Anmelden
(Bild: Anastasiia Skorobogatova/Shutterstock.com)
Zum Missbrauch der seit Ende September bekannten Sicherheitslücken in Cisco-Firewalls haben Angreifer neue Wege gefunden. Tausende sind verwundbar.
Seit Ende September sind Angriffe auf drei Sicherheitslücken in Ciscos ASA- und FTD-Firewalls bekannt. Updates zum Schließen der Lücken [1] stehen seitdem zur Verfügung. Anfang November sind jedoch noch immer mehr als Tausend Cisco-Geräte in Deutschland im Netz erreichbar und verwundbar. Nun meldet Cisco auch noch, dass Angreifer neue Wege zum Missbrauch von zwei der drei Schwachstellen nutzen.
Im Laufe des Mittwochs hat Cisco seine Warnung vor laufenden Angriffen [2] auf die Sicherheitslücken auf die VPN-Komponente der Firewalls aktualisiert. Der Hersteller schreibt, dass er am Mittwoch eine neue Angriffsvariante auf beide Schwachstellen bemerkt hat. Die Cyberattacken können auf nicht gepatchten Geräten dazu führen, dass diese unerwartet neu starten, was in Denial-of-Service-Situationen mündet. Cisco empfiehlt nachdrücklich, auf die korrigierten Softwareversionen zu aktualisieren.
Aktuelle Zahlen der Shadowserver Foundation [3] zu den für die Schwachstellen anfälligen Geräte zeigen viele Tausende weltweit. Ganz vorne stehen die USA mit derzeit mehr als 13.500 anfälligen Cisco-Firewalls. Aber auch Deutschland fällt negativ auf, mit aktuell noch 1160 verwundbaren Cisco-ASA- und FTD-Firewalls. Seit Anfang Oktober haben Admins also nicht einmal die Hälfte der damals lückenhaften Cisco-Geräte [4] mit den Sicherheitsupdates versorgt.
Insgesamt geht es laut Cisco um drei Sicherheitslücken: Bei der ersten können authentifizierte Angreifer aus dem Netz beliebigen Code auf Ciscos ASA- und FTD-Firewalls schieben und ausführen (CVE-2025-20333 [5], CVSS 9.9, Risiko "kritisch"). Als Ursache nennt Cisco die unzureichende Prüfung von HTTP(S)-Anfragen, die Nutzern mit gültigen VPN-Zugangsdaten solche Attacken ermöglicht. Die zweite Lücke erlaubt es nicht angemeldeten Nutzern (bei Ciscos ASA und FTD) sowie angemeldeten Angreifern mit niedrigen Rechten (in Ciscos IOS, IOS XE und IOS XR), beliebigen Code auf betroffenen Geräten auszuführen. Auch das geht auf unzureichende Validierung von HTTP-Anfragen zurück (CVE-2025-20363 [6], CVSS 9.0, Risiko "kritisch"). Die letzte Schwachstelle ermöglicht nicht authentifizierten Angreifern aus dem Netz den Zugriff auf zugriffsbeschränkte URL-Endpunkte, die zum VPN-Fernzugriff gehören (CVE-2025-20362 [7], CVSS 6.5, Risiko "mittel").
Die neu beobachteten Angriffsvarianten betreffen die Schwachstellen CVE-2025-20333 und CVE-2025-20362. IT-Verantwortliche sollten Cisco [8]s Warnungen ernst nehmen und die bereitstehenden Aktualisierungen zeitnah anwenden.
URL dieses Artikels:
https://www.heise.de/-11068989
Links in diesem Artikel:
[1] https://www.heise.de/news/Jetzt-patchen-Schadcode-Attacken-auf-ASA-FTD-Firewalls-von-Cisco-10671410.html
[2] https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
[3] https://dashboard.shadowserver.org/statistics/combined/map/?date_range=1&map_type=std&source=http_vulnerable&source=http_vulnerable6&tag=cve-2025-20333%2B&tag=cve-2025-20362%2B&data_set=count&scale=log&auto_update=on
[4] https://www.heise.de/news/Laufende-Attacken-Ueber-2300-Cisco-Firewalls-in-Deutschland-noch-verwundbar-10695773.html
[5] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
[6] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O
[7] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW
[8] https://www.heise.de/thema/Cisco
[9] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[10] mailto:dmk@heise.de
Copyright © 2025 Heise Medien
(Bild: heise medien)
Ist die Firmen-IT zu gut geschützt, attackieren Angreifer gezielt Zulieferer. Knapp 28 Prozent der Firmen sind betroffen – viele davon mit spürbaren Folgen.
Angriffe auf die Lieferkette entwickeln sich zu einem erheblichen Sicherheitsrisiko für deutsche Unternehmen: Knapp 28 Prozent der Firmen waren innerhalb von zwölf Monaten von Cyberangriffen auf ihre Zulieferer betroffen oder hatten einen entsprechenden Verdacht. Das geht aus einer aktuellen Studie des Digitalverbands Bitkom hervor, für die mehr als 1000 Unternehmen quer durch alle Branchen befragt wurden.
Konkret gaben 9 Prozent der befragten Firmen an, dass ihre Zulieferer nachweislich Opfer von Industriespionage, Sabotage oder Datendiebstahl wurden. Weitere 19 Prozent hatten einen entsprechenden Verdacht. Die Angreifer nutzen dabei eine klassische Schwachstelle: Auch wenn ein Unternehmen selbst hohe Sicherheitsstandards implementiert hat, können über vernetzte IT-Systeme oder bei Zulieferern liegende Geschäftsunterlagen – zum Beispiel Konstruktionspläne – Angriffsvektoren entstehen.
Die Auswirkungen sollten Firmen laut Bitkom auf keinen Fall unterschätzen: 41 Prozent der Unternehmen, deren Zulieferer attackiert wurden, spürten konkrete Folgen. Diese reichen von Produktionsausfällen über Lieferengpässe bis hin zu Reputationsschäden. Bei knapp der Hälfte (49 Prozent) blieben die Angriffe auf Zulieferer ohne direkte Auswirkungen auf das eigene Geschäft.
"Angreifer suchen sich die schwächste Stelle aus. Gerade bei besonders gut geschützten Unternehmen sind das häufig weniger gut geschützte Zulieferer", erklärt Bitkom-Präsident Ralf Wintergerst. Zur Verbesserung der Cybersicherheit müssten Geschäftspartner entlang der Lieferkette sensibilisiert, Schutzmaßnahmen vereinbart und gemeinsam implementiert werden.
Ebenfalls kritisch: 15 Prozent der befragten Unternehmen wissen nicht, ob ihre Zulieferer angegriffen wurden – oder wollten keine Angaben dazu machen. Lediglich 4 Prozent arbeiten nicht mit Zulieferern zusammen. Die übrigen 53 Prozent gaben an, dass es keine bekannten Angriffe auf ihre Zulieferer gab. Die Studie findet sich als PDF in der Mitteilung des Bitkom [1].
URL dieses Artikels:
https://www.heise.de/-11070823
Links in diesem Artikel:
[1] https://www.bitkom.org/Presse/Presseinformation/IT-Sicherheit-Angreifer-Zulieferer
[2] https://www.heise.de/ix
[3] mailto:fo@heise.de
Copyright © 2025 Heise Medien
(Bild: Shutter z/Shutterstock.com)
In der Groupware Zimbra haben die Entwickler mit aktualisierten Paketen mehrere Sicherheitslücken geschlossen.
Die Entwickler der Groupware Zimbra haben aktualisierte Softwarepakete veröffentlicht. Sie schließen gleich mehrere Sicherheitslücken. IT-Verantwortliche sollten die Updates zügig anwenden.
Die Changelogs zu den nun verfügbaren Versionen 10.0.18 [1] und 10.1.13 [2] weisen eine größere Zahl an Sicherheitslücken aus, die darin geschlossen wurden. Für Version 10.0.18 sind das:
FreshRSS ExportAndDeleteItemsRequest API eingeführt, um unsichere Dateiexporte zu verhindernVersion 10.1.13 stopft noch mehr Sicherheitslücken, zusätzlich zu den vorgenannten:
Genaue Details zu den geschlossenen Sicherheitslücken und die Schwachstelleneinträge (CVE) nennen die Entwickler bislang nicht. Allerdings sind Schwachstellen in Zimbra oftmals Ziel von Angriffen Cyberkrimineller [3] – auch, weil einige Regierungseinrichtungen etwa in der EU mit der Groupware Zimbra arbeiten.
Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) [4] schätzt den Schweregrad der Schwachstellen jedoch bis hinauf zum CVSS-Wert 9.8, also Risiko "kritisch" ein. Die Analysten gehen davon aus, dass Angreifer durch die Sicherheitslücken unter anderem auch beliebigen Schadcode ausführen und Sicherheitsmaßnahmen umgehen können.
URL dieses Artikels:
https://www.heise.de/-11069504
Links in diesem Artikel:
[1] https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.18#Security_Fixes
[2] https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.13#Security_Fixes
[3] https://www.heise.de/news/Cyberattacken-Luecken-in-Zimbra-und-Microsoft-Partner-Center-werden-angegriffen-10296961.html
[4] https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-2512
[5] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[6] mailto:dmk@heise.de
Copyright © 2025 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Nomad Stand One: Qi2 mit 25 Watt.
(Bild: Nomad)
Je nach iPhone-Modell kann man nun deutlich flotter via Qi2.2 induktiv Strom auftanken. Zubehörspezialist Nomad fasst mehrere Lademöglichkeiten zusammen.
Besitzer von iPhones der Baureihen 16 [1] und 17 [2] können ihre Geräte dank Qi2.2-Support ab iOS 26 auf kompatiblen Ladern mit bis zu 25 Watt induktiv mit Strom versorgen. Beim iPhone Air [3] sind immerhin 20 Watt drin. Der Apple-Zubehörspezialist Nomad hat nun zwei dafür geeignete Stationen in sein Programm aufgenommen, die nicht nur iPhones, sondern auch Zubehör mit Energie versorgen.
