Anmelden
(Bild: Black_Kira / Shutterstock.com)
Die Self-Hosting-Plattform Coolify ist schwer verwundbar. In Deutschland gibt es Sicherheitsforschern zufolge fast 15.000 angreifbare Instanzen.
Admins von Platform-as-a-Service-Umgebungen auf der Basis von Coolify sollten ihre Instanzen zügig auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer unter anderem an sieben „kritischen“ Sicherheitslücken mit Höchstwertung (CVSS Score 10 von 10) ansetzen, um Server vollständig zu kompromittieren.
Scans von Sicherheitsforschern von Censys zeigen [1], dass sich der Großteil verwundbarer Systeme in Deutschland befindet. Weltweit sind es mehr als 52.000 Instanzen. Hierzulande fanden sie knapp über 14.800 Systeme. Ob es bereits Attacken gibt, ist zurzeit unklar. Admins sollten mit dem Patchen aber nicht zu lange zögern.
Auch wenn Angreifer in den meisten Fällen authentifiziert sein müssen, ist der Großteil der Schwachstellen mit dem Bedrohungsgrad „kritisch“ eingestuft. Setzen Angreifer erfolgreich an den Lücken an, können sie etwa als Rootnutzer Schadcode ausführen und so die volle Kontrolle über Systeme erlangen (etwa CVE-2025-64424). Außerdem sind Zugriffe auf eigentlich geschützte private SSH-Schlüssel möglich (CVE-2025-64420), sodass sich Angreifer unbefugt Zugriff verschaffen können.
Insgesamt sind 16 Lücken bekannt. Laut Einträgen auf GitHub (siehe Ende dieser Meldung) sind derzeit aber nur Sicherheitsupdates für acht Schwachstellen verfügbar. Wann die Entwickler die verbleibenden Lücken schließen, ist derzeit unklar.
Diese Patches sind zurzeit verfügbar:
Weiterführende Informationen zu den Lücken bedrohten Ausgaben und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:
URL dieses Artikels:
https://www.heise.de/-11134510
Links in diesem Artikel:
[1] https://censys.com/advisory/cve-2025-64424-cve-2025-64420-cve-2025-64419
[2] https://github.com/coollabsio/coolify/security/advisories/GHSA-24mp-fc9q-c884
[3] https://github.com/coollabsio/coolify/security/advisories/GHSA-5cg9-38qj-8mc3
[4] https://github.com/coollabsio/coolify/security/advisories/GHSA-cj2c-9jx8-j427
[5] https://github.com/coollabsio/coolify/security/advisories/GHSA-q33h-22xm-4cgh
[6] https://github.com/coollabsio/coolify/security/advisories/GHSA-qwxj-qch7-whpc
[7] https://github.com/coollabsio/coolify/security/advisories/GHSA-q7rg-2j7p-83gp
[8] https://github.com/coollabsio/coolify/security/advisories/GHSA-vm5p-43qh-7pmq
[9] https://github.com/coollabsio/coolify/security/advisories/GHSA-234r-xrrg-m8f3
[10] https://github.com/coollabsio/coolify/security/advisories/GHSA-qx24-jhwj-8w6x
[11] https://github.com/coollabsio/coolify/security/advisories/GHSA-h5xw-7xvp-xrxr
[12] https://github.com/coollabsio/coolify/security/advisories/GHSA-h52r-jxv9-9vhf
[13] https://github.com/coollabsio/coolify/security/advisories/GHSA-4p6r-m39m-9cm9
[14] https://github.com/coollabsio/coolify/security/advisories/GHSA-f737-2p93-g2cw
[15] https://github.com/coollabsio/coolify/security/advisories/GHSA-4fqm-797g-7m6j
[16] https://github.com/coollabsio/coolify/security/advisories/GHSA-927g-56xp-6427
[17] https://github.com/coollabsio/coolify/security/advisories/GHSA-688j-rm43-5r8x
[18] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[19] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: heise online / Kanboard)
In Kanboard stecken drei Sicherheitslecks. Das gravierendste erlaubt die Anmeldung als beliebiger Nutzer. Ein Update steht bereit.
Das Open-Source-Kanban Kanboard ist von drei Schwachstellen betroffen. Eine davon gilt den Entwicklern als kritisches Risiko und ermöglicht die Anmeldung als beliebiger User – sofern eine bestimmte Konfigurationsoption gesetzt ist.
Die Release-Ankündigung zu Kanboard 1.2.49 [1] nennt einige sicherheitsrelevante Korrekturen. Zu den Schwachstellen gibt es auch CVE-Einträge. Sofern die Option REVERSE_PROXY_AUTH aktiviert wurde, vertraut Kanboard HTTP-Headern blindlings, dass sie von authentifizierten Usern stammen, ohne zu prüfen, ob die Anfrage von einem vertrauenswürdigen Reverse-Proxy stammt (CVE-2026-21881 [2], CVSS 9.1, Risiko „kritisch“). Das ermöglicht faktisch die Umgehung der Authentifizierung.
Zudem können Angreifer eigene Eingaben in LDAP-Suchfilter einschleusen, die nicht korrekt ausgefiltert werden. Damit lassen sich alle LDAP-User durchiterieren und sensible Nutzerattribute herausfinden, und mit diesem Wissen gezielte Angriffe gegen bestimmte Accounts ausführen (CVE-2026-21880 [3], CVSS 5.4, Risiko „mittel“). Eine Open-Redirect-Schwachstelle ermöglicht Angreifern, authentifizierte User auf von ihnen kontrollierte Webseiten umzuleiten, indem sie URLs der Gestalt „//evil.com“ erstellen, womit sich der URL-Filter umgehen lässt. Das erlaubt zudem Phishing-Angriffe, das Stehlen von Zugangsdaten oder das Verteilen von Malware (CVE-2026-21879 [4], CVSS 4.7, Risiko „mittel“).
All die Probleme lösen die Entwickler in Kanboard 1.2.49. Die aktualisierten Quellen stehen auf der Github-Seite von Kanboard [5] bereit. Die Linux-Distributionen dürften in Kürze mit neuen, fehlerbereinigten Paketen nachlegen. IT-Admins sollten die Paketverwaltung ihrer Distribution zur Update-Suche bemühen.
Zuletzt fiel im vergangenen Juni eine hochriskante Sicherheitslücke in Kanboard [6] auf. Sie ermöglichte Angreifern, Kanboard-Konten zu übernehmen.
URL dieses Artikels:
https://www.heise.de/-11134247
Links in diesem Artikel:
[1] https://github.com/kanboard/kanboard/releases/tag/v1.2.49
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-21881
[3] https://nvd.nist.gov/vuln/detail/CVE-2026-21880
[4] https://nvd.nist.gov/vuln/detail/CVE-2026-21879
[5] https://github.com/kanboard/kanboard
[6] https://www.heise.de/news/Kanboard-Sicherheitsluecke-ermoeglicht-Kontouebernahme-10457116.html
[7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
(Bild: Dr. Ansay)
Bei dem Telemedizin-Anbieter Dr. Ansay hat es erneut eine Sicherheitslücke gegeben. Dadurch waren hunderttausende Kunden gefährdet.
Bei dem Telemedizinanbieter Dr. Ansay hat es eine Sicherheitslücke gegeben, durch die rund 1,7 Millionen Rezepte von rund einer halben Million Kunden potenziell einsehbar waren. Betroffen sind vor allem Cannabis-Rezepte mit Gesundheits- und personenbezogenen Daten, darunter Namen, Adressen, E-Mail-Adressen, Telefonnummern und Angaben zu den rund 15 verschreibenden Ärzten, die meist nicht aus Deutschland kommen. Außerdem waren dort Daten zu Medikamenten, Dosierungen sowie ausgewählten Apotheken einsehbar sowie beispielsweise auch Bestellungen zu Schmerzmitteln. Fragen dazu, ob Daten abgeflossen sind, beantwortet das Unternehmen nicht.
Bei heise online gingen Hinweise darauf ein, dass die Lücke auf einer Fehlkonfiguration der Zugriffsregeln einer Firebase-Firestore-Datenbank basiert. heise online konnte das bestätigen. Durch die Fehlkonfiguration konnten eingeloggte Nutzer mit einem gültigen Token nicht nur auf ihre eigenen Rezepte, sondern auf sämtliche Datensätze zugreifen. Trotz mehrerer Meldeversuche an das Unternehmen blieb eine Reaktion zunächst aus, die Daten waren bis Anfang Januar weiterhin ungeschützt. Am Abend, nachdem heise online eine Anfrage an das Unternehmen gestellt hatte, wurde die Lücke geschlossen.
Zentrale Fragen von heise online lässt Dr. Ansay unbeantwortet und begründet den Fund mit einem neu aufgelegten Bug-Bounty-Programm: [1] "Wir gehen davon aus, dass die Lücke aufgrund eines von uns initiierten Bug-Bounty-Programm gefunden wurde“.
