten KI-Prompts sowie Links auf daraus erstellten KI-Bildern und -Videos. Außerdem sind bei einem Teil auch Nutzernamen aus den sozialen Netzwerken Discord oder X dabei. Die Einträge der 2,1 GByte großen Datenbank aus dem April 2026 wurden als aus einem „JSON Leak“ stammend bezeichnet.

HIBP: „Sensibles“ Datenleck

Hunt hat das Datenleck als „sensibel“ einsortiert. Dadurch taucht es in der offenen E-Mail-Suche von HIBP nicht in den Ergebnissen auf. Nutzer des Angebots können nach Bestätigung ihrer E-Mail-Adresse jedoch im privaten Dashboard einsehen, ob diese Informationen durch das Datenleck nun öffentlich geworden sind.

Videos by heise

Anfang des Jahres landeten Daten von 6,2 Millionen Instagram-Konten beim Have-I-Been-Pwned-Projekt. Kriminelle haben die Daten mittels Scraping erlangt, also dem Abklappern der Datenbank und Auslesen über öffentlich zugreifbare Schnittstellen. Im vergangenen Mai hatte Hunt zudem der Webseite ein massives Facelifting verpasst. Die Basis stellt seitdem weiterhin das prominente Eingabefeld für die E-Mail-Adresse. Wurde die eingegebene Adresse in keinem Datenleck aufgefunden, fliegt seitdem virtuelles Konfetti über die Seite. Das Dashboard steht seitdem für private Nutzer kostenlos zur Verfügung und erlaubt auch Einsicht in sensible Datenlecks. Dort finden Unternehmenskunden auch API-Zugriffe und weitere Dienste wie die Domain-Suche, die allerdings ein Bezahl-Abo voraussetzen.

(dmk)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Anthropic-KI Mythos: Dringende Warnung an US-Banken, BSI erwartet Umwälzungen

2026-04-10T04:52:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Anthropics neue KI Mythos sorgt für Aufregung. In den USA wurden die Chefs der systemrelevanten Banken einbestellt, hier erwartet das BSI weitreichende Folgen.

409

(Bild: PhotoGranary02/Shutterstock.com)

10.04.2026, 06:52 Uhr

Lesezeit: 3 Min.

Von

Martin Holland

US-Finanzminister Scott Bessent und der US-Notenbankchef Jerome Powell haben die Chefs der wichtigsten US-Banken am Dienstag zu einem ungewöhnlich dringenden Treffen zusammengerufen, um vor den Gefahren von Anthropics neuem KI-Modell Claude Mythos Preview zu warnen. Das berichtet Bloomberg unter Berufung auf eingeweihte Personen. Das kurzfristig anberaumte Treffen sei ein Zeichen dafür, dass US-Aufsichtsbehörden die Möglichkeit einer neuen Art von Cyberattacken zu den größten Risiken für die Finanzindustrie zählen, fasst die Finanznachrichtenplattform zusammen. Vorgeladen waren demnach die Chefs aller Banken, die in den USA als systemrelevant gelten. Auch das BSI erwartet von dem neuen KI-Modell und ähnlichen Nachfolgern „Umwälzungen im Umgang mit Sicherheitslücken“.

„Mittelfristig keine unbekannten klassischen Sicherheitslücken mehr“

Anthropic hat Mythos erst am Dienstag vorgestellt und gleichzeitig erklärt, dass das Modell so gefährlich sei, dass es nur Firmen zur Verfügung gestellt wird, die an IT-Sicherheit arbeiten. Das KI-Modell habe bereits tausende hochriskante Zero-Day-Lücken identifiziert, darunter auch welche in allen großen Betriebssystemen und jedem Internetbrowser. Gleichzeitig sei die KI-Technik deutlich häufiger in der Lage, einen funktionierenden Exploit für solche Lücken zu entwickeln, teilweise würden dafür sogar mehrere in Verbindung miteinander ausgenutzt. Im Rahmen von „Project Glasswing“ soll die Branche nun daran arbeiten, damit gefundene Lücken abzudichten, bevor andere KI-Modelle zur Verfügung stehen, mit denen auch Kriminelle viel leichter Lücken finden und vor allem auch ausnutzen können.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

YouTube-Video immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass die neue Technik erhebliche Auswirkungen auf die Cyberbedrohungslage haben wird, berichtet die dpa. Man stehe dazu mit Anthropic im Kontakt, habe BSI-Präsidentin, Claudia Plattner, auf Anfrage mitgeteilt. Ihre Behörde erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“. Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben, meint sie. „Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben.“