Der Stand One [4] ist als 2-in-1-"Hub" konzipiert. Er kann iPhone und AirPods mit drahtloser Ladefunktion gleichzeitig mit Strom versorgen. Via Qi2 mit 25 Watt (das auch als das erwähnte Qi2.2 bezeichnet wird) ist die maximal induktive Ladeleistung für iPhone 16 und 17 möglich. AirPods werden mittels Qi versorgt, also mit maximal 5 Watt. Das Gehäuse ist aus Metall, die Ladeflächen mit Glas- beziehungsweise Kunststoff überzogen. Ein Gummimaterial auf der Unterseite soll ein Wegrutschen verhindern. Mit 575 Gramm ist der Stand One recht schwer.
iPhones lassen sich sowohl vertikal als auch horizontal (für den Standby-Modus [5]) platzieren. Nomad verkauft zwei Farben: Silber (Richtung Weiß) und "Carbide" (Richtung Schwarz). Der Preis ist mit 109 Euro recht hoch, hinzu kommen 9 Euro Versandkosten. Ein Netzteil liegt leider nicht bei, sondern nur ein USB-C-Kabel. Für maximale Ladeleistung muss man eine 40-Watt-Stromversorgung dazu kaufen, Nomad selbst verkauft diese ab 25 Euro.
Der Stand One Max ist breiter als der Stand One und als 3-in-1-"Hub" konzipiert. Neben iPhone und AirPods ist eine Extra-Ladefläche (hochgeklappt) für die Apple Watch verfügbar. Je nach Form von deren Armband muss dieses geöffnet werden, damit auch noch die AirPods dahinterpassen. Nomad zufolge lädt die Apple Watch mit dem Stand One Max "schnell" – Fast Charging wird ab der Ultra beziehungsweise Series 7 und SE 3 unterstützt.
Das Gerät ist in den Farben des Stand One zu haben, wiegt 875 Gramm. Auch hier fehlt trotz des Preises von 149 Euro (plus 9 Euro Versand) ein notwendiges Netzteil, es werden mindestens 40 Watt benötigt. Standby-Modus-Support ist vorhanden, das iPhone kann vertikal wie horizontal platziert werden, der Kamerabereich bleibt (wie beim Stand One auch) frei. Stand One und Stand One Max sollen in den kommenden Wochen in den Handel kommen. Der Stand One Max ist bereits vorbestellbar.
URL dieses Artikels:
https://www.heise.de/-11068198
Links in diesem Artikel:
[1] https://www.heise.de/tests/iPhone-16-Pro-16-Pro-Max-16-und-16-Plus-im-Test-Button-up-9947380.html
[2] https://www.heise.de/tests/iPhone-17-17-Pro-17-Pro-Max-und-Air-im-Test-10663319.html
[3] https://www.heise.de/news/Luftig-Apple-schickt-duennes-iPhone-Air-ins-Rennen-10638523.html
[4] https://nomadgoods.com/eu/products/stand-one-4th-gen-carbide
[5] https://www.heise.de/tests/iOS-17-mit-Standby-Funktion-Kompatible-iPhone-Staender-im-Kurztest-9312558.html
[6] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[7] https://www.heise.de/mac-and-i
[8] mailto:bsc@heise.de
Copyright © 2025 Heise Medien
Installation eines iOS-Updates – hier mit Neustart.
(Bild: nikkimeel / Shutterstock.com)
Apple hat mit iOS 26.1, iPadOS 26.1 und macOS 26.1 eine neue Sicherheitsfunktion scharfgeschaltet. Das sind die Hintergründe.
Mit iOS 26.1, macOS 26.1 und iPadOS 26.1 hat Apple eine neue Sicherheitsfunktion eingeführt, äußert sich allerdings nur zögerlich dazu, was sie letztlich bewirken kann. Die sogenannten Background Security Improvements (BSI), auf Deutsch "im Hintergrund ausgeführte Sicherheitsverbesserungen" genannt, scheinen die Ablösung der bisherigen Rapid Security Response [1] (RSR) zu sein, die Apple schon 2023 eingeführt, aber nahezu nie verwendet hatte – auch, weil es zwischenzeitlich schwere technische Probleme damit [2] gegeben hatte, die zu "Updates fürs Update" führten. Zunächst scheint es so zu sein, dass BSI nur ein neuer Name für RSR ist – zumindest ist der bislang vorhandenen, minimalen Dokumentation [3] wenig Neues zu entnehmen. Grundidee bleibt, dass zumindest bestimmte Systembereiche schneller und (oft auch) ohne Neustart mit sicherheitsrelevanten Aktualisierungen versorgt werden sollen. Dabei kommt Apple allerdings sein eigener Systemschutz des System-Volumes (Signed System Volume, SSV) ins Gehege.
Apple schreibt nun, dass BSI "kleinere Sicherheitsreleases für Komponenten wie den Safari-Browser, den WebKit-Framework-Stack und andere Systembibliotheken" enthalten, die von "kleineren und kontinuierlichen Sicherheitspatches zwischen Softwareupdates profitieren" sollen. Falls in "seltenen Fällen" Kompatibilitätsprobleme auftreten sollten, können BSIs auch wieder entfernt werden, um sie dann neu zu aktualisieren. In iOS 26.1, macOS 26.1 und iPadOS 26.1 sind sie standardmäßig aktiv. Man werde "allgemeine Informationen" nach jedem Release über seine Support-Website publizieren, samt der dazugehörigen CVE-Details [4], so Apple weiter.
Ob BSI aktiv ist oder nicht, lässt sich auf iPhone und iPad unter "Datenschutz & Sicherheit" in der Einstellungen-Anwendung prüfen, beim Mac ist es in den Systemeinstellungen (via Apfel-Menü am schnellsten erreichbar) ebenfalls der Bereich "Datenschutz & Sicherheit". Hier sucht man dann nach "im Hintergrund ausgeführten Sicherheitsverbesserungen" und kann prüfen, ob "automatisch installieren" scharf geschaltet ist. Wurde dies deaktiviert, landen die BSI-Fixes erst mit der nächsten macOS-, iOS- und iPadOS-Aktualisierung auf dem Gerät.
Aufgrund des SSV bleibt BSI-Aktualisierungen nur wenig Raum, direkt am System Veränderungen vorzunehmen. Wie Mac & i-Autor und macOS-Experte Howard Oakley in seinem Blog schreibt, werden BSIs via cryptex-Dateien verteilt [5]. "Diese sind durch Signaturen zur Überprüfung ihres Inhalts streng geschützt und werden erst nach dem Booten des Kernels gemountet. APFS fügt sie dann in das Root-Dateisystem ein, sodass ihr Inhalt an den richtigen Stellen auftaucht."
Letztlich sind derzeit Safari und WebKit sowie Frameworks, die dyld-Caches verwenden, so zu aktualisieren. Auch KI-Funktionen können so auf Apple-Silicon-Maschinen sicherheitsrelevante Verbesserungen erhalten. Der Prozess größerer Systemupdates, bei denen Veränderungen am SSV erfolgen, kommt ohne Neustarts aber weiterhin nicht aus – und dabei wird es wohl bleiben. Wenn es um Verbesserungen von Safari geht, könnte Apple unterdessen auch einfach den Browser allein aktualisieren: Das tut der Konzern auch jetzt schon, wenn er diesen für ältere Mac-Betriebssysteme aktualisiert [6]. Nur das jeweils aktuelle macOS enthält Safari stets im vollständigen, neustartpflichtigen Update-Paket.
URL dieses Artikels:
https://www.heise.de/-11069474
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Hintergrund-So-funktionieren-Apples-schnelle-Sicherheitsupdates-fuer-iPhone-Co-8994378.html
[2] https://www.heise.de/news/Update-fuers-Update-Apple-ueberholt-letzte-Rapid-Security-Response-9214819.html
[3] https://support.apple.com/de-de/102657
[4] https://de.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
[5] https://eclecticlight.co/2025/11/06/how-tahoe-26-1-has-enabled-automatic-security-updates/
[6] https://www.heise.de/news/iPhone-Mac-mehr-Jede-Menge-Sicherheitsupdates-iOS-18-bleibt-ungepatcht-11041224.html
[7] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[8] https://www.heise.de/mac-and-i
[9] mailto:bsc@heise.de
Copyright © 2025 Heise Medien
Mit "Trace" können AR-Inhalte wie hier vom Digitalkünstler "Voidz" fest im Raum verankert und über verschiedene Geräte betrachtet werden.
(Bild: Voidz, Trace Inc.)
Trace will AR-Inhalte so einfach machen wie Webdesign mit Baukästen. Die neue No-Code-Plattform beerbt Adobe Aero und Meta Spark und lockt mit Gratis-Monaten.
Mit dem Aus von Adobe Aero und Meta Spark AR fehlt vielen Kreativen ein Werkzeug für Augmented Reality. Das von ehemaligen Magic-Leap [1]-Mitarbeitenden gegründete Start-up Trace will diese Lücke mit einer neuen No-Code-Plattform füllen und verspricht einfache Tools für komplexe Inhalte. Ihre Software soll es ermöglichen, interaktive Augmented-Reality-Erlebnisse ohne technische Vorkenntnisse zu gestalten und plattformübergreifend auf Mobilgeräten, AR-Brillen und Headsets zu veröffentlichen. AR-Inhalte sollen dadurch kostengünstig, schnell und ohne externe Unterstützung umgesetzt werden können.
Die Trace-Plattform besteht aus drei zentralen Komponenten: einer mobilen App zur Inhaltserstellung, einem webbasierten Studio zur Projektverwaltung und einem Viewer für die Veröffentlichung und Nutzung der Inhalte. In der Creator App lassen sich 3D-Modelle, Videos, Texte und eigene Avatar-Aufnahmen direkt in reale Umgebungen einfügen. Das soll entweder frei platzierbar oder ortsgebunden möglich sein, etwa über GPS oder Bilderkennung.