Die Frage, ob eine Meldung an die Betroffenen gemäß Art. 34 der DSGVO erfolgt ist, lässt Dr. Ansay unbeantwortet. Gegenüber dem Sicherheitsforscher, der die Lücke gefunden hat, hatte Dr. Ansay angegeben, eine DSGVO-Meldung an die zuständige Behörde initiiert zu haben. Eine Anfrage von heise online an die Datenschutzbehörden in Malta wurden noch nicht beantwortet.
Bei der Datenschutzbehörde in Hamburg ist keine Meldung eingegangen, wie eine Sprecherin auf Anfrage von heise online mitteilt. „In Hamburg hat Dr. Ansay nach unserem Kenntnisstand nur noch für das Segment der Entwicklung und Vermarktung von telemedizinischer Software eine Niederlassung, die Dr. Ansay AU-Schein GmbH“. Daher habe die Meldung in Malta erfolgen müssen.
Die Kontaktaufnahme des Sicherheitsforschers hatte sich über die Feiertage leider verzögert", sagte eine Sprecherin. Inzwischen funktioniere die Kommunikation und das Problem habe sofort gelöst werden können. "Wir danken dem Sicherheitsforscher für die Arbeit und behandeln den Vorfall intern weiter". Weitere Details wolle Dr. Ansay "aktuell nicht teilen, da in Zukunft Black-Hat-Hacker diese nutzen könnten und wir unsere Systeme schützen".
Von Dr. Ansay unbeantwortet bleibt, seit wann die Sicherheitslücke bestand, ab wann das Unternehmen davon wusste, ob und in welchem Umfang Daten tatsächlich abgeflossen sind un ob die Betroffenen bereits informiert wurden. Offen bleibt auch, welche Schutzmaßnahmen geplant sind und warum die Lücke nicht durch eigene Sicherheitsprüfungen entdeckt wurde.
Gegenüber heise online und auf Reddit hatte Dr. Ansay noch im Dezember zugesichert, dass "interne Sicherheits- und Monitoringprozesse [...] kontinuerlich" laufen würden und es "keine Hinweise auf unautorisierten Zugriff oder einen Abfluss von Daten" gebe. Zu dem Zeitpunkt wurden in einem Untergrundforum vermeintlich von Dr. Ansay stammende Datensätze zum Verkauf angeboten. Woher die Daten kommen, ist unklar. Denkbar ist auch ein Mix aus bereits veröffentlichten Leaks anderer oder ähnlicher Plattformen. Bisher konnte die Echtheit der Daten nicht bestätigt werden.
(Bild: Reddit)
Datenschutz habe "oberste Priorität“, gibt Dr. Ansay an. „Die Systeme werden fortlaufend überprüft. Vor dem Hintergrund der aktuell vermehrt auftretenden Phishing- und Smishing-Versuche wurden die internen Kontrollen zusätzlich noch einmal intensiviert, ohne Befund".
Bereits im Mai 2024 hatte es bei Dr. Ansay eine öffentlich bekannte Datenpanne gegeben, bei der Cannabis-Rezepte über Suchmaschinen abrufbar waren. Damals meldete das Unternehmen den Vorfall an die Datenschutzbehörde, sprach von einer behobenen Lücke und informierte Betroffene per E-Mail.
Antwort der Landesdatenschutzbehörde von Hamburg ergänzt.
URL dieses Artikels:
https://www.heise.de/-11134191
Links in diesem Artikel:
[1] https://dransay.com/security
[2] https://heise.de/investigativ
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:mack@heise.de
Copyright © 2026 Heise Medien
(Bild: Asus)
Die neueste NUC-Generation bricht mit einer alten Tradition: Die Boards sind nicht mehr quadratisch.
Asus zeigt zur Technikmesse CES den Mini-PC NUC 16 Pro. Er setzt auf Intels taufrische Mobilprozessor-Baureihe Panther Lake alias Core Ultra 300 [1]. Vier Prozessorvarianten gibt es im NUC 16 Pro [2], die sich erheblich bei der Speicherausstattung unterscheiden. Bei allen sind die CPUs fest angelötet.
Die beiden Topversionen kommen mit den 16-Kernern Core Ultra X9 388H beziehungsweise Core Ultra X7 358H. Ersterer taktet lediglich 300 MHz höher (5,1 statt 4,8 GHz). Beide Prozessoren integrieren Intels größte Grafikeinheit mit 12 Xe-Kernen. Bei diesen zwei Mini-PCs verlötet Asus bis zu 96 GByte RAM mit hoher LPDDR5X-9600-Geschwindigkeit, um die Übertragungsrate zu maximieren. Die CPUs laufen mit einer maximalen Turbo-Leistung von 65 Watt.
(Bild: Asus)
In der dritten Variante sitzt der Core Ultra 7 356H. Er hat zwar ebenfalls 16 CPU-Kerne, allerdings eine deutlich schwächere GPU mit vier Xe-Kernen. Er läuft ebenfalls mit bis zu 65 Watt. Im vierten NUC setzt Asus den Achtkerner Core Ultra 5 325 mit bis zu 45 Watt ein.
Die zwei letztgenannten Varianten verwenden Speicherriegel vom Typ CSO-DIMM. Wie bei CU-DIMMs für Desktop-PCs [3] sitzt auf den Riegeln ein Takttreiber (Clock Driver, CKD), der das Signal an die Speicherchips verstärkt. Asus nennt hier keine Taktfrequenzen; anhand von Intels Spezifikationen erscheinen jedoch DDR5-7200 und DDR5-6400 realistisch.
Dank der Riegelbauweise haben die zwei günstigeren NUC-Varianten einen Vorteil: Sie laufen auf Wunsch mit bis zu 128 statt 96 GByte RAM.
Zwischen den Konfigurationen mit 65 und 45 Watt unterscheidet sich die Kühlung. In den stärkeren Mini-PCs bringt Asus einen zweiten Radiallüfter an der Unterseite unter, der primär für das RAM gedacht ist.
(Bild: Asus)
Erstmals in einem klassischen NUC ist das Mainboard nicht mehr 110 x 110 mm beziehungsweise 4 x 4 Zoll groß. Asus verbreitert die Platine auf 127 x 110 mm. Bisheriges Zubehör wie Fremdanbieter-Gehäuse sind somit nicht mehr immer kompatibel. Das Standardgehäuse lässt sich weiterhin werkzeuglos öffnen. Per VESA-Halterung kann man den Mini-PC hinten an einem Monitor befestigen.
Für Massenspeicher gibt es zwei M.2-Steckplätze, je einer ist mit PCI Express 5.0 beziehungsweise 4.0 angebunden (je vier Lanes). Zudem ist ein Funkkärtchen mit Wi-Fi 7 und Bluetooth 6.0 vorinstalliert.
An der Rückseite befinden sich je zwei Thunderbolt-4-Anschlüsse (USB-C), USB 3.2 Gen 2 (10 Gbit/s) Typ A, HDMI 2.1 und 2,5-Gbit/s-Ethernet. Mindestens für Unternehmen soll es eine Option auf Displayport 2.1 statt HDMI 2.1 geben. Vorn gibt es dreimal 10-Gbit/s-USB, zweimal als Typ A und einmal als Typ C ausgeführt. Die Stromzufuhr erfolgt über ein externes DC-Netzteil.
(Bild: Asus)
Zu den Preisen und Verfügbarkeitsterminen des NUC 16 Pro hat sich Asus bislang nicht geäußert.
heise medien ist offizieller Medienpartner der CES 2026.
URL dieses Artikels:
https://www.heise.de/-11135099
Links in diesem Artikel:
[1] https://www.heise.de/news/Panther-Lake-Intel-stellt-14-Core-Ultra-300-vor-11130804.html
[2] https://www.asus.com/displays-desktops/nucs/nuc-mini-pcs/asus-nuc-16-pro/
[3] https://www.heise.de/news/Ein-kleiner-Chip-mit-grosser-Wirkung-Takttreiber-beschleunigt-RAM-9982109.html
[4] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[5] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[6] mailto:mma@heise.de
Copyright © 2026 Heise Medien
3D-gedruckte Touch-ID-Hülle: Nach viel Arbeit funktioniert sie gut.
(Bild: @Calvin_5743 / Printables)
Wer ein mechanisches Keyboard nutzen möchte, muss auf Apples Touch ID am Mac verzichten. Doch der Sensor lässt sich auch entnehmen.