Zudem stelle sich die Frage, ob und wie lange derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden, zitiert die dpa weiter. Angesichts der rasanten Entwicklung von KI-Technik kann man davon ausgehen, dass die bislang nicht frei verfügbaren Fähigkeiten schon bald einer breiteren Masse zur Verfügung stehen und damit auch Kriminellen sowie Akteuren gegnerischer Staaten. „Daraus wiederum ergeben sich Fragen nationaler und europäischer Sicherheit und Souveränität“, meint Plattner. Ihre Behörde hat Mythos demnach noch nicht testen können, im persönlichen Gespräch mit Entwicklern von Anthropic jedoch Einblick in die Funktionsweise gewonnen.

Lesen Sie auch

Anthropic vs. Pentagon: Etappensieg für US-Regierung vor Berufungsgericht

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

TP-Link-Angriff: Microsoft im Visier, Deutschland im Glück

2026-04-09T14:40:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Die Attacke auf Router und Access Points von TP-Link zielte auf die Übernahme von Microsofts Office-Cloud-Sessions. Deutschland war laut BSI wenig betroffen.

(Bild: Skrypnykov Dmytro/Shutterstock.com)

09.04.2026, 16:40 Uhr

Lesezeit: 2 Min.

Von

Falk Steiner

Bei der am Dienstag vom britischen National Cyber Security Center (NCSC) bekannt gemachten Angriffsserie auf Router und Access Points des Herstellers TP-Link hatten Angreifer offenbar die Microsoft Cloud im Visier. Deutschland ist nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aber nur in geringem Ausmaß betroffen. Zuvor hatten Bundesnachrichtendienst und Verfassungsschutz aktiv vor Angriffen gewarnt und Kompromittierungs-Indikatoren zur Verfügung gestellt.

Die Gruppierung APT-28, die dem russischen Militärgeheimdienst GRU zugerechnet wird, habe bei ihrem Angriff eine 2024 bekannt gewordene Zero-Day-Lücke (CVE-2023-50224) ausgenutzt, bestätigen die Sicherheitsbehörden. Ziel der Attacken, bei denen die DNS-Anfragen auf von den Angreifern kontrollierte Server geleitet wurden, soll die Übernahme von eigentlich wirksam verschlüsselten Sessions zu Microsofts Clouddiensten gewesen sein, berichtet die Firma in einer umfangreichen Stellungnahme.

Deutschland hat Glück gehabt

„Glücklicherweise gehen wir mit Blick auf die nun erfolgreich gestörte Angriffskampagne von einer sehr geringen Betroffenenanzahl in Deutschland aus“, sagt BSI-Präsidentin Claudia Plattner auf Anfrage von heise online. Das Bundesamt für Verfassungsschutz hatte in einer ersten Einordnung die Zahl von 30 betroffenen Geräten genannt. Auf identifizierte Betroffene sind die Verfassungsschutzbehörden der Länder individuell zugegangen – was angesichts der überschaubaren Zahl möglich war.

Videos by heise

Die meisten der betroffenen Geräte von TP-Link sind einige Jahre, teils weit über ein Jahrzehnt alt. „Auch und gerade Netzwerkgeräte wie Router können zum Einfallstor für Angriffe werden – regelmäßige Härtungsmaßnahmen, insbesondere das Schließen bekannter Sicherheitslücken, sind essentiell“, mahnt Plattner. „Wenn es Angreifern gelingt, in den Router einzudringen, können sie nicht nur das Gerät selbst, sondern potentiell auch alle angeschlossenen Geräte kompromittieren.“ In Sicherheitskreisen wird das im März von der US-Regulierungsbehörde FCC verhängte Importverbot für Router in engem Zusammenhang mit der Entdeckung der GRU-Kampagne gesehen.

Für viele der betroffenen Modelle (vollständige Liste des NCSC) gibt es jedoch längst keine Sicherheitsupdates vom Hersteller mehr. Für einige davon ist aber zumindest alternative Software aus dem OpenWRT-Projekt abrufbar. Diese Versionen sind laut OpenWRT-Aktiven im aktuellen Fall nicht kompromittiert. Stichproben von heise online haben derweil gezeigt, dass manche der betroffenen Modelle hierzulande auch weiterhin in Elektronikmärkten verkauft werden.