Trace Studio dient als zentrale Verwaltungsstelle für Szenen, Projekte, Teams und Assets. Inhalte lassen sich per Drag-and-drop verwalten, mit anderen teilen und veröffentlichen. Über die Trace Viewer App können veröffentlichte Inhalte schließlich konsumiert werden. Unterstützt werden iOS, Android, Apple Vision Pro sowie Meta Quest und Microsofts nicht mehr weiterentwickeltes Industrie-AR-Headset Hololens 2 [3].
Inhalte lassen sich geräteübergreifend ausspielen und sollen sich laut Hersteller automatisch an unterschiedliche Endgeräte anpassen. Für die Darstellung ortsabhängiger Szenen werden Bildanker verwendet, die als visuelle Referenzpunkte für die Platzierung digitaler Objekte dienen. Auch einfache Interaktionen mit der Umgebung sind möglich, etwa durch Kollisionsabfragen und Tiefenerkennung.
Trace richtet sich laut CTO Martin Smith an ein breites Publikum – von Einzelpersonen über Künstler hin zu Unternehmen. Erste Firmenkunden sind bereits an Bord, darunter T-Mobile, Telefónica, Qualcomm, Lenovo und die Deutsche Telekom. Die Veröffentlichung erfolgt zu einem strategisch günstigen Zeitpunkt: Adobe Aero wurde am 6. November eingestellt, Meta Spark AR bereits Anfang des Jahres [4]. Trace setzt sich also direkt in die entstandene Lücke.
Um den Umstieg zu erleichtern, bietet das Unternehmen ehemaligen Nutzern von Aero und Spark deshalb drei Monate Premium-Zugang kostenlos an. Die Trace Creator App ist in der Basisversion kostenlos für iPhone und iPad im App Store erhältlich und die Web-Plattform unter studio.trace3d.app zugänglich. Für die Premium-Version verlangt Trace rund 20 US-Dollar monatlich.
URL dieses Artikels:
https://www.heise.de/-11069444
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Magic-Leap-Wie-der-Traum-von-der-Wunder-AR-Brille-platzte-10492176.html
[2] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[3] https://www.heise.de/news/Microsoft-laesst-Hololens-2-auslaufen-kein-Nachfolger-der-AR-Brille-in-Sicht-9960041.html
[4] https://www.heise.de/news/Meta-schliesst-Augmented-Reality-Plattform-Spark-fuer-Drittanbieter-9849573.html
[5] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[6] mailto:joe@heise.de
Copyright © 2025 Heise Medien
(Bild: CoreDESIGN/Shutterstock)
Bei der Regulierung von KI ist wie in der Physik der Blick auf das Gesamtsystem sinnvoller als die Detailanalyse, meinen Benjamin Linnik und Alex Meistrenko.
Willkommen zur vierzehnten Ausgabe der KI-Navigator-Kolumne der DOAG KI Community!
Die EU-KI-Regulierung erinnert uns Physiker an eine berühmte Debatte aus der Geschichte der Wissenschaft: Ende des 19. Jahrhunderts standen sich zwei Giganten der Physik gegenüber: Ludwig Boltzmann und Ernst Mach. Der einflussreiche Positivist Mach weigerte sich, Boltzmanns statistische Mechanik zu akzeptieren. "Ham's aans g'sehn?" (Haben Sie eins gesehen?), rief er provokant aus dem Publikum [1] während einer von Boltzmanns Vorlesungen über Atome. Doch Boltzmann zeigte: Auch wenn jedes einzelne Molekül real ist und chaotisch wirkt, entstehen makroskopische Eigenschaften wie Temperatur und Druck aus statistischen Gesetzmäßigkeiten – ohne dass wir jeden einzelnen Molekülstoß verfolgen müssen.
Die EU verlangt von KI-Systemen eine transparente Nachvollziehbarkeit – aber was heißt das konkret? Es geht nicht darum, die Berechnung jedes einzelnen Tokens offenzulegen, sondern die Regulierung fordert, dass wir die Ergebnisse von KI-Systemen nachvollziehen und interpretieren können – so wie ein Physiker nicht die Bahn jedes einzelnen Gasmoleküls kennt, aber über Druck, Temperatur und Volumen das Verhalten des Gases zuverlässig beschreiben und steuern kann. Nicht mikroskopische Durchleuchtung, sondern makroskopisches Verständnis und Kontrolle sind das Ziel.
Die historische Parallele ist verblüffend: Damals wie heute geht es um dieselbe methodische Einsicht. In der Thermodynamik lehrt Boltzmann, dass man komplexe Systeme durch emergente statistische Eigenschaften verstehen und ihr Verhalten kontrollieren kann, ohne jeden Einzelprozess zu verfolgen. Bei der KI müssen wir ebenso akzeptieren, dass wir nicht jeden einzelnen Verarbeitungsschritt erklären müssen, sondern das Gesamtverhalten eines KI-Systems anhand der statistischen Gesetzmäßigkeiten und emergenten Eigenschaften überwachen und kontrollieren können.
Die Kernfrage ist: Wie schaffen wir Vertrauen in Systeme, deren inneres Verhalten wir nicht vollständig verstehen und kontrollieren können? Dabei liegt die Antwort nicht in der unmöglichen Aufgabe, jeden Schritt zu erklären, sondern in der intelligenten Überwachung des Gesamtsystems – genau wie bei einem Motor, wo wir nicht jede Molekülbewegung im Brennraum verfolgen, aber sehr wohl die kritischen Parameter überwachen. Die Lösung liegt nicht in der Rückkehr zu deterministischen Ansätzen, sondern in der Entwicklung neuer Methoden für die Überwachung probabilistischer KI-Systeme.
Large Language Models (LLMs) sind probabilistische Systeme, deren Ausgabe nie deterministisch ist [2]. LLMs verhalten sich wie ein komplexes Gas aus vielen Teilchen: Einzelne Token sind unvorhersehbar, aber das Gesamtverhalten lässt sich durch makroskopische Größen beschreiben und kontrollieren.
Statt jeden einzelnen Schritt zu prüfen, überwachen moderne KI-Systeme makroskopische Metriken:
Diese exemplarischen Metriken erklären nicht jeden einzelnen Prozess, geben aber ein klares Bild vom Gesamtzustand des Systems. Zusätzliche Metriken lassen sich je nach Anwendungsfall heranziehen, etwa Fairness bei verschiedenen Nutzergruppen, Latenz bei Echtzeitanwendungen oder Robustheit gegen Angriffe bei sicherheitskritischen Systemen.
In der Praxis werden makroskopische KI-Metriken durch eine Kombination bewährter Methoden erfasst, die drei zentrale Säulen umfassen:
Stichprobenartige Bewertung mit menschlichen Experten: Statt jeden einzelnen Output zu prüfen, bewerten Fachexpertinnen und -experten repräsentative Stichproben in Testsystemen. Moderne Plattformen wie LangSmith oder Langfuse bieten Annotation Queues – strukturierte Warteschlangen, in denen Experten systematisch KI-Ausgaben nach vordefinierten Kriterien bewerten können. Diese Bewertungen schaffen Referenzdatensätze, um automatische Systeme zu kalibrieren.
LLM-as-a-Judge: skalierbare automatische Bewertung. Bei dieser Methode werden vordefinierte Testszenarien mit bekannten Sollergebnissen (Ground Truth) durch das zu testende System verarbeitet. Ein KI-System in der Richterrolle vergleicht dann die tatsächlichen Ausgaben mit den erwarteten Ergebnissen anhand festgelegter Bewertungskriterien wie Faktentreue und Relevanz. Dies ermöglicht eine konsistente und skalierbare Bewertung großer Datenmengen. Entscheidend ist die sorgfältige Auswahl und kontinuierliche Verfeinerung der Judge-Szenarien.
Distributed Tracing: Systemverhalten sichtbar machen. Moderne KI-Systeme nutzen OpenTelemetry und ähnliche Frameworks für Distributed Tracing. Wie ein Thermometer die Temperatur misst, ohne jedes Molekül zu erfassen, tracken diese Systeme Anfragen durch komplexe KI-Pipelines und sammeln dabei makroskopische Metriken wie Latenz, Durchsatz, Fehlerrate und Ressourcenverbrauch. Sie erfassen jeden Schritt im KI-System – vom Prompt über die Toolauswahl bis hin zur Modellausführung und Antwort – als "Span" und verknüpfen sie zu einem "Trace".
Dabei gilt die Unterscheidung zwischen Test- und Produktivsystem: Ein Mensch könnte im Prinzip jeden Pfad nachvollziehen, den ein KI-System genommen hat – das ist jedoch in Produktivsystemen weder praktikabel noch erwünscht. Aus Kostengründen wäre die manuelle Prüfung von Millionen von Traces unwirtschaftlich, und aus Datenschutzgründen ist es verboten, persönliche Nutzerdaten in den Traces für manuelle Inspektion zu speichern.
Stattdessen werden diese Trace-Daten automatisch zu makroskopischen Kennzahlen aggregiert: durchschnittliche Antwortzeiten, Fehlerquoten pro Zeitraum oder Ressourcenverbrauch nach Systemkomponenten. KI-Monitoring konzentriert sich auf datenschutzkonforme Aggregatdaten statt auf individuelle Nutzerinteraktionen.
Die drei Methoden ergänzen einander: Menschliche Bewertungen schaffen den Sollzustand während der Entwicklung in kontrollierten Testsystemen, LLM-Judges stellen sicher, dass die Qualität mit der Zeit nicht schlechter wird und Tracing-Systeme überwachen das laufende Systemverhalten in Produktivsystemen.
Das globale Regulierungsumfeld für KI zeigt klare prinzipielle Unterschiede zwischen den Regionen. Während die EU im Rahmen des ersten weltweiten KI-Gesetzes (EU AI Act Regulation) auf explizite Erklärbarkeit setzt, bevorzugen die USA, Australien, aber auch internationale Standards, System-Level Assurance – einen Ansatz, der makroskopische Metriken über mikroskopische Erklärbarkeit stellt und die Erklärung emergenter Eigenschaften des Gesamtsystems ohne detaillierte Kenntnis einzelner Entscheidungen zum Ziel hat.