Apples hauseigene Tastaturen sind zwar beliebt, doch haben sie allerlei Einschränkungen bei Bauweise und Tastenhub. Das Problem: Wer weg möchte vom Magic Keyboard, um etwa künftig mechanisch zu tippen [1], verliert Zugriff auf ein zentrales Komfortelement: den Fingerabdrucksensor Touch ID. Diesen bietet Apple nämlich nur eingebaut in MacBook Pro und MacBook Air sowie eben in besagtem Magic Keyboard an. Einzeln lässt sich dieser nicht erwerben, und so müssen Tastaturwechsler künftig bei Anmeldung oder Freigabe bestimmter macOS-Aktionen wieder zur Eingabe des Passworts greifen. Doch es gibt eine Lösung für das Problem: Wer bereit ist, ein Magic Keyboard als Spendeeinheit auszuschlachten, kann den Touch-ID-Knopf per Hardware-Hack auch ausbauen und in ein Gehäuse packen. Das ist zwar technisch aufwendig, wurde aber zuletzt gleich von mehreren YouTubern durchexerziert.
So zeigte der bekannte Maker, NAS- und Raspberry-Pi-Bastler Jeff Geerling den Vorgang im Detail [2]. Klar wird dabei allerdings schnell: Für Einsteiger ist die Umsetzung eher nichts. Auch Grobmotoriker dürften schnell daran verzweifeln: Zunächst an der verklebten Unterseite des Magic Keyboard, dann an den zahllosen (unterschiedlichen) Schrauben und schließlich am Einbau in eines der mehreren 3D-gedruckten Touch-ID-Gehäusen, die etwa bei Printables [3] bereitstehen. Denn: Die Toleranzen sind sehr niedrig, zudem schlägt man sich mit empfindlichen Flachbandkabeln herum.
Wer sich den Aus- und Einbau zutraut (was die Entnahme der korrekten Platinenbestandteile involviert), kann sich danach aber durchaus freuen: Der mit Lightning-nach-USB-C angeschlossene Button (alternativ: USB-C nach USB-C mit neueren Tastaturen) funktioniert wie gewohnt. Doch weder finanziell noch vom Arbeitsaufwand her lohnt sich die Aktion: „Warum stellt Apple also keine kleine Touch-ID-Box her? Sie könnten 50-US-Dollar dafür verlangen, und ich würde es bezahlen, wenn auch widerwillig“, sagt Geerling. So habe er eine 150-Dollar-Tastatur und ein paar Stunden Zeit geopfert, um eine „intelligente“ Taste zu erhalten.
Immerhin offeriert Apple selbst eine Alternative zu der Touch-ID-Problematik: Es ist seit einigen Jahren auch möglich, den Mac mittels Apple Watch zu entsperren [4]. Dazu muss man die Computeruhr aber zuerst einmal besitzen.
Sie wird dann mit dem Mac gekoppelt und dient als Entsperrinstrument – auch für Passwortabfragen, für die sonst nur Touch ID verwendet werden kann. Die Uhr muss zuvor entsperrt werden, damit nur der Besitzer sie auch nutzen kann.
URL dieses Artikels:
https://www.heise.de/-11133551
Links in diesem Artikel:
[1] https://www.heise.de/tests/Tipp-Top-Tastaturen-17-Keyboards-fuer-den-Mac-im-Test-9989999.html
[2] https://www.youtube.com/watch?v=tzB6m2VTxAg
[3] https://www.printables.com/model/355924-clickable-touch-id-box-tkl-board-wired#instructions
[4] https://support.apple.com/de-de/102442
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.heise.de/mac-and-i
[7] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
(Bild: Pixfiction/Shutterstock.com)
OpenAI führt ChatGPT Health ein, das unter anderem Apple-Health-Daten auswertet. Die EU, Schweiz und Großbritannien bleiben vorerst außen vor.
OpenAI hat ChatGPT Health vorgestellt [1], einen separaten Gesundheitsbereich innerhalb von ChatGPT [2]. Der KI-Assistent verknüpft persönliche Gesundheitsdaten mit dem Chatbot und soll Nutzern helfen, medizinische Befunde zu verstehen, Arztbesuche vorzubereiten und Fitnessdaten auszuwerten. OpenAI betont, das System sei „in enger Zusammenarbeit mit Ärztinnen und Ärzten“ entwickelt worden. ChatGPT Health soll dabei medizinische Versorgung unterstützen, nicht ersetzen.
Der neue Bereich ist zunächst nur für eine kleine Gruppe früher Nutzer über eine Warteliste zugänglich. Nutzer in der Europäischen Union, der Schweiz und Großbritannien bleiben dabei vorerst außen vor. Verfügbar ist ChatGPT Health für Accounts aller Stufen – Free, Go, Plus und Pro. Laut OpenAI stellen weltweit über 230 Millionen Menschen pro Woche Gesundheitsfragen an ChatGPT – diesem Anwendungsfall will der Anbieter nun mehr Gewicht geben.
ChatGPT Health kann verschiedene Datenquellen einbinden. Herzstück ist die Integration mit Apple Health [3], Apples vorinstallierter Gesundheits-App auf dem iPhone, die Daten von Apple Watch, iPhone-Sensoren und Drittanbieter-Apps bündelt. Nutzer können ihre Apple-Health-Daten über den Apple Account verbinden, wodurch ChatGPT auf Informationen wie Schritte, Herzfrequenz, Schlafmuster und Trainingseinheiten zugreifen kann.
Zusätzlich lassen sich Fitness- und Wellness-Apps wie MyFitnessPal, Peloton, AllTrails, Instacart und Weight Watchers verknüpfen. In den USA können Nutzer auch elektronische Patientenakten anbinden. ChatGPT Health kann dann Labor- und Testergebnisse interpretieren, medizinische Dokumente in verständliche Sprache übersetzen, Ernährungsempfehlungen geben und Trainingsroutinen auf Basis von Gesundheitsmustern erstellen. Auch beim Vergleich von Versicherungsoptionen soll der Assistent helfen.
OpenAI hebt hervor, ChatGPT Health baue auf den vorhandenen Datenschutz- und Sicherheitskontrollen von ChatGPT auf und ergänze diese um spezielle Schutzmaßnahmen. Der Gesundheitsbereich verfüge über einen eigenen Speicherort für Chats, Dateien und App-Verknüpfungen, getrennt von normalen Unterhaltungen. OpenAI spricht von „Verschlüsselung und Isolierung“, um Gesundheitsgespräche privat und abgeschottet zu halten. Konkrete technische Details nennt OpenAI in der Ankündigung nicht. Auch aufgrund der unterschiedlichen Gesetze zwischen den USA und Europa sind die Versprechen mit entsprechender Vorsicht zu sehen.
Der Gesundheitsbereich hat separate Kontexte, sodass die dort eingegebenen Daten nicht in andere Chats einfließen sollen. Umgekehrt kann ChatGPT Health bei Bedarf Kontext aus nicht-gesundheitsbezogenen Chats beziehen, etwa bei Lebensstiländerungen. Gespräche in ChatGPT Health werden laut Anbieter nicht zum Training der Modelle verwendet. Wenn Nutzer im allgemeinen Chat-Bereich gesundheitliche Themen ansprechen, schlägt ChatGPT vor, in den Health-Bereich zu wechseln.
Der Ausschluss von EU, Schweiz und UK deutet auf regulatorische Hürden hin. Gesundheitsdaten gelten nach der Datenschutzgrundverordnung (DSGVO) als besondere Kategorien personenbezogener Daten und unterliegen strengen Verarbeitungsvoraussetzungen. Datenübermittlungen in die USA sind nur mit angemessenen Garantien zulässig – bei Gesundheitsdaten prüfen Aufsichtsbehörden besonders streng. Zudem könnte die EU-Medizinprodukteverordnung (MDR) greifen, falls ChatGPT Health als Software mit medizinischem Zweck eingestuft würde.
OpenAI versucht offenbar, diese Einstufung zu vermeiden. Dennoch bleibt offen, wie Regulatoren das Angebot bewerten. Auch der AI Act der EU könnte für den OpenAI-Dienst zum Problem werden. In der Schweiz und Großbritannien gelten ähnliche Standards bei Datenschutz und Medizinprodukten, wenn auch mit eigenen Aufsichtsbehörden.
Trotz Warnhinweisen, dass ChatGPT Health keine ärztliche Beratung ersetzt, stellt sich die Frage, ob die kommunikativen Schutzmechanismen ausreichen. OpenAI wirbt mit ChatGPT als Navigator für die Gesundheit [4] – das könnte bei Nutzern den Eindruck erwecken, dass es sich doch um einen KI-Arzt handelt. Wie OpenAI durch System-Prompts, Sicherheitsfilter und Content Classifier verhindert, dass Nutzer bei akuten Symptomen auf Notruf oder ärztliche Hilfe verzichten, bleibt offen.
URL dieses Artikels:
https://www.heise.de/-11134773
Links in diesem Artikel:
[1] https://openai.com/index/introducing-chatgpt-health
[2] https://www.heise.de/thema/ChatGPT
[3] https://www.heise.de/thema/Apple-Health
[4] https://www.heise.de/news/OpenAI-wirbt-mit-ChatGPT-als-Gesundheitshelfer-11130306.html
[5] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[6] mailto:mki@heise.de
Copyright © 2026 Heise Medien
Touchscreen für MacBook Pro von Intricuit: Mac lässt sich mit ihm nicht schließen, das verhindert Schäden.