Lesen Sie auch

Desolate FCC-Vorgabe: „Freedom Router“ für US-Verbraucher

Das US-Routerverbot und seine durchsichtige Begründung

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Juniper: Unter anderem Root-Sicherheitslücken in Junos OS geschlossen

2026-04-09T13:44:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Angreifer können an zahlreichen Schwachstellen im Netzwerkbetriebssystem Junos OS ansetzen. Nun gibt es Sicherheitsupdates.

(Bild: Artur Szczybylo/Shutterstock.com)

09.04.2026, 15:44 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Mehrere Sicherheitslücken gefährden Netzwerk- und Sicherheitsprodukte von Juniper. Die Schwachstellen stecken im Netzwerkbetriebssystem Junos OS und Junos OS Evolved, die unter anderem die Basis für Router und Switches bilden. Im schlimmsten Fall verschaffen sich Angreifer weitreichende Rechte auf Geräten. Bislang warnt der Netzwerkausrüster nicht vor Attacken. Admins sollten die Sicherheitsupdates dennoch zeitnah installieren.

Mehrere Gefahren

Im Sicherheitsbereich der Juniper-Website sind 28 nun geschlossene Softwareschwachstellen aufgelistet. Dort finden Netzwerkadmins auch die Sicherheitsupdates, deren Auflistung den Rahmen dieser Meldung sprengt.

Von den Lücken sind einige mit dem Bedrohungsgrad „hoch“ eingestuft. So können Angreifer etwa mit präparierten BGP-Anfragen an verwundbaren Geräten ansetzen und Abstürze auslösen (CVE-2026-33797).

Angreifer können sich aber auch an mehreren Stellen Root-Rechte verschaffen (etwa CVE-2026-21916). Mit derart weitreichenden Rechten liegt es nahe, dass Geräte als vollständig kompromittiert gelten. In diesem Fall gibt es aber eine Hürde, und ein lokaler Angreifer muss bereits über niedrige Nutzerrechte verfügen. Das ist auch die Voraussetzung für einen weiteren Angriff, bei dem sensible Daten leaken können (CVE-2026-33776).

Die Fabric-Management-Software Apstra ist ebenfalls verwundbar. Aufgrund einer fehlerhaften SSH-Implementierung kann sich ein Angreifer ohne Authentifizierung als Man-in-the-Middle in Verbindungen einklinken (CVE-2026-13914 „hoch“).

Videos by heise

Aufgrund eines Standardpassworts in vLWC sind unbefugte Zugriffe vorstellbar (CVE-2026-33784). Diese Sicherheitslücke ist mit dem Bedrohungsgrad „kritisch“ eingestuft.

(des)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Ausgehenden Traffic unter Linux kontrollieren: Little Snitch ist da

2026-04-09T13:24:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Was telefoniert unter Linux nach Hause? Mit der Firewall Little Snitch lassen sich Anwendungen jetzt auch abseits von macOS überwachen.

(Bild: heise medien)

09.04.2026, 15:24 Uhr

Lesezeit: 3 Min.

iX Magazin

Von

Moritz Förster

Little Snitch, bislang vor allem als macOS-Firewall bekannt, kommt für Linux. Die Software überwacht ausgehende Netzwerkverbindungen auf Anwendungsebene und zeigt Nutzern, welche Prozesse wohin kommunizieren. Bei Bedarf lassen sich Verbindungen gezielt blockieren – allerdings mit technischen Grenzen.

Die Software arbeitet als hostbasierte Application Firewall: Statt nur Ports oder IP-Adressen zu filtern, kontrolliert Little Snitch den ausgehenden Traffic pro Prozess und erlaubt feingranulare Regeln. Bekannt ist das Tool für seine interaktiven Abfragen bei neuen Verbindungen und die grafische Aufbereitung der Netzwerkaktivität. Unter Linux trifft es auf etablierte Werkzeuge wie nftables oder ufw, die primär paket- und netzwerkzentriert arbeiten.

Regeln pro Anwendung statt pro Port

Die Linux-Version knüpft Netzwerkregeln direkt an Anwendungen. Verbindungen lassen sich nicht nur nach Zieladresse oder Port steuern, sondern nach konkretem Binary oder Prozess. So kann ein Administrator zum Beispiel curl ausschließlich den Zugriff auf eine bestimmte API-Domain gestatten und alle anderen Ziele blockieren. Die Kontrolle verschiebt sich damit von der Netzwerk- auf die Anwendungsebene.