Makroskopische Metriken für stochastische KI-Systeme sind technisch umsetzbar und bewährt. Beispiele hierfür sind durch die Standards und Methoden wie Assurance of AI-Enabled Systems [3] und Artificial Intelligence Risk Management Framework (AI RMF 1.0) [4] gegeben und zeigen insbesondere, dass System-Level Assurance auch im Bereich von KI-Systemen funktioniert.
Der EU-Weg ist technisch herausfordernder, aber nicht unmöglich, solange keine lückenlose mathematische Erklärung aller mikroskopischen Entscheidungen vorliegen muss – er erfordert jedoch andere technische Lösungen, die über makroskopische Metriken hinausgehen und möglicherweise höhere Entwicklungskosten zur Folge haben. Insbesondere lässt der EU-Weg aber auch viel Interpretationsspielraum für die Bedeutung einer transparenten und erklärbaren KI zu.
Darüber hinaus ist davon auszugehen, dass eine zweifelsfreie Klassifizierung eines KI-Systems als Hochrisiko-System (EU AI Act Art. 6 [5]) in der Praxis oft auf Schwierigkeiten stoßen wird. Folglich könnte die EU-Regulierung Innovation behindern oder zu alternativen technischen Entwicklungspfaden führen, in denen der KI-Einsatz im Bereich von Hochrisiko-Systemen auf grundlegende klassische ML-Verfahren beschränkt bleibt und somit die Erklärbarkeit von rückgekoppelten, nicht-linearen und tiefen neuronalen Netzen vermieden wird.
Hier ist davon auszugehen, dass sich solch eine Entwicklung zu einem enormen Wettbewerbsnachteil bspw. im Energiesektor entwickeln wird, der längerfristig in einer wiederholten Abhängigkeit von den führenden Tech-Giganten, vorwiegend aus den USA, resultieren wird, wie wir es auch schon im Bereich des Cloud-Computing erlebt haben.
Der Übergang von traditioneller zur AI-First-Entwicklung greift tiefer, als neue Tools einzuführen. In der traditionellen Entwicklung schreiben Developer den Code, führen manuelle Code-Reviews durch und pflegen separate Dokumentationen. AI-First-Entwicklung hingegen basiert auf natürlicher Sprache, automatisierten Abnahmetests, Everything-as-Code (inklusive Dokumentation) und autonomer Fehlerbehebung.
Die zentrale Frage lautet: Wie baut man Vertrauen in autonome KI-Systeme auf, damit sie sicher autonom arbeiten können? Die Antwort liegt in Quality Gates und makroskopischen Metriken, die emergente Eigenschaften des Gesamtsystems messen. Autonome Fehlererkennung und ausgeklügelte Quality Gates helfen dem KI-System, Fehler zu identifizieren und zu beheben.
Developer entwickeln sich zu KI-Kuratoren – eine zukunftsweisende Rolle, die weit über traditionelle Programmierung hinausgeht. Statt Code Zeile für Zeile zu schreiben, orchestrieren KI-Kuratoren intelligente Systeme: Sie definieren Architektur, etablieren Qualitätsstandards und schaffen adaptive Frameworks, während KI-Systeme die eigentliche Codegenerierung übernehmen.
KI-Kuratoren befähigen ihre Systeme zur selbstständigen Weiterentwicklung: Sie implementieren Lernmechanismen, die es dem System ermöglichen, aus Fehlern zu lernen, neue Technologien zu integrieren, sich an veränderte Anforderungen anzupassen und eigenständig Fähigkeiten zu erweitern. Durch kontinuierliche Validierung und strategische Führung entstehen Systeme, die nicht nur funktionieren, sondern sich proaktiv verbessern und mit dem Puls der Zeit entwickeln.
Als Beispiel für AI-First-Arbeitsweise: Das Recruiting-Startup Mercor [6] erzielte mit 30 Mitarbeitern 100 Millionen US-Dollar jährliche Umsatzrate. Dieses technologienahe Startup ist ein Sonderfall und als AI-natives Unternehmen besonders früh dran – das Beispiel illustriert jedoch, in welche Richtung sich Automatisierungsgrade entwickeln könnten, auch wenn solche Ergebnisse noch nicht branchenübergreifend Standard sind.
Die Erkenntnisse aus Physik und Praxis führen zu konkreten Handlungsempfehlungen für verschiedene Zielgruppen. Der Schlüssel liegt im Aufbau autonomer Systeme, denen man es anvertrauen kann, alleine zu arbeiten.
Für Developer: Der Übergang zum KI-Kurator erfordert eine Umorientierung. Wie beim Schritt von Dev zu DevOps vor einem Jahrzehnt müssen Entwickler und Entwicklerinnen nun eine Ebene höher denken: vom Codeschreiben zur Systemorchestrierung. Statt jede Codezeile zu schreiben, werden sie zu Architekten eines autonomen Systems: Sie legen den Rahmen fest, kennen Anforderungen, setzen Qualitätsschranken und überwachen emergente Eigenschaften.
Für das Management: vom Kontrolleur zum Ermöglicher. Die Führungsaufgabe besteht darin, ein Ökosystem zu schaffen, in dem KI-Systeme sicher und innovativ arbeiten können – ähnlich wie ein Gärtner, der nicht jede Pflanze einzeln wachsen lässt, sondern Boden, Bewässerung und Klima so gestaltet, dass alles gedeiht.
Führungskräfte müssen Prozesse neu denken. Für die KI geeignete Abläufe zu identifizieren und so umzugestalten, dass die KI selbsttätig arbeitet, bedeutet nicht nur Automatisierung, sondern fundamentale Neugestaltung von Workflows. Wichtig sind Kontrollmechanismen und Quality Gates, die unerwünschte Zustände verhindern, bevor sie entstehen. Der Schlüssel liegt in der präventiven Systemarchitektur – wie bei einem Kernkraftwerk, in dem nicht jedes Neutron kontrolliert wird, sondern die kritischen Parameter des Gesamtsystems überwacht.
Für Regulierungsbehörden: Die EU-Regulierung sollte sich auf praktische und systemtaugliche Nachvollziehbarkeit konzentrieren. Makroskopische Metriken sind der Schlüssel, nicht mikroskopische Erklärbarkeit. Sie sollten internationale Best Practices für System-Level Assurance, wie sie beispielsweise im Energiesektor (DNV-RP-0671 [7]) bewährt sind. Die Herausforderung liegt in der Wahl der richtigen Überwachungsebene.
Das Ziel der Regulierungen sollte sein, dass Unternehmen KI-Systeme einsetzen dürfen, wenn sie nachweisen können, dass diese ihre Aufgaben selbstständig, zuverlässig und sicher erfüllen. Die Regulierung soll also das Vertrauen darin fördern, dass solche Systeme einwandfrei und verantwortungsvoll eigenständig arbeiten können. Das bedeutet, es soll möglich sein, ein System zu betreiben, das automatisch Code schreibt, Patches erstellt, Fehler behebt und neue Anforderungen umsetzt – alles mithilfe von KI, aber unter Aufsicht durch automatisierte Quality Gates und kontinuierliche Systemüberwachung auf Systemebene.
Am Ende bleibt für uns Physiker wie Praktiker die gleiche Lehre wie vor über hundert Jahren: Der Wunsch nach totaler Kontrolle über ein komplexes System ist verständlich, aber nicht erfüllbar – weder für Gasmoleküle noch für moderne KI-Systeme.
Die Physik musste lernen, dass beherrschbare makroskopische Gesetzmäßigkeiten aus dem statistischen Verhalten mikroskopischer Teilchen entstehen können. Diese Einsicht ermöglichte es, effiziente Verbrennungsmotoren oder Klimaanlagen zu bauen und einigermaßen das Wetter vorherzusagen. Boltzmanns scheinbar abstrakte Molekültheorie ebnete ungeahnte Wege für Quantenmechanik, Halbleiterphysik und Weltraumfahrt – Innovationen, die um 1900 undenkbar waren, als Albert Michelson erklärte [8], die großen zugrundeliegenden Prinzipien der Physik seien bereits fest etabliert. Ebenso stehen wir heute bei KI-Systemen vermutlich erst am Anfang informationstechnischer Möglichkeiten, die wir uns noch gar nicht vorstellen können.
Wir plädieren deshalb für Pragmatismus: Statt einer unmöglichen Detailtransparenz sollte die Regulierung messbare, systemweite Eigenschaften in den Fokus rücken. Eine KI ist nicht dann sicher und vertrauenswürdig, wenn jedes Token erklärt werden kann, sondern wenn sie in Summe zuverlässig innerhalb klarer Grenzen arbeitet. Dafür brauchen wir physikalisches, systemisches Denken in Technologie- und Regulierungsgremien.
Wir möchten Sie zur Diskussion dazu einladen. Das kann einerseits im Forum geschehen oder noch besser vor Ort auf der Konferenz KI Navigator [9], die am 19. und 20. November in Nürnberg stattfindet.
URL dieses Artikels:
https://www.heise.de/-11067941
Links in diesem Artikel:
[1] https://todayinsci.com/M/Mach_Ernst/MachErnst-Quotations.htm
[2] https://arxiv.org/abs/2408.11863
[3] https://www.dnv.com/research/review-2023/featured-projects/assurance-of-ai-enabled-systems/
[4] https://doi.org/10.6028/NIST.AI.100-1
[5] https://artificialintelligenceact.eu/de/article/6/
[6] https://www.forbes.com/sites/richardnieva/2025/10/30/mercor-youngest-self-made-billionaires/
[7] https://www.dnv.com/digital-trust/recommended-practices/assurance-of-ai-enabled-systems-dnv-rp-0671/
[8] https://archive.org/details/lightwavestheiru00michrich
[9] https://www.kinavigator.eu/de/nuernberg/
[10] mailto:rme@ix.de
Copyright © 2025 Heise Medien
(Bild: heise medien)
Mit den neuen AWS Capabilities by Region können Unternehmen ab sofort Services, Features und APIs über verschiedene globale Regionen hinweg vergleichen.