(Bild: Intricuit)
Apple bietet bislang keine Macs mit berührungsempfindlichem Display. Ein Crowdfunding-Projekt will das ändern – entnehmbar als Nachrüstsatz.
Für manche Apple-User wäre es ein Traum: Ein Mac, der neben Tastatur und Maus (oder Trackpad) auch über einen Touchscreen verfügt. Doch bislang lehnt Apple ein solches Bedienkonzept [1] ab, verweist auf das iPad, das mittlerweile immer Mac-ähnlicher [2] wird. Ein Crowdfunding-Projekt, das demnächst auf Kickstarter anlaufen soll, will dem allen nun vorgreifen: Der „Magic Screen [3]“ soll ein Touchscreen-Nachrüstsatz für verschiedene MacBook-Pro- und MacBook-Air-Modelle werden, der sich je nach Lust und Laune anbringen lässt.
Das System arbeitet, ähnlich wie man das von Privacy-Screens für MacBooks [4] kennt, magnetisch: Es wird am oberen Bildschirmrand angebracht und dann unten "eingehakt". Die Hardware ist so gestaltet, dass es nicht möglich ist, das MacBook nach der Installation zu schließen – das soll Schäden verhindern, denn die Toleranzen sind sehr eng [5]. Unterstützt werden sollen alle MacBook-Größen mit 13, 14, 15 und 16 Zoll ab M1 (Pro) beziehungsweise M2 (Air) bis hoch zum MacBook Pro M5 [6].
Im Rahmen der Kickstarter-Kampagne des Herstellers namens Intricuit ist ein Preis von 139 US-Dollar (plus Umsatzsteuer und Versand) vorgesehen. Die „Snap on“-Lösung ist allerdings nicht drahtlos. Stattdessen wird sie per USB-C-Kabel mit dem Mac verbunden. Der Touchscreen soll durchsichtig genug sein, um die Bildqualität nicht zu reduzieren. Das System ist zudem Stylus-fähig (inklusive Hover-Funktion) und soll „eine Alternative zu Zeichentablets und iPads“ darstellen.
Die auf der Intricuit-Website gezeigte Hardware soll ein „später Prototyp“ sein und könne sich optisch noch vom fertigen Gerät unterscheiden. Momentan wurden noch keine Angaben gemacht, wann mit einer Auslieferung zu rechnen ist. Interessierte können sich für einen Early-Access-Zugriff registrieren, wann es losgeht, wurde noch nicht kommuniziert.
Die große Frage beim Magic Screen betrifft die Software: macOS ist standardmäßig nicht Touchscreen-fähig und es bräuchte eine Art Overlay-Lösung, um eine normale Bedienung per Finger oder Stylus zu ermöglichen. Intricuit spricht unter anderem davon, dass Tap-, Swipe- und Zoom-Gesten funktionieren, ebenso wie Scrollen. Wie bei anderen Crowdfunding-Projekten muss man einiges an Vertrauen in den Hersteller investieren. Kickstarter-Projekte können bekanntermaßen auch scheitern.
URL dieses Artikels:
https://www.heise.de/-11133513
Links in diesem Artikel:
[1] https://www.heise.de/news/Touchscreen-im-Mac-Apple-will-sich-bereit-fuer-naechste-Generation-machen-7459492.html
[2] https://www.heise.de/ratgeber/iPadOS-26-So-nutzen-Sie-das-neue-Fenstersystem-auf-Apple-Tablet-10646557.html
[3] https://intricuit.com/
[4] https://www.heise.de/news/Blickschutz-fuer-Bildschirme-Apple-meldet-Patente-an-9540185.html
[5] https://www.heise.de/news/Webcam-Warnung-Abdeckungen-koennen-MacBook-Display-zerstoeren-10792976.html
[6] https://www.heise.de/tests/Staubsaugen-im-Apple-Home-Diese-Haushaltsroboter-lohnen-sich-10751677.html
[7] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[8] https://www.heise.de/mac-and-i
[9] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
Nutzerin an iMac: Problem schon lange bekannt.
(Bild: Kaspars Grinvalds / Shutterstock.com)
Beim ersten Apple-Silicon-Modell des All-in-one-Rechners kann es zu merkwürdigen Darstellungsproblemen kommen. Apple reagiert nur fallweise.
Seit 2024 gibt es Berichte von Nutzern, dass sich der Bildschirm von iMacs der ersten M-Chip-Generation [1] nach einigen Jahren der Verwendung teilweise intern zu zerlegen [2] scheint. Der sogenannte Black Line Defect sorgt für bleibende horizontale Linien auf dem Display. Ein entsprechender Thread im offiziellen Apple-Support-Forum [3] hat mittlerweile 35 Seiten – ein Indiz dafür, dass das Problem offenbar häufiger auftreten kann. Betroffene Kunden können wenig tun: Der iMac M1 wurde bereits seit 2021 verkauft, und der Fehler tritt üblicherweise nach Ablauf der zweijährigen Gewährleistung auf. Apple selbst trifft Einzelfallentscheidungen: Manchmal gibt es aus Kulanz einen kostenlosen Austausch des Displays, doch üblicherweise muss der Kunde – nach Kostenvoranschlag – selbst zahlen.
Eine Gruppe Betroffener versucht nun, Apple dazu zu bewegen, ein Austauschprogramm aufzulegen [4]. Unter iMacUsersVoice.com haben sie die Kampagne „Stop the Black Lines Defect“ aufgesetzt. „Besitzer von 24-Zoll-iMacs mit Apple Silicon sehen nach etwa zwei Jahren normaler Nutzung permanente horizontale Linien. Erst wenn Apple ein globales Serviceprogramm startet, um alle betroffenen Geräte zu reparieren, wird diese Website offline genommen, schreiben sie.
Die selbstorganisierten Betroffenen gehen davon aus, dass „Tausende“ von iMac-M1-Modellen betroffen sind. Über das Apple-Support-Forum sollen allein fast 1300 Personen zusammengekommen sein, die durchgaben, das Problem zu haben. 470 entsprechende Antworten landeten in einem ersten Thread, der später für neue Postings gesperrt wurde, weitere über 820 in einem neuen.
Es gibt Vermutungen, dass das Problem, das nach 18 bis 24 Monaten der Benutzung auftritt, mit einem überhitzenden Hochspannungs-Flexkabel zu tun haben könnte, das im LCD-Bereich verbaut ist. Das Bauteil soll sehr günstig sein, doch Apple verlangt laut Nutzerangaben bis zu 700 Dollar für die Reparatur.
Der Hersteller hat sich bislang nicht zu dem Problem geäußert, das mit Softwaremitteln offenbar nicht zu beheben ist. Fehlerberichte gibt es aus der ganzen Welt. Unklar ist, ob auch spätere Modelle – also iMac M3 und M4 – betroffen sind. Die Nutzer fordern, diese gegebenenfalls in ein Austauschprogramm aufzunehmen. Sie fordern außerdem eine transparente Kommunikation von Apple.
URL dieses Artikels:
https://www.heise.de/-11132993
Links in diesem Artikel:
[1] https://www.heise.de/news/Neue-iMacs-24-Zoeller-mit-Apple-Prozessor-und-in-vielen-Farben-6021800.html
[2] https://www.heise.de/news/iMac-M1-Berichte-ueber-Display-Defekte-9961731.html
[3] https://discussions.apple.com/thread/255220596?sortBy=rank
[4] https://www.imacusersvoice.com/
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.heise.de/mac-and-i
[7] mailto:bsc@heise.de
Copyright © 2026 Heise Medien
(Bild: Fer Gregory/Shutterstock.com)
Die Entwickler hinter dem Multimedia-Framework FFmpeg haben auf GitHub einen Teil des Codes von Rockchip Linux wegen Copyright-Verletzung sperren lassen.
Entwickler des quelloffenen Multimedia-Frameworks FFmpeg [1] haben GitHub mit einer DMCA-Takedown-Notice aufgefordert, den Quelltext des Moduls Media Process Platform (MPP) von Rockchip Linux zu entfernen. Auf GitHub ist github.com/rockchip-linux/mpp [2] unter Verweis auf die DMCA-Beschwerde gesperrt.
Die Entwickler werfen Rockchip vor [3], in seiner Multimedia‑Middleware MPP LGPL-lizenzierten Code aus FFmpeg/libavcodec kopiert, Copyright-Hinweise widerrechtlich entfernt und den Code unter der nicht LGPL-kompatiblen Apache-2.0-Lizenz neu veröffentlicht zu haben. FFmpeg-Entwickler hätten Rockchip bereits seit längerer Zeit auf das Problem hingewiesen und die DMCA-Beschwerde aufgrund ausbleibender Reaktion eingereicht, heißt es in dem Schreiben.