Baut ein Prozess erstmals eine Verbindung auf, informiert Little Snitch den Nutzer und fordert eine Entscheidung ein. Das greift beispielsweise, wenn ein frisch installiertes Tool unbemerkt Telemetriedaten verschickt. Unter Linux gibt es solche interaktiven Mechanismen bisher kaum – die meisten Firewall-Lösungen setzen auf Logging und nachträgliche Regelpflege.

Die Oberfläche der Linux-Version von Little Snitch – bislang gab es die Software nur für macOS.

(Bild: Objective Development Software GmbH)

Ein Network Monitor zeigt aktive Verbindungen mit Zielsystemen, Protokollen und Datenvolumen an. Damit lassen sich etwa dauerhaft aktive Hintergrundverbindungen oder ungewöhnliche Kommunikationsmuster aufspüren. Das ist nützlich für Debugging und Analysen gleichermaßen.

Die Regeln lassen sich nach Protokollen und Zielen definieren – etwa, um Verbindungen auf HTTPS zu beschränken. Solche Funktionen erfordern typischerweise eine enge Verzahnung mit der DNS-Auflösung.

GUI statt Kommandozeile

Anders als viele Linux-Tools setzt Little Snitch stark auf eine grafische Oberfläche. Regeln entstehen per UI statt über nftables-Regelwerke. Das kommt vor allem Desktop-Nutzern entgegen, die mehr Transparenz wollen, ohne sich in Low-Level-Firewall-Konfiguration einzuarbeiten.

Technisch setzt die Linux-Umsetzung auf eBPF, um Netzwerkverbindungen auf Kernel-Ebene abzufangen. Das ermöglicht eine performante und portable Überwachung – anders als Kernel-Erweiterungen, die distributionsabhängig wären. Die Zuordnung von Netzwerkpaketen zu User-Space-Prozessen ist anspruchsvoll. eBPF bietet hier eine vergleichsweise flexible Möglichkeit, Socket- und Netzwerkereignisse zu überwachen.

Videos by heise

Privacy-Tool mit Grenzen

Little Snitch hilft Nutzern zwar dabei, unerwartete Verbindungen wie für Telemetriedaten aufzuspüren. Trotzdem ist es kein Security-Tool: eBPF hat technische Grenzen, die Umgehungen ermöglichen. OpenSnitch verfolgt unter Linux ein ähnliches Konzept, Little Snitch bietet im Vergleich eine Kombination aus ausgereifter Oberfläche, Visualisierung und Regel-Engine. Die Software zielt dabei keineswegs nur auf den Desktop: Da die Bedienoberfläche als Web-Anwendung umgesetzt wurde, lässt sich Little Snitch explizit auch auf Headless-Servern einsetzen und von anderen Geräten aus fernsteuern, um etwa die Verbindungen von Diensten wie Nextcloud zu überwachen.

Aktuell läuft Little Snitch für Linux ab Linux-Kernel 6.12 – in der Praxis also auf Debian 13, Ubuntu 25.04, Mint 22, Fedora 40 oder RHEL 10 sowie auf Rolling-Release-Distros wie Arch und Manjaro, wie der Blog-Post der Entwickler erläutert. Interessierte Nutzer können das Tool auf der Webseite des Anbieters kostenlos herunterladen.

(fo)

Top 10: Der beste Fensterputzroboter im Test – Hutt vor Ecovacs und Dreame

Top 10: Der beste Full-HD-Beamer für Heimkino, TV & Konsole im Test

Top 10: Das beste günstige Smartphone bis 300 Euro

Keycloak 26.6.0: Fünf Preview-Features werden produktionsreif

2026-04-09T11:55:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Das Open-Source-IAM-System Keycloak 26.6 befördert fünf Features in den produktiven Status – darunter Federated Client Authentication und Zero-Downtime-Updates.

(Bild: HAKINMHAN / Shutterstock.com)

09.04.2026, 13:55 Uhr

Lesezeit: 4 Min.

Developer

Von

Matthias Parbel

Das Keycloak-Projekt hat Version 26.6.0 des Open-Source-Identity-Providers veröffentlicht. Im Mittelpunkt stehen fünf Features, die den Preview-Status verlassen und nun als vollständig unterstützt gelten. Für Unternehmen, die Keycloak in Kubernetes-Umgebungen betreiben, dürften dabei vor allem die Zero-Downtime-Patch-Releases und die Federated Client Authentication relevant sein.