Amazon Web Services hat ein neues Planungswerkzeug vorgestellt, das Unternehmen bei der regionalen Expansion ihrer Cloud-Infrastruktur unterstützen soll. Erstmals ermöglichen die AWS Capabilities by Region einen detaillierten Vergleich der Verfügbarkeit von Services, Features, APIs und CloudFormation-Ressourcen über verschiedene Regionen hinweg.
Das Tool richtet sich vor allem an Unternehmen, die ihre Cloud-Infrastruktur global ausbauen, Compliance-Anforderungen erfüllen müssen oder Disaster-Recovery-Szenarien planen. Bislang mussten Entwickler und Cloud-Architekten die regionale Verfügbarkeit der Dienste manuell recherchieren – ein zeitaufwendiger Prozess, der häufig zu Projektverzögerungen führte.
AWS Capabilities by Region ist über das AWS Builder Center zugänglich und bietet eine interaktive Oberfläche zum Vergleich mehrerer Regionen. Nutzer können gezielt nach Services suchen und erhalten eine Übersicht über vier mögliche Verfügbarkeitsstatus: "Available" für bereits verfügbare Dienste, "Planning" für Services in der Evaluierungsphase, "Not Expanding" für Dienste, die Amazon nicht in der Region starten wird, sowie konkrete Quartalsangaben wie "2026 Q1" für geplante Starts.
Besonders für Unternehmen aus dem DACH-Raum ist die Funktion "Show only common features" relevant: Sie filtert ausschließlich jene AWS-Angebote heraus, die in allen ausgewählten Regionen verfügbar sind. Dies erleichtert die Planung von Architekturen, die Datensouveränitäts- und DSGVO-Anforderungen erfüllen müssen.
Allerdings geht das Tool über eine reine Service-Übersicht hinaus: Nutzer können die Verfügbarkeit einzelner API-Operationen prüfen – etwa für DynamoDB [1] oder API Gateway. Zusätzlich lassen sich CloudFormation-Ressourcentypen nach Service, Type, Property und Config durchsuchen. Das ist besonders praktisch beim Schreiben von Infrastructure-as-Code-Templates, da sich so bereits vor der Entwicklung prüfen lässt, ob AWS bestimmte Ressourcen in den Zielregionen unterstützt.
Auch die Verfügbarkeit spezifischer EC2-Instanztypen ist abrufbar – einschließlich Graviton-basierter [2], GPU-beschleunigter oder speicheroptimierter Varianten. AWS nennt als Beispiel die Suche nach Compute-optimierten Metal-Instanzen der siebten Generation: Nutzer können so etwa prüfen, ob c7i.metal-24xl und c7i.metal-48xl in den gewünschten Regionen verfügbar sind.
Neben der Web-Oberfläche stellt AWS die Daten auch über den AWS Knowledge MCP Server bereit. Er dient der Automatisierung von Regionsplanungen und kann KI-gestützte Empfehlungen für die Region- und Service-Auswahl generieren. Zudem lassen sich regionale Capability-Checks direkt in CI/CD-Pipelines integrieren.
Der MCP-Server ist kostenfrei und ohne AWS-Account nutzbar, unterliegt allerdings Rate Limits. Die Dokumentation [3] liefert Anleitungen zur Einrichtung. Feedback zum Tool nimmt AWS über die Builder-Support-Seite entgegen. Weitere Informationen zu den AWS Capabilities by Region gibt es im Blog-Eintrag zu dem Tool [4].
URL dieses Artikels:
https://www.heise.de/-11069034
Links in diesem Artikel:
[1] https://www.heise.de/news/AWS-Ausfall-Amazon-legt-vollstaendigen-Ursachenbericht-vor-10848208.html
[2] https://www.heise.de/hintergrund/ARM-Server-aus-der-Cloud-im-Vergleich-6302049.html
[3] https://awslabs.github.io/mcp/servers/aws-knowledge-mcp-server/
[4] https://aws.amazon.com/blogs/aws/introducing-aws-capabilities-by-region-for-easier-regional-planning-and-faster-global-deployments/
[5] https://www.heise.de/ix
[6] mailto:fo@heise.de
Copyright © 2025 Heise Medien
(Bild: Lightspring/Shutterstock.com)
Mozilla entlastet Developer: any-llm stellt eine zentrale API für viele LLMs im Hintergrund auf. Ein mandantenfähiges Gateway verwaltet Budgets und Keys.
Mit dem Python-Paket any-llm veröffentlicht Mozilla eine einheitliche API für viele LLMs in Version 1, die bereits stabil für den produktiven Einsatz sein soll. Das entlastet Entwicklerinnen und Entwickler bei der Verwendung der Modelle, da sie nicht mehr für jedes einzelne LLM einen eigenen Adapter pflegen müssen.
Die angebundenen Modelle können in der Cloud oder lokal vorliegen und lassen sich über die asynchrone API leicht wechseln. Um die Performance zu verbessern, sind Client-Verbindungen wiederverwendbar. Das Tool liefert [1] auch für das Reasoning eine standardisierte Ausgabe. Außerdem teilt any-llm den Anwenderinnen und Anwendern mit, wenn sich API-Modi oder -Endpunkte ändern.
Ein optionales LLM-Gateway [2] dient dem Budget- und Key-Management und ist mandantenfähig. So kann er als LLM-Schnittstelle für Unternehmen dienen.
Die Liste der angebundenen Provider auf der GitHub-Seite [3] ist bereits lang und umfasst Anthropic, Azure, Databricks, Deepseek, Gemini, Groq, Hugging Face, Llama, Mistral, Ollama, Perplexity, Watsonx und weitere. Zudem findet sich dort eine Tabelle, welche Funktionen any-llm jeweils unterstützt: Response, Reasoning, Image und so weiter.
Um das Tool zu nutzen, sind Python 3.11 und die jeweiligen API-Keys erforderlich, die das Tool in einer Umgebungsvariablen speichert. Geplant hat Mozilla für die nächsten Versionen eine Batch-Funktion sowie die Anbindung weiterer LLMs und zusätzlicher Bibliotheken wie den MCP-Daemon [4].
URL dieses Artikels:
https://www.heise.de/-11069100
Links in diesem Artikel:
[1] https://github.com/mozilla-ai/any-llm
[2] https://mozilla-ai.github.io/any-llm/gateway/overview/
[3] https://mozilla-ai.github.io/any-llm/providers/
[4] https://github.com/mozilla-ai/mcpd
[5] mailto:who@heise.de
Copyright © 2025 Heise Medien
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
Alle Details zur Störungsmeldung ansehen Eigene Internetstörung melden
(Bild: Trevor Mogg/ Shutterstock.com)
Boeing hat Behörden in die Irre geführt. Probleme führten zu 346 Toten. Die US-Regierung erwirkt dennoch die Einstellung des Strafprozesses.
Flugzeugbauer Boeing hat sich im Vorjahr im Zusammenhang mit zwei tödlichen Abstürzen von 737-Max-Flugzeugen der Verschwörung zum strafrechtlichen Betrug an der US-Regierung schuldig bekannt [1]. Das sollte das Strafverfahren abkürzen; doch dem Gericht waren die Auflagen zu lax. Es sollte also doch ein Gerichtssaalverfahren geben. Inzwischen gibt es eine neue US-Regierung, die das Verfahren überhaupt platzen lässt – zur Freude Boeings und zum Ärger Hinterbliebener der 346 Todesopfer.
Das Strafverfahren steht im Zusammenhang mit zwei Flugzeugabstürzen des Typs Boeing 737 Max in den Jahren 2018 und 2019, bei denen insgesamt 346 Menschen ums Leben kamen. Die Unglücke der Maschinen der indonesischen Lion Air [2] und der Ethiopian Airlines [3] wurden von fehlerhaft arbeitender Steuerungssoftware ausgelöst. Wie sich im Laufe der Untersuchung herausgestellt hat, hatte Boeing im Zug der behördlichen Zertifizierung der Software auf Schulungen für die neue Software verzichtet.
Um Strafverfolgung zu entgehen, einigte sich Boeing 2021 mit der US-Regierung auf ein drei Jahre laufendes Compliance- und Ethikprogramm. Es sollte Verstöße gegen US-Betrugsgesetze verhindern oder zumindest aufdecken. Doch gegen diese Vereinbarung hat Boeing verstoßen [4], womit der Weg zur Strafverfolgung geebnet wäre, meinte die US-Regierung unter Joe Biden. Boeing legte ein Geständnis ab und akzeptierte weitere Auflagen, darunter eine Strafzahlung und unabhängige Aufsicht.
Allerdings wollte Boeing ein Vetorecht bei der Auswahl des unabhängigen Aufsehers. Das akzeptierte das zuständige US-Bundesbezirksgericht für Nordtexas nicht und setzte zur Festsetzung der Auflagen einen Prozess mit Geichtssaalverhandlung an.
Inzwischen gibt es eine neue US-Regierung. Sie möchte die Anklage überhaupt fallen lassen, womit Boeing um eine Verurteilung und unabhängige Aufsicht herumkäme. Die US-Staatsanwaltschaft kann einmal erhobene Anklagen nicht von selbst fallen lassen, sondern nur mit Zustimmung des Gerichts. Dieses darf nur zustimmen, wenn bestimmte Erfordernisse erfüllt sind; insbesondere muss die Einstellung des Verfahrens im öffentlichen Interesse sein. Das ist nicht gegeben, sagt Richter Reed O'Connor. Die vorgebrachten Argumente der Staatsanwaltschaft seien nicht stichhaltig, zumal Boeing sich bereits schuldig bekannt habe.
Dennoch überrascht der Richter damit, den Antrag auf Verfahrenseinstellung zu genehmigen. Der Richter legt seine Rolle so aus, dass er grundsätzlich der Ansicht der Anklagebehörde zu folgen habe. Eine Ablehnung des Antrages auf Verfahrenseinstellung sei nur möglich, wenn dieser offensichtlich aus unlauteren Motiven gestellt wurde, etwa wegen Bestechung oder persönlicher Abneigung gegen den Angeklagten. Dafür gibt es keine Beweise.