Das Open-Source-Projekt FFmpeg [4] entwickelt Programme, Bibliotheken und Codecs zur effizienten und teilweise hardwarebeschleunigten Verarbeitung von Multimediadaten. Die Software ist Teil nahezu jeder Linux-Distribution, auch von Rockchip Linux. Hier pflegt Rockchip, Hersteller von kostengünstigen ARM-SoCs für unter anderem für TV‑ und Streaming-Boxen, billigen Android-Tablets und Chromebooks, Single Board Computern und industriellen IoT-Systemen, eine auf seine Chips angepasste Linux-Version. Board‑Hersteller und OEMs nutzen Rockchip Linux als Basis für die Software ihrer Geräte. Auch Community‑Distributionen für Geräte mit Rockchip-SoCs wie Armbian und postmarketOS verwenden Code von Rockchip Linux. Der Quellcode von Rockchip Linux steht auf GitHub.
Wenn sich die Angelegenheit nicht lösen lässt, bekommen viele Hersteller von Linux- und Android-basierten Geräten mit Rockchip-SoCs ein Problem, da hier die FFmpeg-basierte Media Process Platform (MPP) für hardwarebeschleunigte Videowiedergabe sorgt. Sie müssten dann auf andere, leistungsschwächere Software zurückgreifen. Zudem riskieren sie, selbst wegen Copyright-Verletzung belangt zu werden, solange sie MPP auf ihren Geräten verwenden.
URL dieses Artikels:
https://www.heise.de/-11134450
Links in diesem Artikel:
[1] https://ffmpeg.org/
[2] https://github.com/rockchip-linux/mpp
[3] https://github.com/github/dmca/blob/master/2025/12/2025-12-18-ffmpeg.md
[4] https://www.heise.de/news/FFmpeg-8-0-integriert-Whisper-Lokale-Audio-Transkription-ohne-Cloud-10521966.html
[5] https://www.heise.de/ix
[6] mailto:odi@ix.de
Copyright © 2026 Heise Medien
(Bild: chainarong06/Shutterstock.com)
C# ist Programmiersprache des Jahres 2025 im umstrittenen Tiobe-Index. Ausschlaggebend ist der größte Popularitätszuwachs im Jahresvergleich.
Die IT-Beratungsfirma Tiobe hat C# im umstrittenen Tiobe-Index zur Programmiersprache des Jahres 2025 gekürt. Tiobe wertet monatlich die zwanzig im Web beliebtesten Programmiersprachen aus und vergibt die Auszeichnung jeweils im Januar für das Vorjahr. Entscheidend ist die Sprache mit den größten Zugewinnen im Jahresvergleich. Nach 2023 erhält C# den Titel damit bereits zum zweiten Mal innerhalb von drei Jahren.
Laut Tiobe verzeichnete C# 2025 den stärksten Anstieg in den Bewertungen. Die Betreiber führen das auf tiefgreifende Veränderungen der Sprache in den vergangenen Jahren zurück. C# habe früh neue Konzepte aufgegriffen und sich sowohl von der reinen Windows-Bindung gelöst als auch vom proprietären Microsoft-Produkt zu einer plattformübergreifenden Open-Source-Sprache entwickelt.
Im Markt für Unternehmenssoftware liefern sich Java und C# seit Jahren ein enges Rennen. Tiobe sieht bislang keinen klaren Sieger. Java sei weiterhin stark verbreitet, stehe aber wegen seines vergleichsweise umfangreichen Boilerplate-Codes und der Zugehörigkeit zu Oracle unter zunehmendem Druck.
(Bild: Tiobe [1])
Auch innerhalb der Top 10 gab es im Jahr 2025 Bewegung. C und C++ tauschten ihre Plätze. Während sich C++ laut Tiobe in den vergangenen Jahren stark verändert hat, finden einige größere Neuerungen wie das Modulsystem bislang nur begrenzt Eingang in die Praxis. C profitiert dagegen weiterhin von seiner Einfachheit und Geschwindigkeit, insbesondere im wachsenden Markt für kleine eingebettete Systeme. Rust erreichte mit Platz 13 zwar einen neuen Höchststand, konnte sich in diesem Umfeld aber noch nicht dauerhaft etablieren.
(Bild: Tiobe [2])
Zu den überraschenden Gewinnern zählt Perl. Die Sprache verbesserte sich deutlich von Platz 32 auf Platz 11 und kehrte damit in die Top 20 zurück. Ebenfalls wieder in den Top 10 vertreten ist R, getragen vom anhaltenden Wachstum in Data Science und statistischer Datenanalyse.
Auf der Verliererseite nennt Tiobe unter anderem Go, das 2025 dauerhaft aus den Top 10 herausfiel – Programmiersprache des Jahres 2016 [3]. Auch Ruby rutschte aus den Top 20 ab und dürfte nach Einschätzung der Index-Betreiber so schnell nicht zurückkehren.
Einen vorsichtigen Blick nach vorn wagt Tiobe ebenfalls. TypeScript könnte 2026 erstmals den Sprung in die Top 20 schaffen. Zudem sieht Tiobe Potenzial bei Zig, das sich 2025 von Platz 61 auf 42 vorarbeitete und damit näher an die Top 30 heranrückte.
Bei der Berechnung des Index möchten die Betreiber die Anzahl der Engineers, Kurse und Dienstanbieter bewerten, die eine Programmiersprache verwenden. Das trägt Tiobe über die Anfragen bei verschiedenen Internet-Suchmaschinen zusammen. Die Betreiber weisen selbst darauf hin, dass der Index eher zur Überprüfung der Aktualität von Programmierkenntnissen und zur strategischen Entscheidung bei der Auswahl von Programmiersprachen für neue Projekte zum Einsatz kommen sollte.
Weitere Informationen finden sich im Beitrag auf der offiziellen Tiobe-Website [4].
URL dieses Artikels:
https://www.heise.de/-11133806
Links in diesem Artikel:
[1] https://www.tiobe.com/tiobe-index/
[2] https://www.tiobe.com/tiobe-index/
[3] https://www.heise.de/news/Programmiersprachen-Ranking-TIOBE-sieht-Go-als-Sprache-des-Jahres-2016-3592401.html
[4] https://www.tiobe.com/tiobe-index/
[5] mailto:mdo@ix.de
Copyright © 2026 Heise Medien
Die Verbraucherzentrale Nordrhein-Westfalen hat eine Klage vor dem Bundesgerichtshof gewonnen, nach der sich bei Verzögerungen beim FTTH-Ausbau die Mindestlaufzeit von zwei Jahren nicht auf den Nutzungsbeginn verschiebt. Das gaben die Verbraucherexperten am 8. Januar 2026 bekannt .
Deutsche Giganet hatte den Beginn der Mindestvertragslaufzeit ab Freischaltung des Anschlusses in ihren AGB festgeschrieben. Dagegen klagte die Verbraucherzentrale vor dem Bundesgerichtshof (Aktenzeichen III ZR 8/25) und bekam Recht .
"Anbieter dürfen das Risiko von Verzögerungen beim Ausbau nicht weiterhin einfach auf die Verbraucher:innen abwälzen" , sagte Wolfgang Schuldzinski, Vorstand der Verbraucherzentrale Nordrhein-Westfalen.
Der Bau von Glasfaserleitungen kann von wenigen Wochen bis zu mehr als einem Jahr dauern. Beginne die Vertragslaufzeit erst mit der Freischaltung des Anschlusses, verlängert sich die tatsächliche Kundenbindung, da der Zeitraum des Ausbaus auf die Mindestvertragslaufzeit aufgeschlagen wird.
Deutsche Giganetz äußerte sich auf Anfragen von Golem zu dem Urteil nicht. Netzbetreiber argumentieren: Da die Kunden in der Zeit bis zur Aktivierung eines Anschlusses nichts bezahlen, werden sie durch diese Praxis des Beginns der Mindestvertragslaufzeit mit Aktivierung ihres Anschlusses nicht benachteiligt. Wenn Endkundenverträge nicht mehr Einnahmen garantierten, müsse über Baukostenzuschüsse oder Entgelterhöhungen gesprochen werden, hieß es aus der Branche.
"Verbraucher:innen, denen von Deutsche Giganetz oder anderen Anbietern die Kündigung ihres Glasfaservertrages zwei Jahre nach Vertragsschluss bislang widerrechtlich verwehrt worden ist, können sich jetzt erneut an diese wenden" , betonte Schuldzinski. "Einen entsprechenden Musterbrief stellen wir ab sofort auf unserer Homepage zur Verfügung."