Die wohl praxisrelevanteste Neuerung laut Ankündigung: Patch-Releases lassen sich künftig als Rolling Updates innerhalb eines Minor-Release-Streams einspielen, ohne dass der Dienst unterbrochen wird. Zusammen mit dem ebenfalls verbesserten Graceful HTTP Shutdown, der Fehlermeldungen beim Abschalten einzelner Nodes verhindert, greift das Entwicklungsteam damit eine zentrale Anforderung containerisierter Deployments auf. Um von den Zero-Downtime-Patch-Releases profitieren zu können, genügt es laut Release Notes, die Update-Strategie für den Keycloak Operator auf „Auto“ zu setzen.

Die auf Developer Experience (DX) und Platform Engineering spezialisierte CLC-Konferenz findet vom 11. bis 12. November 2026 in Mannheim statt. Beim Call for Proposals werden bis zum 21. April Vorschläge für Workshops und Talks gesucht – vor allem Praxisberichte.

Weitere Informationen finden sich auf der CLC-Website.

Daneben hat das Projekt die Federated Client Authentication in den produktiven Status befördert. Das Feature erlaubt es Clients, vorhandene Credentials eines externen Issuers zu nutzen, sobald eine Vertrauensbeziehung besteht. Individuelle Client-Secrets in Keycloak entfallen damit. Unterstützt werden Client-Assertions externer OpenID-Connect-Identity-Provider sowie Kubernetes Service Accounts. Organisationen mit mehreren Identity-Providern reduzieren so den Verwaltungsaufwand für Secrets erheblich. Die OAuth-SPIFFE-Client-Authentication bleibt allerdings im Preview-Status, da die zugrunde liegende Spezifikation noch nicht finalisiert ist.

Videos by heise

Workflows und JWT Authorization Grant

Mit den nun unterstützten Workflows bringt Keycloak zentrale Funktionen aus dem Bereich Identity Governance and Administration (IGA) mit. Administratoren können Realm-Aufgaben wie das Lifecycle-Management von Benutzern und Clients in YAML-Dateien definieren und anhand von Ereignissen, Bedingungen oder Zeitplänen automatisiert ausführen lassen. Das Release enthält zudem neue Built-in-Steps, einen Troubleshooting-Guide sowie diverse Verbesserungen an der Workflow-Engine.

Auch der JWT Authorization Grant nach RFC 7523 gilt nun als produktionsreif. Er ermöglicht den Austausch externer JWT-Assertions gegen OAuth-2.0-Access-Token und hilft somit bei Anwendungsfällen, in denen externe Token in interne überführt werden müssen. Komplettiert wird das Quintett durch das neue Keycloak Test Framework, das den bisherigen Arquillian-basierten Ansatz ablöst.

Experimentelle MCP-Unterstützung und Java 25

Jenseits der fünf Haupt-Features liefert das Release weitere Neuerungen. Experimentell unterstützt Keycloak nun das OAuth Client ID Metadata Document (CIMD) – ein aufkommender Standard zur Beschreibung von OAuth-2.0-Client-Metadaten. Da das Model Context Protocol (MCP) ab Version 2025-11-25 CIMD voraussetzt, lässt sich Keycloak künftig als Authorization Server für MCP-Szenarien nutzen.

Als Preview erscheinen zudem die Identity Brokering APIs V2, die den Legacy Token Exchange V1 ablösen sollen, sowie Step-up Authentication für das SAML-Protokoll. Organisationen profitieren außerdem von isolierten Gruppenhierarchien pro Organisation, die Namenskonflikte innerhalb eines Realms vermeiden.

Auf der Infrastrukturseite unterstützt Keycloak inzwischen OpenJDK 25. Das Container-Image setzt allerdings weiterhin auf Java 21, um FIPS-Kompatibilität zu gewährleisten – für Unternehmen in regulierten Umgebungen bleibt damit alles beim Alten. Bestehende Deployments mit Java 21 sollen unverändert weiter funktionieren. Weitere Verbesserungen betreffen die automatische Truststore-Initialisierung auf Kubernetes und OpenShift, neue Client-Certificate-Lookup-Provider für Traefik und Envoy sowie überarbeitete HTTP-Access-Logs, die sensible Informationen wie Token und Cookies ausfiltern.