"Das Gericht bestätigt, dass es nicht die Macht hat, (den Antrag abzulehnen, nur) weil es der Ansicht der Regierung, die Einstellung des Strafverfahrens sei im öffentlichen Interesse, nicht beipflichtet", heißt es in der am Donnerstag ergangenen Entscheidung. Ein Anwalt, der mehrere hinterbliebene Familien vertritt, möchte diese Gerichtsentscheidung anfechten.
Er kann dabei unter anderem auf die Ausführungen Richter O'Connors verweisen: Die Hinterblieben hätten recht, dass die neue Vereinbarung zwischen der Regierung und dem Flugzeugbauer "die notwendige Verantwortlichkeit Boeings zur Gewährung der Sicherheit der fliegenden Öffentlichkeit nicht sicherstellt."
Das Strafverfahren heißt USA v The Boeing Company und ist am US-Bundesbezirksgericht für Nordtexas anhängig (Az. 4:21-cr-00005).
URL dieses Artikels:
https://www.heise.de/-11068897
Links in diesem Artikel:
[1] https://www.heise.de/news/Max-737-Abstuerze-Boeing-akzeptiert-vergleich-mit-US-Justizministerium-9794067.html
[2] https://www.heise.de/news/Absturz-von-Lion-Air-610-Diese-Maschine-war-nicht-flugtauglich-4234659.html
[3] https://www.heise.de/news/Absturz-von-Ethiopian-Airlines-Flug-Erste-Startverbote-fuer-Boeing-737-Max-8-4330748.html
[4] https://www.heise.de/news/Nach-toedlichen-Abstuerzen-US-Justizministerium-wirft-Boeing-Auflagenverstoss-vor-9718591.html
[5] https://www.heise.de/downloads/18/4/9/7/2/7/1/4/gov.uscourts.txnd.342881.358.0_4.pdf
[6] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[7] mailto:ds@heise.de
Copyright © 2025 Heise Medien
Bernd Müller
(Bild: Ani_Raw_Shots / Shutterstock.com)
Der Oberste Gerichtshof zweifelt an der Rechtmäßigkeit. Doch die Abwicklung möglicher Rückzahlungen könnte bis zu einem Jahr dauern.
Die wirtschaftlichen Folgen von Trumps Zöllen [1] stehen auf dem Prüfstand. Am 5. November verhandelte der Oberste Gerichtshof der USA über die Rechtmäßigkeit der umfassenden Einfuhrabgaben, die Präsident Donald Trump auf Basis des International Emergency Economic Powers Act (IEEPA) von 1977 verhängt hat.
Mehrere Richter äußerten deutliche Skepsis – darunter die Konservativen Neil Gorsuch, John Roberts und Amy Coney Barrett. Doch selbst bei einer Niederlage der Regierung bleiben Unternehmen und Handelspartner in einer Warteschleife gefangen.
Untergerichte hatten zuvor entschieden, dass Trump seine Befugnisse überschritten hat. Die Verfahren – eingereicht von demokratischen Generalstaatsanwälten aus zwölf Bundesstaaten, kleinen Unternehmen und zwei familiengeführten Spielzeugfirmen – wurden zusammengeführt. Die Zölle blieben während des Rechtswegs in Kraft.
Laut [2] Bloomberg zeigten Wettmärkte nach der Verhandlung sinkende Siegchancen für Trump. Aktien großer US-Einzelhandelsketten legten zu, in Erwartung möglicher Entlastungen.
In einem bemerkenswerten Wortwechsel fragte Gorsuch laut [3] Reuters, was den Kongress daran hindern würde, „einfach alle Verantwortung für die Regulierung des Außenhandels – und in diesem Fall sogar für die Kriegserklärung – an den Präsidenten abzugeben“.
Oberrichter Roberts betonte, Zölle seien „die Erhebung von Steuern auf Amerikaner“ und „schon immer die Kernkompetenz des Kongresses“ gewesen.
Der für die Regierung argumentierende Generalstaatsanwalt D. John Sauer machte unter der Befragung Zugeständnisse. Er räumte ein, dass Trumps Auslegung des IEEPA es einem künftigen Präsidenten ermöglichen würde, einen Klimanotstand auszurufen und benzinbetriebene Autos stark zu besteuern.
Bei einem Urteil gegen die Regierung stehen Rückzahlungen im Raum. Bloomberg nennt „mehrere zehn Milliarden Dollar“, Reuters spricht von bereits gezahlten IEEPA-Zöllen von über 100 Milliarden Dollar. Richterin Barrett warnte vor einem „Chaos“ bei der Abwicklung.
Neal Katyal, Anwalt der klagenden Unternehmen, erklärte, seine Mandanten würden automatische Erstattungen erhalten. Alle anderen Firmen müssten Verwaltungsbeschwerden einreichen.
Der Zollrechtler Joseph Spraragen rechnet mit einer Rückverweisung an das US-Gericht für internationalen Handel. Die Abwicklung über das IT-System der Zoll- und Grenzschutzbehörde (CBP) könnte bis zu einem Jahr dauern. „Man muss bedenken, dass die Regierung nicht gerade darauf erpicht sein wird, einfach nachzugeben“, sagte Spraragen laut [4] Reuters.
Die wirtschaftlichen Folgen von Trumps Zöllen bleiben auch bei einer Niederlage bestehen. Handelsjuristen und Regierungsbeamte gehen davon aus, dass Trump auf andere Gesetze ausweichen wird. Bloomberg listet [5] mindestens fünf Alternativen:
Section 232 des Trade Expansion Act von 1962 erlaubt Zölle ohne Höchstgrenze aus Gründen der nationalen Sicherheit. […] Trump nutzte diese Befugnis bereits in seiner ersten Amtszeit für Stahl- und Aluminiumzölle. In seiner zweiten Amtszeit verhängte er auf dieser Grundlage Zölle von 50 Prozent auf die beiden Metalle sowie weitere Abgaben auf Autos, Kupfer-Derivate, Holz und Holzmöbel.
Section 301 des Trade Act von 1974 ermöglicht Zölle ohne Obergrenze als Reaktion auf unfaire Handelspraktiken. Das Büro des US-Handelsbeauftragten muss Untersuchungen durchführen und Konsultationen abhalten. Trump setzte Section 301 massiv gegen China [6]ein. Aktuell läuft eine Untersuchung gegen Brasilien – parallel verhängte Trump via IEEPA 50 Prozent auf viele Brasilien-Importe.
Section 201 des Handelsgesetzes von 1974 erlaubt nach Feststellung „ernsthaften Schadens“ durch die International Trade Commission Zölle bis 50 Prozent über dem bestehenden Satz für anfänglich vier, maximal acht Jahre. Trump nutzte dies für Solarzellen und Waschmaschinen.
Section 122 des Trade Act von 1974 erlaubt bis zu 15 Prozent für maximal 150 Tage zur Behebung von Zahlungsbilanzproblemen – ohne Voruntersuchung, aber Verlängerung nur mit Kongress. Nie angewandt. Das US-Handelsgericht verwies darauf, dass Maßnahmen gegen Handelsdefizite eher unter Section 122 als unter IEEPA fallen.
Section 338 des Smoot-Hawley Tariff Act von 1930 erlaubt bis zu 50 Prozent ohne Voruntersuchung bei diskriminierenden Handelspraktiken. Ebenfalls nie genutzt. Abgeordnete brachten eine Initiative zur Abschaffung ein.
Die Zollagentin Cindy Allen sagte laut Bloomberg, fehlende Planbarkeit stelle die größte Herausforderung für ihre Kunden dar. „Bei der Zoll- und Grenzschutzbehörde ist die Lage sehr schwierig“, erklärte sie. Mitarbeiter gelten als unverzichtbar, haben aber seit über einem Monat keinen Lohn erhalten. „Wenn das Gericht eine Rückerstattung anordnet, wird das meiner Meinung nach ein massives Projekt werden.“
Vincent Clerc, Chef des Containerschifffahrtsriesen Maersk, nannte „bestehende Unsicherheit“ als Hauptrisiko. „Die langfristigen Rahmenbedingungen sind noch unklar, daher nehmen viele unserer Kunden noch eine abwartende Haltung ein“, sagte er gegenüber Bloomberg.
Travis McMaster, Geschäftsführer von COCOON, einem Importeur von Reisezubehör, hat Messebesuche reduziert und seine Produktpalette gekürzt. Nichole MacDonald von der Sash Group in Kalifornien kann sich laut Bericht die 575.000 Dollar Zollgebühren für in Indien hergestellte Ledertaschen nicht leisten.
Sie musste ihre Preise zweimal erhöhen und die Belegschaft von zwölf auf fünf Mitarbeiter reduzieren. „Als kleines Unternehmen hat man nicht genug Reserven, um sein Geschäft acht oder zwölf Monate lang einfach weiterlaufen zu lassen“, sagte sie.
Der Zeitpunkt einer Entscheidung ist umstritten. Einerseits gibt es Hinweise auf einen beschleunigten Zeitplan mit möglichem Urteil Ende des Jahres. David Young vom Conference Board sagte jedoch nach Gesprächen mit 40 Geschäftsführern, vor Anfang 2026 sei nicht mit einem Urteil zu rechnen.
Bloomberg Economics schätzt, ein umfassendes Urteil gegen Trump senke den durchschnittlich effektiven US-Zollsatz auf 6,5 Prozent. Der BIP-Rückgang würde auf minus 0,6 Prozent gedämpft, verglichen mit minus 1,7 Prozent bei Fortbestand der aktuellen Zölle. Mögliche Nachfrageimpulse durch Rückerstattungen sind nicht eingepreist.
Fed-Gouverneur Stephen Miran sagte gegenüber Yahoo Finance, eine größere Handelsunsicherheit könnte „die Wirtschaft belasten“. Dies könne durch „moderat lockerere Zinssätze“ ausgeglichen werden.