Noch nicht einmal ein Jahr nach der Markteinführung bessert VW beim Antrieb seines elektrischen Transporters nach. Die Elektroversionen der Kleinbusse Transporter und Caravelle erhielten künftig eine größere Batterie mit einer nutzbaren Kapazität von 70 Kilowattstunden (kWh), teilte das Unternehmen am 8. Januar 2026 mit. Zudem steige die Ladegeschwindigkeit.
Der Mitteilung zufolge brauchen die Fahrzeuge jedoch weiterhin 30 Minuten, um einen Hub von 10 auf 80 Prozent zu laden. Zuvor waren sogar 40 Minuten erforderlich. Die maximale Ladeleistung beträgt 125 kW.
VW hatte die beiden Modelle im Februar 2025 erstmals an Kunden ausgeliefert . Damals lag die nutzbare Kapazität bei 64 kWh. Mit der neuen Batterie sollen Transporter und Caravelle jeweils 380 km weit nach dem Prüfzyklus WLTP kommen. Das entspricht einem Plus von 13 Prozent.
Die Fahrzeuge werden in drei Leistungsstufen angeboten: 100 kW (136 PS), 160 kW (218 PS) und 210 kW (286 PS). Von Anfang 2026 an ist der elektrische Transporter auf Wunsch auch mit einem Allradsystem erhältlich. Es kombiniert den Heckmotor mit einer zusätzlichen elektrischen Maschine an der Vorderachse.
Den elektrischen Transporter gibt es als Kombi sowie als Kasten- und Pritschenwagen. Der Einstiegspreis liegt je nach Version zwischen 59.369 und 62.760,60 Euro. Die elektrische Caravelle startet bei 66.080 Euro.
Die Mobilfunkbetreiber Vodafone Italia (Swisscom) und TIM wollen sich neue 5G-Netzkapazität in Italien teilen. Wie die Swisscom am 7. Januar 2026 erklärte , will man den Ausbau der 5G-Abdeckung für Gemeinden mit weniger als 35.000 Einwohnern vorantreiben und die Netze dann gegenseitig öffnen. Laut TIM handelt es sich um RAN Sharing.
Jeder Betreiber wird für den Netzausbau in zehn Regionen verantwortlich sein, so dass bis Ende 2028 ein Netz mit etwa 15.500 Standorten pro Betreiber entsteht. Das RAN (Funkzugangsnetz) wird dann gegenseitig geöffnet. Laut Swisscom lässt sich damit die 5G-Abdeckung in dünn besiedelten und unterversorgten Gebieten schneller ausweiten.
Swisscom-Sprecher Sepp Huber sagte Golem auf Anfrage: "Es ist kein National Roaming. Das gewählte Modell ist ein Multi-Operator Core Network. Die Kernnetze bleiben vollständig getrennt. Die Frequenzen werden nicht gepoolt, so dass jeder Betreiber seinen eigenen Teil des Spektrums nutzen wird."
Multi-Operator Core Network bedeutet, dass sich zwei oder mehr Anbieter eine Mobilfunk-Sendeanlage teilen. Über eine Antennenanlage werden mittels mehrerer Netzkennungen die Kunden der kooperierenden Anbieter bedient. Dabei geht es um aktives Sharing.
Eine ähnliche Vereinbarung hatten Deutsche Telekom und Vodafone im März 2022 für rund 2.000 graue Flecken geschlossen. Ein grauer Fleck ist eine Gegend, in dem die Bewohner von lediglich einem Mobilfunkanbieter versorgt werden. Verabredet wurde die Zusammenarbeit im Februar 2020 für 4.000 Antennenstandorte. Danach folgten Gespräche mit dem Bundeskartellamt und der Bundesnetzagentur. Bei dem deutschen Modell teilen Vodafone und Telekom aber auch ihre Mobilfunkspektren. Die Kooperation beschränkt sich allerdings auf LTE bei 800 MHz.
Die Vereinbarung in Italien ist noch vorläufig und muss vom Wirtschaftsministerium, der Wettbewerbsbehörde (AGCM) und der Kommunikationsbehörde (AGCom) des Landes erst genehmigt werden. Man erwartet eine gültige Vereinbarung aber bereits im zweiten Quartal 2026.
Swisscom hatte im März 2024 vereinbart, Vodafone Italia zu einem Preis von acht Milliarden Euro zu kaufen . Swisscom wird Vodafone Italia mit seinem italienischen Festnetzbereich Fastweb zu einem "konvergenten Anbieter" zusammenlegen.
(Bild: janews/Shutterstock.com)
Angreifer nutzen eine Schadcode-Lücke in HPE OneView aus. PowerPoint wird ausschließlich unter macOS attackiert.
Derzeit attackieren unbekannte Angreifer macOS-Systeme über eine siebzehn Jahre Sicherheitslücke in PowerPoint mit Schadcode. HPEs IT-Verwaltungssystem OneView ist derzeit ebenfalls mit Schadcode-Attacken konfrontiert. Admins sollten ihre Systeme dementsprechend umgehend über Sicherheitspatches absichern. In beiden Fällen ist unklar, in welchem Umfang und wie genau die Attacken ablaufen.
Vor den Angriffen warnt die US-Behörde Cyber & Infrastrutcture Security Agency (CISA) in einem aktuellen Beitrag [1]. In beiden Fällen gelangt nach einer erfolgreichen Attacke Schadcode auf Computer. Das führt in der Regel dazu, dass Angreifer die volle Kontrolle über Systeme erlangen.
Die Office-Lücke aus dem Jahr 2009 betrifft der Beschreibung der Schwachstelle (CVE-2009-0556 „hoch“) [2] PowerPoint 2000 SP3, 2002 SP3 sowie 2003 SP3 und PowerPoint in Microsoft Office 2004 für macOS. Um Angriffe einzuleiten, müssen Angreifer Opfern ein präpariertes PowerPoint-Dokument unterschieben. Öffnen Opfer die Datei, kommt es zu Speicherfehlern und im Anschluss zur Ausführung von Schadcode. Der alleinige Empfang so einer Datei, etwa via E-Mail, soll keine Attacken einleiten können. Opfer müssen also mitspielen.
In einem alten Beitrag von Microsoft findet man Informationen zur Lücke [3], aber der Beitrag mit Informationen zum Sicherheitsupdate ist mittlerweile nicht mehr online. Wer noch eine der veralteten und verwundbaren Versionen nutzt, sollte aus Sicherheitsgründen ein Upgrade durchführen oder auf eine Alternative umsteigen.
Die „kritische“ Lücke mit Höchstwertung (CVE-2025-37164, CVSS Score 10 von 10) in HPE OneView ist seit Dezember vergangenen Jahres bekannt [4]. Seitdem ist auch ein Hotfix verfügbar, der die Schwachstelle schließt. Weitere Informationen dazu hat der Softwareanbieter in einer Warnmeldung zusammengetragen [5].
URL dieses Artikels:
https://www.heise.de/-11132320
Links in diesem Artikel:
[1] https://www.cisa.gov/news-events/alerts/2026/01/07/cisa-adds-two-known-exploited-vulnerabilities-catalog
[2] https://nvd.nist.gov/vuln/detail/CVE-2009-0556
[3] https://learn.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-017
[4] https://www.heise.de/news/HPE-OneView-Kritische-Luecke-erlaubt-Codeschmuggel-aus-dem-Netz-11117707.html
[5] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04985en_us&docLocale=en_US
[6] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:des@heise.de
Copyright © 2026 Heise Medien
(Bild: Skorzewiak / Shutterstock.com)
Eine kritische Lücke im untgz-Tool der in vielen Betriebssystemen und Programmen enthaltenen zlib-Bibliothek ermöglicht Codeschmuggel.
In einem Werkzeug der Kompressionsbibliothek zlib, die in zahlreichen Programmen und Betriebssystemen enthalten ist, haben IT-Forscher eine kritische Sicherheitslücke entdeckt. Sie ermöglicht unter Umständen das Einschleusen und Ausführen von Schadcode. Ein Update zum Stopfen des Sicherheitslecks gibt es bislang noch nicht.
Auf der nur noch wenig aktiven Mailingliste Full Disclosure hat der IT-Forscher Ronald Edgerson [1] Informationen zur Sicherheitslücke gepostet. In der Funktion TGZfname() des untgz-Tools von zlib, das sich um die Dekompression von .tar.gz-Archiven (oder oftmals kurz .tgz) kümmert, kann ein Pufferüberlauf auftreten. Ursache ist das Kopieren von Nutzer-übergebenen Daten ohne Längenprüfung mit einem strcpy()-Aufruf auf einen globalen statischen Puffer von 1024 Byte Größe. Durch das Übergeben eines größeren Archivnamens erfolgt ein Schreibzugriff außerhalb der vorgesehenen Speichergrenzen, was zu Speicherverletzungen führt. Die Lücke hat nun den Schwachstelleneintrag CVE-2026-22184 [2] erhalten (CVSS4 9.3, Risiko „kritisch“).