Ein Urteil gegen IEEPA-Zölle könnte laut Expertenmeinung gegenüber Bloomberg die außen- und wirtschaftspolitische Agenda Trumps unterminieren. Josh Lipsky vom Thinktank Atlantic Council argumentiert, dass China-Zölle zwar über andere Befugnisse eher ersetzbar wären, Volkswirtschaften wie die EU, Brasilien und Indien [7]aber ihre Verhandlungspositionen neu kalibrieren könnten.
Eine Quelle warnte laut Bloomberg jedoch: Neue Zölle auf anderer Rechtsgrundlage könnten von China als Bruch des jüngsten „Handelsfriedens“ gewertet werden. Parallel verschieben Exportkontrollen für Halbleiter und Chinas Dominanz bei Seltenen Erden das Kräfteverhältnis. Finanzminister Scott Bessent äußerte sich widersprüchlich zur fiskalischen Bedeutung.
Einerseits nannte er mögliche Rückzahlungen „schrecklich“, andererseits seien Zolleinnahmen „reiner Zusatzgewinn“. Das Defizit lag im letzten Geschäftsjahr bei 1,78 Billionen Dollar – ein Rückgang von zwei Prozent. Zolleinnahmen trugen dazu bei, die Wirkung auf die Schuldenentwicklung blieb jedoch gering.
URL dieses Artikels:https://www.heise.de/-11068098
Links in diesem Artikel:[1] https://www.heise.de/tp/article/Trumps-Zoelle-auf-Arzneimittel-Die-Folgen-fuer-die-deutsche-Pharmaindustrie-10672464.html[2] https://www.bloomberg.com/news/articles/2025-11-06/supreme-court-s-trump-tariff-skepticism-means-uncertainty-reigns[3] https://www.reuters.com/legal/government/supreme-courts-gorsuch-leads-conservatives-tough-questions-over-trump-tariffs-2025-11-06/[4] https://www.reuters.com/world/us/trump-supreme-court-tariff-defeat-would-add-trade-uncertainty-2025-11-06/[5] https://www.bloomberg.com/news/articles/2025-11-04/supreme-court-tariffs-case-trump-s-options-if-levies-upheld-as-illegal[6] https://www.heise.de/tp/article/Wie-westliche-Handelsblockaden-Asean-in-Chinas-Arme-treiben-10748059.html[7] https://www.heise.de/tp/article/Eisenbahn-als-Waffe-Wie-China-und-Indien-die-Geopolitik-umspuren-10640607.html
Copyright © 2025 Heise Medien
Tesla-Chef Elon Musk hat die Rückendeckung seiner Aktionäre: Rund 75 Prozent der stimmberechtigten Anteilseigner stimmten auf der Hauptversammlung in Austin (Texas) für ein neues Vergütungsmodell, das Musk theoretisch bis zu 878 Milliarden US-Dollar in den kommenden zehn Jahren einbringen könnte, wie die Nachrichtenagentur Reuters meldete . Die Auszahlung ist jedoch an konkrete Leistungsziele gebunden – ohne deren Erreichen erhält Musk nichts.
Der Beschluss fiel kurz nach der Verlegung des Firmensitzes von Delaware nach Texas. Im nachbörslichen Handel legte die Tesla-Aktie um rund ein Prozent zu. Mit der Zustimmung kann Musk seine Beteiligung von rund 15 Prozent halten und die neue Vergütungsstruktur umsetzen, die eine frühere, rechtlich umstrittene Version ersetzt.
Das Modell sieht vor, dass Musk über Aktienoptionen bis zu etwa eine Billion US-Dollar verdienen könnte – abhängig davon, ob Tesla ambitionierte Ziele erreicht: 20 Millionen ausgelieferte Fahrzeuge, eine Million Robotaxis, ebenso viele humanoide Roboter und bis zu 400 Milliarden US-Dollar operativer Gewinn. Dafür müsste der Börsenwert von derzeit 1,5 auf 8,5 Billionen US-Dollar steigen.
Neben der Vergütungsfrage bestätigten die Aktionäre drei Verwaltungsratsmitglieder und beschlossen, künftig jährliche Wahlen für alle Board-Posten abzuhalten. Außerdem wurde genehmigt, dass Tesla in Musks KI-Firma xAI investieren darf.
Widerstand kam unter anderem vom norwegischen Staatsfonds und von Stimmrechtsberatern wie Glass Lewis und ISS, die den Einfluss auf den Wert des Unternehmens kritisierten. Teslas Aufsichtsrat hatte zuvor gewarnt, Musk könnte das Unternehmen verlassen, sollte das Paket scheitern.
Angesichts enormer Probleme bei der Ausrüstung der Bundeswehrfahrzeuge mit Digitalfunk wächst der Druck auf Verteidigungsminister Boris Pistorius (SPD). Geplant war die Serienintegration von etwa 10.000 Kampf- und Unterstützungsfahrzeugen der Bundeswehr ab Januar 2025. Aber bisher haben erst acht von etwa 150 Fahrzeugtypen eine Genehmigung zur Nutzung bekommen.
Die Digitalisierung Landbasierter Operationen (D-LBO) gilt als zentral für die Einsatzfähigkeit, gerade für den Funkverkehr innerhalb der Nato. D-LBO soll auch dazu beitragen, dass das deutsche Militär für den Gegner nicht so leicht aufzuspüren ist.
Der Grünen-Verteidigungspolitiker Niklas Wagener hatte sich beim Panzerbataillon 393 im thüringischen Ort Bad Frankenhausen eine Umrüststraße angesehen und berichtete von großen Problemen. "Zwei Schrauber brauchen jeweils 200 Stunden, also fünf Wochen, bis das bei einem Leopard 2 eingebaut ist" , sagte Wagener der Süddeutschen Zeitung.
Aber es gebe auch Probleme mit der Software. Beim Funken treten immer drei Sekunden Verzögerung auf, was im Krieg oder beim Anflug von Drohnen tödlich sein kann. Und Wagener berichtet, dass die Übermittlung eines digitalen Lagebilds zehn bis 20 Minuten dauern könne. Da sei der Feind längst woanders. Wageners Fazit: "Die verbandsweise Umrüstung ist gescheitert. Also das Konzept, dass ein Bataillon mit den ganzen Fahrzeugen zur Umrüstung kommt und in ein paar Wochen die Digitalisierung vollendet ist. In Schlüsselfahrzeugen wie dem Boxer ist es nicht gelungen, die Systeme erfolgreich einzubauen." Er sei erzürnt, wie sehr Pistorius die Probleme verschleppt habe.
Für das Projekt Digitalisierung Landbasierte Operationen (D-LBO) sind mehrere Milliarden Euro aus dem Bundeswehr-Sondervermögen vorgesehen. Zwei digitale VR500-Funkgeräte , die das Halten von zwei Funkkreisen ermöglichen, kommen von Rohde & Schwarz und bieten VHF- und UHF-Übertragung. Hier ist laut dem Hersteller neben Sprache eine Datenübertragung mit maximal 10 MBit/s möglich.
Auch die Tagesschau berichtete, dass der Einbau der Digitalfunkgeräte des deutschen Herstellers Rhode & Schwarz in rund 200 verschiedene Fahrzeugtypen der Bundeswehr kompliziert sei.
Helfen soll nun ein Mischbetrieb: "Interoperabilität D-LBO mit der Altwelt" , erklärte die Bundeswehr. Laut Tagesschau sollen die alten, analogen und leicht ortbaren Funkgeräte vorerst parallel weiterbetrieben werden.
Laut der Tagesschau vorliegenden internen Unterlagen des Verteidigungsministeriums soll die bundeseigene zentrale IT-Dienstleisterin BWI einen Vertrag über technische und logistische Dienste mit einem Volumen von rund 156,7 Millionen Euro abschließen. Auftragnehmer sind Capgemini Deutschland, Pricewaterhouse Coopers und Msg Systems.
"Die jetzt von Boris Pistorius zugestandenen Probleme bei der Integration sind in höchstem Maße irritierend" , sagte der Vorsitzende des Verteidigungsausschusses, Thomas Röwekamp (CDU), der Süddeutschen Zeitung. "Sie gefährden die Einsatzbereitschaft der Bundeswehr, ihre Interoperabilität mit anderen Streitkräften und insbesondere auch die Einsatzfähigkeit unserer künftigen Brigade in Litauen."
Pistorius müsse auch öffentlich Transparenz herstellen über das Ausmaß der Probleme bei dem Milliardenprojekt. "Die Sicherheit unserer Soldatinnen und Soldaten hängt ganz wesentlich davon ab, dass zentrale Systeme wie dieser Digitalfunk zuverlässig funktionieren."
Es wird erwartet, dass die Probleme auch bei der jährlichen Bundeswehrtagung am 7. November 2025 in Berlin eine Rolle spielen werden. Auch Pistorius nimmt daran teil.
Rockstar Games hat die Veröffentlichung von GTA 6 weiter nach hinten verschoben. In einem Beitrag auf X teilt das Studio mit, das Spiel solle nun am 19. November 2026 erscheinen.
"Es tut uns leid, dass wir die Wartezeit, die wir ohnehin schon als lang empfinden, noch verlängern müssen" , heißt es in der Mitteilung.
Die Entwickler bedankten sich für die Geduld der Fans und erklärten, man wolle sicherstellen, GTA 6 "mit dem hohen Qualitätsstandard fertigzustellen, den ihr erwartet und verdient" werde.
Erst im August 2025 hatte Take-Two-Chef Strauss Zelnick erklärt , er sei "wirklich, wirklich sicher" , dass der ursprünglich geplante Termin im Mai 2026 eingehalten werde. In einem Interview betonte er damals, dass die Entwicklung auf Kurs liege und die Produktionsphase weitgehend abgeschlossen sei.
In den Kommentaren schwanken die Reaktionen der Community zwischen Verständnis und Frust. "Lieber ein fertiges Spiel als ein verbuggtes Desaster" , schreibt ein Nutzer. Ein anderer meint: "Es schmerzt innerlich, aber ich verstehe es" .
Gleichzeitig machen viele ihrer Ungeduld Luft: "Vielleicht spiele ich es als Rentner" , scherzt ein Kommentator. Andere kritisierten Rockstars Kommunikationspolitik: "Warum nicht einfach ehrlich sagen, dass es erst 2027 wird?"
Trotz der langen Produktionszeit gilt GTA 6 momentan als der größte Hoffnungsträger der Spielebranche. Für das erste Jahr nach Veröffentlichung rechnen Analysten mit Milliardenerlösen.
Im Mittelpunkt des Titels stehen die Hauptfiguren Jason und Lucia, die als kriminelles Paar offenbar in eine Bonnie-und-Clyde-ähnliche Dynamik verstrickt sind. Nach einem schiefgelaufenen Raub geraten die beiden in eine Verschwörung im fiktiven US-Bundesstaat Leonida, der stark an Florida erinnert.
Wichtigster Schauplatz ist vermutlich die Großstadt Vice City (Miami), die im Vergleich zum Vorgänger von 2002 deutlich realistischer und detailreicher umgesetzt wird. GTA 6 erscheint für Xbox Series X/S und Playstation 5, bislang gibt es keine Ankündigung für Windows-PC.
(Bild: Sebastian Trepesch / heise medien)
Bald muss Apple die Synchronisation von WLAN-Zugangsdaten von iPhones auf andere Geräte erlauben. Statt das umzusetzen, schaltet es die Funktion angeblich ab.
Neuer Zwist im Dauerstreit zwischen Apple und der EU-Kommission: Der Konzern plant einem Bericht zufolge erstmals, eine bestehende Funktion nachträglich für eigene Kunden abzudrehen – statt eine von der EU diktierte Schnittstelle umzusetzen. Mit iOS 26.2, dessen Betatest jüngst angelaufen ist, wird Apple deshalb die Synchronisation von WLAN-Zugangsdaten auf die Apple Watch sperren.
Das berichtet die französische Seite Numerama [1]. Demnach hat Apple den Schritt gemeinsam mit der geplanten, nachträglichen Einführung der AirPods-Live-Übersetzung in der EU [2] kommuniziert. Ob das tatsächlich mit dem für Dezember geplanten iOS 26.2 greift und wie das konkret umgesetzt wird, ist vorerst unklar. Eine Nachfrage von Mac & i bei Apple ist unbeantwortet.
Konkret geht es demnach um "automatische WLAN-Verbindungen": Apple Watches erhalten nach Anmeldung mit dem Apple-Konto automatisch alle auf dem iPhone bereits gespeicherten WLAN-Zugangsdaten. Sie können sich die Armbanduhren bequem direkt – und fernab des iPhones – mit allen bekannten WLANs verbinden, ohne dass man erst auf dem kleinen Bildschirm Zugangsdaten eintippen muss.
Das sollen auch Smartwatches & Co anderer Hersteller können, um konkurrenzfähige Produkte für iPhone-Nutzer anbieten zu können, meint die EU-Kommission. Eine Schnittstelle für automatische WLAN-Verbindungen gehört zu den weitreichenden Interoperabilitätsvorgaben, zu deren Umsetzung Apple bereits verdonnert wurde. Erste weitreichende Öffnungsschritte muss Apple noch bis Jahresende in iOS 26 umsetzen [3], darunter auch eine vollwertige Weiterleitung von Mitteilungen an andere Geräte – so umfänglich wie es bislang nur die Apple Watch kann.
Apple läuft seit Anbeginn Sturm gegen einen Großteil der Vorgaben. Das Unternehmen fühlt sich ungerecht behandelt, sieht seine Rechte verletzt und warnt vor Datenschutz- und Sicherheitsproblemen. Die Weitergabe von WLAN-Zugangsdaten würde Dritten erlauben, Einblick in Nutzerstandorte zu erhalten und etwa für Fingerprinting zu missbrauchen, lauten die Einwände. Das Unternehmen betont, dass es selbst diese Daten gar nicht einsehen kann – diese liegen nur lokal auf den Geräten vor und werden beim iCloud-Sync standardmäßig durch Ende-zu-Ende-Verschlüsselung geschützt.
Die EU-Kommission hat die von Apple vorgebrachte Datenschutz- und Sicherheitsproblematik bereits zurückgewiesen: Apple-Nutzer seien es schließlich längst gewohnt, Apps auch den Zugriff auf andere sensible Daten wie den genauen Standort und die eigenen Fotos zu gewähren – oder das eben abzulehnen. Zudem seien auch die Hersteller der Drittgeräte an Datenschutzgesetze wie die DSGVO gebunden.
Der Streit wird zunehmend auf dem Rücken der Nutzer ausgetragen: Apple hat bereits mehrfach die Einführung neuer Funktionen in der EU unter Verweis auf die Regeln des Digital Markets Acts verzögert, manche Funktionen wie das iPhone-Mirroring auf dem Mac sind weiterhin blockiert [4]. Der Konzern forderte zuletzt unverblümt, den Digital Markets Act zu kippen – oder weitreichend zu entschärfen.
URL dieses Artikels:
https://www.heise.de/-11068805
Links in diesem Artikel:
[1] https://www.numerama.com/tech/2110247-lapple-watch-et-liphone-vont-perdre-une-fonction-en-europe-pour-la-premiere-fois-annonce-apple.html
[2] https://www.heise.de/news/AirPods-Pro-und-AirPods-4-Live-Uebersetzung-kommt-nach-Europa-11055015.html
[3] https://www.heise.de/news/EU-Deadline-naht-Wie-iPhones-kompatibler-werden-muessen-10962109.html
[4] https://www.heise.de/news/iOS-und-macOS-26-Welche-Funktionen-Apple-vorerst-in-der-EU-blockiert-10465267.html
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.heise.de/mac-and-i
[7] mailto:lbe@heise.de
Copyright © 2025 Heise Medien
App-Store-Seite für die App von Mac & i.
(Bild: Screenshot Apple.com)
Künftig kann man den ganzen App Store auch im Browser besuchen. Apple ist dabei allerdings Code auf GitHub entfleucht.
Schon seit Jahren ist es möglich, via Web Informationen zu Inhalten aus Apples verschiedenen App-Store-Varianten abzurufen. Doch dazu war stets die passende URL notwendig. Nun hat der Konzern seinen Softwareladen für iPhone, iPad, Mac, Vision (Pro), Apple Watch und Apple TV erstmals vollständig in den Browser [1] verfrachtet – inklusive Suchfunktion, redaktionellen Inhalten und mehr. Beim Aufbau kam es allerdings zu einem Leak: Der Front-End-Quellcode entfleuchte und landete zwischenzeitlich auf GitHub [2]. Mittlerweile hat ihn Apple via DMCA-Takedown-Request (anwaltliche Urheberrechtsmeldung) entfernen lassen.
Mit Apples neuem Web-Interface lässt sich nun fast alles im App Store tun, was man aus der jeweiligen App auf iPhone, iPad, Mac & Co. kennt – mit Ausnahme der tatsächlichen Einkäufe samt Login und Account-Übersicht. Es ist also ein permanenter Gastmodus. Ob Apple daran etwas ändert, bleibt unklar – denkbar wäre beispielsweise, im Web eine App "vorzukaufen", um sie dann auf dem eigentlichen Gerät herunterzuladen. So gibt es etwa seit Langem eine Web-Version von Apple Music, die zumindest ein Streaming der eigenen Bibliothek sowie weiterer Titel nach dem Einloggen ermöglicht.
Für die Vision Pro hatte Apple bereits die Möglichkeit geschaffen, über eine eigene iPhone-App [3] Anwendungen auch aus der Ferne auf das Headset zu holen. Interessant im Bezug auf das Spatial-Computing-Gerät: Apple bezeichnet es im App Store als "Vision" ohne "Pro". Gerüchten zufolge soll Apple zumindest zwischenzeitlich an einer einfacheren Variante seines Headsets [4] gearbeitet haben, zu der die Bezeichnung passen würde.
Der auf GitHub entfleuchte Code, den der User rxliuli aufgefunden und dann publiziert hatte, war deshalb sichtbar, weil Apple die Sourcemaps [5]-Funktion versehentlich aktiv gelassen hatte. Der Nutzer konnte dadurch dann mittels Chrome-Erweiterung alle auf Apples Servern zugänglichen Quellen extrahieren und herunterladen. Daraus wurde dann ein GitHub-Repository "zu Bildungszwecken", wie die Person laut einem Bericht von 9to5Mac [6] dort mitteilte, bevor GitHub die Sammlung herunternahm, vermutlich durch Apple selbst angestoßen.
Zu den verfügbaren Komponenten zählten der API-Integrationscode, Teile der UI, die State-Management-Logik sowie der vollständige Quellcode in Svelte beziehungsweise TypeScript. Auch die Routing-Konfiguration war sichtbar. Es ist verwunderlich, dass Apple vergaß, die Sourcemaps-Funktion zu deaktivieren – das ist üblicherweise einer der letzten Schritte vor dem Live-Gang eines neuen Dienstes. Ob sich aus dem Leak Sicherheitsprobleme für den App Store ergeben könnten, bleibt offen.
URL dieses Artikels:
https://www.heise.de/-11067293
Links in diesem Artikel:
[1] https://apps.apple.com/de/iphone/today
[2] https://github.com/rxliuli/apps.apple.com
[3] https://apps.apple.com/de/app/apple-vision-pro/id6502614761
[4] https://www.heise.de/news/Vision-Air-und-iPhone-20-Neue-Bildschirmtechnik-denkbar-10669177.html
[5] https://web.dev/articles/source-maps?hl=de
[6] https://9to5mac.com/2025/11/04/web-app-store-front-end-source-code-github/
[7] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[8] https://www.heise.de/mac-and-i
[9] mailto:bsc@heise.de
Copyright © 2025 Heise Medien