Das untgz-Tool gehört zu Nutzer-beigesteuerten Werkzeugen (im contrib-Ordner des Projekts), die offiziell keinen Support erhalten. Sie sind jedoch auch nicht zwingend Bestandteil von ausgelieferten zlib-Paketen.
Edgerson führt aus, dass die Folgen unter anderem ein Absturz (Denial-of-Service, DoS), Speicherverletzungen von darauffolgenden globalen Objekten, nicht definiertes Verhalten oder sogar die Ausführung von eingeschleustem Code sein könnten. Jedoch gibt es dabei noch Abhängigkeiten vom verwendeten Compiler, der Prozessorarchitektur des Systems, verwendeten Build-Flags und dem Speicherlayout. Der verwundbare Code wird vor jedwedem Parsen oder Prüfungen des Archivs ausgeführt, wodurch sich die Lücke trivial allein durch Aufruf mit präpariertem Kommandozeilenparameter ausnutzen lasse. Da globaler Speicher betroffen sei, könnten die Speicherfehler über die Funktion hinaus wirksam werden und später das Programmverhalten beeinflussen.
Betroffen ist zlib bis einschließlich zur aktuellen Fassung 1.3.1.2, wie Vulncheck angibt [3], die den CVE-Schwachstelleneintrag erstellt und veröffentlicht haben. Aktualisierte Software steht derzeit noch nicht bereit. Im Github-Projekt von zlib [4] deutet zum Meldungszeitpunkt noch nichts auf Korrekturen im Quellcode hin. Ein Problembericht wurde jedoch [5] kürzlich eingereicht.
Im Herbst 2022 fiel die zlib-Bibliothek zuletzt durch eine kritische Sicherheitslücke auf. Auch dort konnten Angreifer den sicherheitsrelevanten Fehler missbrauchen, um Schadcode [6] einzuschleusen und auszuführen. Damals waren jedoch Aktualisierungen bereits zeitnah verfügbar.
Ergänzt, dass das untgz-Tool zu von Benutzern beigesteuerten Werkzeugen im contrib-Ordner gehören. Sie erhalten damit keinen Support, werden aber nicht unbedingt mit den zlib-Bilbliothek-Paketen ausgeliefert.
URL dieses Artikels:
https://www.heise.de/-11133774
Links in diesem Artikel:
[1] https://seclists.org/fulldisclosure/2026/Jan/3
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-22184
[3] https://www.vulncheck.com/advisories/zlib-untgz-global-buffer-overflow-in-tgzfname
[4] https://github.com/madler/zlib
[5] https://github.com/madler/zlib/issues/1142
[6] https://www.heise.de/news/Kritische-Luecke-in-zlib-Bibliothek-ermoeglicht-Codeschmuggel-7250044.html
[7] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[8] mailto:dmk@heise.de
Copyright © 2026 Heise Medien
Falls es überhaupt mal nötig ist, gelingt das Nachinstallieren fehlender Treiber in unserem Notfallsystem mit wenigen Mausklicks.
Jeder Windows-Computer ist ein individuelles Mosaik aus eingebauten und externen Hardwarekomponenten – uniform sind allenfalls Firmenflotten hunderter gleicher Geräte. Die Verbindung zwischen Hardware und Betriebssystem stellen Treiber her, das ist auch beim c’t-Notfall-Windows so. Ohne diese Treiber bleibt das Display schwarz, Mausklicks werden ignoriert und das Netzwerk funktioniert nicht. Jede Komponente braucht einen speziell angepassten Treiber, der sich von Modell zu Modell unterscheiden kann und dessen Details meist nur der jeweilige Hersteller kennt.
Im Idealfall braucht Sie das alles nicht zu kümmern. Denn damit unser Notfall-System auf möglichst vielen Computern funktioniert, egal ob Desktop-PC, Notebook oder Tablet, haben wir dafür gesorgt, dass es von Haus aus Treiber für besonders viele Geräte enthält. Das bedeutet aber nicht, dass Sie beim Bauen des Notfall-Sticks mit einer Terabyte-großen Softwaresammlung hantieren müssen. Viele der integrierten Treiber unterstützen mehrere Geräte. Das bedeutet zwar, dass sie nur selten den vollen Funktionsumfang eines Geräts ausreizen, doch ausgefeilte Stromspartechniken, Kino-Sound oder ultrahohe Display-Auflösungen sind belanglos, wenn es darum geht, Daten zu retten, Viren zu beseitigen oder Passwörter zurückzusetzen. Deshalb haben wir bei der Auswahl der Treiber wenig Wert auf für diesen Zweck entbehrliche Hardware wie Scanner, Webcams & Co. gelegt.
Als Ergebnis wird das Notfall-System auf vielen Computern auch ohne weitere Treiber seinen Zweck zu erfüllen. Doch was, wenn nicht? Für solche Ausnahmen liefert dieser Beitrag vier aufsteigend aufwendige Lösungswege.
URL dieses Artikels:
https://www.heise.de/-11090807
Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/c-t-Notfall-Windows-2026-11072902.html
[2] https://www.heise.de/ratgeber/c-t-Notfall-Windows-2026-Das-eigene-Notfallsystem-bauen-10813323.html
[3] https://www.heise.de/ratgeber/Probleme-loesen-mit-dem-c-t-Notfall-Windows-2026-11090788.html
[4] https://www.heise.de/ratgeber/Virensuche-mit-dem-c-t-Notfall-Windows-2026-11090802.html
[5] https://www.heise.de/ratgeber/Treiber-im-c-t-Notfall-Windows-2026-nachinstallieren-11090807.html
[6] https://www.heise.de/ratgeber/FAQ-Notfall-Windows-und-Secure-Boot-11096057.html
Copyright © 2026 Heise Medien
Netzteil in Steckdose: Große Auswahl.
(Bild: heise medien)
Neue iPhones ziehen bis zu 40 Watt aus dem Netzteil, sofern dieses das schafft. Da Apple kein Ladegerät mehr beilegt, braucht es Alternativen. Unser Test.
Beim Test der neuen iPhones hat sich gezeigt, dass diese viel Strom aufnehmen können. Bis auf 40 Watt steigt die Leistungsaufnahme, wenn man das Display ganz hell macht und alle CPU-Kerne belastet.
Anlass für uns, nach geeigneten Ladegeräten ab 33 Watt Ausschau zu halten. Sie sollten möglichst klein und leicht sein, damit man sie gut als Netzteil unterwegs nutzen kann – wofür eine USB-C-Buchse reicht. Zusammen kamen sechs Geräte ab 14 Euro. Natürlich lassen sich alle auch für ältere iPhones, iPads und sogar MacBooks sowie als Stromquelle für MagSafe oder Qi einsetzen.
Zunächst haben wir ausprobiert, wie viel Strom ein iPhone 17 Pro über die Zeit beim Laden aufnimmt. Dabei war es im Ruhezustand mit Display im abgedunkelten Always-On-Modus. Gemessen haben wir mit einem USB-C-Zwischenstecker. Kurze Zeit nach dem Booten des völlig entleerten Gerätes stieg die Leistungsaufnahme auf den Höchstwert von 26,8 Watt und fing nach 10 Minuten schon wieder an zu sinken, auf dann 23,8 Watt (siehe Diagramm unten).
URL dieses Artikels:
https://www.heise.de/-11126004
Copyright © 2026 Heise Medien
(Bild: Die Produktwerker)
User Research zu operationalisieren und als festen Bestandteil der Produktentwicklung zu etablieren – wie das geht, diskutiert Dominique Winter mit Anne Görs.
In dieser Folge sprechen Anne Görs [1], Senior User Researcher, Founder und Managing Director bei der leefs CX GmbH [2], und Dominique Winter darüber, wie sich User Research operationalisieren lässt, sodass sie dauerhaft Teil der Produktarbeit wird. Ausgangspunkt ist die Beobachtung, dass viele Teams User Research grundsätzlich schätzen, sie aber als zu langsam, zu aufwendig oder störend für schnelle Entscheidungen wahrnehmen. Genau hier setzt der Gedanke an, User Research zu operationalisieren und so in den Arbeitsfluss einzubetten, dass sie Entscheidungen unterstützt, statt sie auszubremsen.
User Research zu operationalisieren bedeutet, Forschung nicht als einmaliges Projekt zu denken, sondern als wiederkehrenden, verlässlichen Prozess. Es geht darum, Strukturen zu schaffen, die Wiederholbarkeit ermöglichen, ohne die nötige Flexibilität zu verlieren. Dazu gehören klare Verantwortlichkeiten, abgestimmte Abläufe und ein gemeinsames Verständnis dafür, wofür Erkenntnisse genutzt werden. Forschung wird dadurch planbarer und verliert den Ruf, ein Bremsklotz zu sein. Stattdessen erhöht sie die Wahrscheinlichkeit, mit den getroffenen Entscheidungen tatsächlich Wirkung zu erzielen.
Dazu braucht es auch einen bewussten Umgang mit Unsicherheit. User Research liefert schließlich keine Wahrheiten, sondern reduziert Risiken. Wenn Teams und Stakeholder verstehen, dass Forschung dabei hilft, bessere strategische Wetten einzugehen, verändert sich die Akzeptanz spürbar. Entscheidungen basieren dann nicht mehr ausschließlich auf Erfahrung oder Bauchgefühl, sondern auf nachvollziehbaren Erkenntnissen über Nutzerinnen und Nutzer. Das stärkt Vertrauen in den Prozess und in die Menschen, die ihn verantworten.
Aber damit das Operationalisieren der User Research gelingen kann, braucht es auch Wege, Erkenntnisse so aufzubereiten, dass sie im Alltag genutzt werden. Forschung entfaltet nur dann ihren Wert, wenn sie in konkrete Anforderungen, Prioritäten oder Entscheidungen übersetzt wird. Das erfordert enge Zusammenarbeit mit den Produktteams und ein Verständnis dafür, welche Form von Ergebnissen ihnen wirklich hilft. Einheitliche Templates oder starre Reportstrukturen greifen hier oft zu kurz.
Entscheidend ist also, dass Erkenntnisse anschlussfähig sind und dort ankommen, wo sie gebraucht werden. Teams profitieren davon, selbst beteiligt zu sein, zuzuhören, Fragen zu stellen und Forschung mitzuerleben. Diese Beteiligung erhöht die Akzeptanz der Ergebnisse und sorgt dafür, dass Erkenntnisse nicht infrage gestellt werden, nur weil sie unbequem sind. Gleichzeitig braucht es fachliche Begleitung, um die Qualität zu sichern und Fehlinterpretationen zu vermeiden.
User Research zu operationalisieren heißt daher am Ende auch, kulturelle Voraussetzungen zu schaffen. Eine Organisation muss bereit sein, mit Feedback umzugehen, das bestehende Annahmen infrage stellt. Forschung deckt Schwächen auf und zeigt, wo Ideen nicht wie erwartet funktionieren. Wer das als Chance zur Verbesserung versteht, schafft Raum für kontinuierliches Lernen und bessere Produkte.
Der Blick richtet sich damit weniger auf einzelne Methoden als auf ein Zusammenspiel aus Haltung, Prozessen und Verantwortung. Wenn User Research dauerhaft Teil der Produktentwicklung wird, unterstützt sie Entscheidungen, reduziert Risiken und hilft Teams, näher an den tatsächlichen Bedürfnissen ihrer Nutzerinnen und Nutzer zu arbeiten. Genau dort entfaltet operationalisierte User Research ihre größte Wirkung.
Die aktuelle Ausgabe des Podcasts steht auch im Blog der Produktwerker bereit: „User Research operationalisieren [5]“.
URL dieses Artikels:
https://www.heise.de/-11128730
Links in diesem Artikel:
[1] https://www.linkedin.com/in/anne-goers/
[2] https://leefs.cx/de
[3] https://product-owner-day.de/?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_pod2.empfehlung-ho.link.link
[4] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[5] https://produktwerker.de/user-research-operationalisieren/
[6] mailto:mai@heise.de
Copyright © 2026 Heise Medien
Bethesda arbeitet offenbar an Neuauflagen von Fallout 3 und Fallout: New Vegas und will damit zwei der wichtigsten Rollenspiele der Seriengeschichte technisch neu aufstellen. Hinweise darauf liefert ein Bericht von Jez Corden bei Windows Central , der in der Vergangenheit mit Vorhersagen mehrfach richtig lag.
Demnach sollen beide Titel eine ähnliche Behandlung erhalten wie die jüngste Neuauflage von The Elder Scrolls 4 – Oblivion . Gemeint ist keine bloße optische Überarbeitung, sondern eine umfassende Modernisierung auf aktueller technischer Basis, die Darstellung und Bedienung an heutige Standards anpasst.
Aus heutiger Sicht entsprechen beide Spiele in vielen Bereichen nicht mehr dem aktuellen technischen Ansprüchen. Eine Neuauflage böte die Möglichkeit, die Titel zeitgemäß aufzubereiten und sie ohne grundlegende inhaltliche Eingriffe an heutige Plattformen anzupassen.
Konkrete Termine oder offizielle Ankündigungen existieren bislang nicht, Spekulationen über Neuauflagen von Fallout 3 und Fallout: New Vegas gibt es jedoch bereits seit Längerem. Ihren Ursprung haben sie in internen Dokumenten, die im September 2023 im Rahmen des Gerichtsverfahrens zwischen Microsoft und der US-Handelsaufsicht FTC öffentlich wurden. Eine auf 2020 datierte Roadmap listete unter anderem ein Remaster von Fallout 3.
Todd Howard hatte im November 2025 zudem erklärt , dass bei Bethesda derzeit rund 100 Personen am Fallout-Universum arbeiten. Offen blieb dabei, ob sich diese Aussage auf einen neuen Serienteil bezieht oder auf die seit einiger Zeit spekulierten Neuauflagen.
Die Beweggründe für diese Pläne liegen vor allem in der anhaltenden Popularität der Marke. Fallout erlebt seit dem Start der gleichnamigen Fernsehserie einen deutlichen Aufmerksamkeitsschub, der weit über die bestehende Spielerschaft hinausreicht. Die Serie hat das Universum einem neuen Publikum erschlossen und das Interesse an den Spielen spürbar belebt.
Gleichzeitig hat die Neuauflage von The Elder Scrolls 4 – Oblivion gezeigt, dass modernisierte Versionen alter Titel kommerziell funktionieren können. Die Kombination aus Nostalgie und zeitgemäßer Technik spricht sowohl langjährige Fans als auch Neueinsteiger an. Für Bethesda ergibt sich daraus ein Modell, mit dem sich die eigene Historie nutzen lässt, ohne jahrelang auf neue Hauptteile warten zu müssen.
Hinzu kommt die lange Entwicklungszeit neuer Großprojekte. The Elder Scrolls 6 liegt wohl noch in weiter Ferne, ein Fallout 5 ist ebenfalls nicht absehbar. Neuauflagen von Fallout 3 und New Vegas könnten diese Lücke schließen, die Marke präsent halten und den aktuellen Rückenwind nutzen, um neue Spieler in die Spielwelt zu ziehen.
Der Anbieter der Cloudplattform Owncloud hat eine Warnung vor laufenden Angriffen herausgegeben , bei denen Daten aus mehreren selbst gehosteten Owncloud-Instanzen erbeutet wurden. Beobachtet wurden die Attacken von Sicherheitsforschern von Hudson Rock. Der Angreifer bediente sich laut Warnmeldung allerdings keiner Sicherheitslücke in Owncloud , sondern nutzte lediglich gültige Passwörter.
Den Angaben zufolge basiert die Angriffswelle auf erfolgreichen Infostealer-Infektionen. Durch Malware-Varianten wie Redline, Lumma und Vidar konnte der Angreifer Zugangsdaten von Mitarbeitern verschiedener Organisationen abgreifen, um anschließend auf deren Filesharing- und Cloudsysteme zuzugreifen.
Die Anmeldung mit diesen Zugangsdaten war jedoch in den beobachteten Fällen nur möglich, weil es bei den betroffenen Konten keinerlei Multi-Faktor-Authentifizierung (MFA) gab. Der Angreifer brauchte also für die Anmeldung nichts weiter als von der jeweiligen Infostealer-Malware erbeutete Nutzernamen und Passwörter. Anschließend konnte er massenhaft Daten ausleiten.
Owncloud drängt vor diesem Hintergrund darauf, auf sämtlichen Instanzen unverzüglich die Multi-Faktor-Authentifizierung zu aktivieren. Zudem sollten Administratoren auf die Durchsetzung starker Passwörter achten, Zugriffsprotokolle auf verdächtige Aktivitäten untersuchen und sämtliche aktive Sitzungen trennen, so dass alle Nutzer sich mit aktiver MFA neu authentifizieren müssen.
Weitere Details zu den beobachteten Attacken sind in einem Bericht von Hudson Rock zu finden. Der Angreifer tritt demnach online unter den Pseudonymen Zestix und Sentap auf und soll Daten von etwa 50 großen Organisationen aus verschiedenen Branchen erbeutet haben. Auch Zugänge für Sharefile- und Nextcloud-Instanzen wurden für den umfangreichen Datendiebstahl missbraucht.
Eine Liste der betroffenen Organisationen ist am Ende des Berichts der Hudson-Rock-Forscher zu finden – inklusive der jeweils erbeuteten Datenmenge sowie Angaben zur Art der abgeflossenen Daten. Zestix bietet die Datensätze wohl im Darknet zum Verkauf an.
FreshRSS