Digitale Rasterfahndung: Regierung stimmt für Biometrie-Abgleich und KI-Analysen
Von Heise — 29. April 2026 um 16:32
(Bild: Fractal Pictures/Shutterstock.com)
Die Bundesregierung will BKA und Bundespolizei die automatisierte Rasterfahndung im Netz erlauben. Kritiker warnen vor Massenüberwachung.
Das Bundeskabinett hat am Mittwoch ein Gesetzespaket auf den Weg gebracht, das die Befugnisse der Sicherheitsbehörden im digitalen Raum deutlich ausweitet. Unter der Federführung des Innen- und des Justizministeriums sollen das Bundeskriminalamt (BKA), die Bundespolizei sowie das Bundesamt für Migration und Flüchtlinge künftig Technologien wie Künstliche Intelligenz und automatisierte biometrische Abgleiche nutzen dürfen.
Damit will die Regierung auf die technologische Entwicklung reagieren. Bisher mussten Beamte soziale Netzwerke oft händisch nach Fotos von Tatverdächtigen durchsuchen. Ein mühsamer Prozess, der nun durch Automatisierung ersetzt werden soll.
Im Zentrum der Neuregelungen der drei Entwürfe [1], die auf umstrittenen Referentenvorlagen der führenden Ressorts aufbauen [2], stehen Änderungen an der Strafprozessordnung. Der neue Paragraf 98d StPO soll die Basis für einen automatisierten biometrischen Online-Bildabgleich bieten. Erlaubt würde damit eine Rasterfahndung mit biometrischen Daten aus einem laufenden Verfahren und öffentlich zugänglichen Informationen im Internet. Ermittler könnten künftig Fotos von Verdächtigen automatisiert mit Bildern in sozialen Medien abgleichen, um Identität oder Aufenthaltsort festzustellen.
Keine dauerhafte Bilddatenbank?
Die Regierung betont, dass kein Aufbau einer dauerhaften staatlichen Bilddatenbank erfolge und Echtzeit-Überwachungen über öffentliche Webcams ausgeschlossen bleibe. Experten halten diese Einschränkungen für eine Farce: Ein automatisierter Abgleich von Millionen Web-Bildern in Sekundenbruchteilen sei technisch unmöglich, ohne vorher eine strukturierte, durchsuchbare Datenbasis aller verfügbaren Gesichter anzulegen. Die Maßnahme ist an den Verdacht einer Straftat von „erheblicher Bedeutung“ geknüpft, was als dehnbar gilt. Sie bedarf nun einer richterlichen Anordnung, während zunächst eine Ansage eines Staatsanwalts hätte ausreichen sollen.
Zweiter Pfeiler der Reform ist die automatisierte Datenanalyse nach § 98e StPO. Dabei geht es darum, bisher isolierte Polizeidatenbanken miteinander zu vernetzen und mittels Analysesoftware zu durchleuchten, um Querverbindungen zwischen Verfahren schneller zu erkennen.
Justizministerin Stefanie Hubig (SPD) unterstrich: Es wäre fahrlässig, den Behörden solche Instrumente vorzuenthalten. Sie versicherte, dass Entscheidungen weiterhin von Menschen und nicht von KI-Systemen getroffen würden. IT-Systeme dürften künftig aber auch mit Echtdaten aus polizeilichen Beständen trainiert werden, um die Leistungsfähigkeit der Algorithmen zu steigern.
Zweifel an Verfassungsmäßigkeit
Ein Bündnis aus 14 zivilgesellschaftlichen Organisationen wie dem Chaos Computer Club (CCC) und AlgorithmWatch warnte vorab vor einem Paradigmenwechsel hin zur Massenüberwachung [3]. Sie monierten, dass die neuen Befugnisse das Ende der Anonymität im öffentlichen Raum bedeuten könnten. Besonders die Möglichkeit, biometrische Scans im gesamten Internet durchzuführen, wäre ein massiver Grundrechtseingriff. Die Kritiker weisen darauf hin, dass Ermittler Dienste wie Clearview AI oder PimEyes nutzen dürften, was die staatliche Kontrolle über sensible Daten gefährde.
Konstantin von Notz, Vizefraktionschef der Grünen, sieht den Rechtsstaat in Gefahr: Die geplanten Instrumente beträfen „keineswegs nur Personen im direkten Fokus von Sicherheitsbehörden, sondern potenziell alle, auch gänzlich unbescholtene Bürger“. Er wirft dem Innenministerium vor, den Schutz der Bürger zu vernachlässigen, und stellt die Verfassungsmäßigkeit der Entwürfe infrage. Besonders der Versuch, europäische Bürgerrechte durch die Auslagerung von Datenabgleichen ins Ausland zu umgehen, sei ein heikles Manöver.
Lex Palantir und die nationale Sicherheit
Verknüpft mit der Chiffre der automatisierten Datenanalyse ist die Sorge vor einem Lex Palantir. Die Zivilgesellschaft bemängelt, dass die Gesetze die rechtlichen Voraussetzungen für den Einsatz dieser Software schaffen, was zu einer technologischen Abhängigkeit von einem US-Konzern mit „demokratiefeindlicher Agenda“ führe. Von Notz nennt den potenziellen Einsatz von Palantir „maximal fahrlässig“. Statt die föderalen IT-Systeme der Polizei zu modernisieren, würden Rückstände mit intransparenten Algorithmen übertüncht.
Bürgerrechtler halten die Maßnahmen auch für unvereinbar mit der KI-Verordnung der EU [4], die biometrische Fernidentifizierung streng reglementiert. Es dürfe nicht sein, dass jedes Selfie im Netz potenziell zum Futter für die Analysesoftware der Sicherheitsbehörden wird. Das Paket, gegen das eine Petition mit bereits über 140.000 Unterschriften läuft [5], wandert nun in Bundestag und Bundesrat.
URL dieses Artikels: https://www.heise.de/-11276905
IT-Sicherheitsplattform: Anreifer können Wazuh kompromittieren
Von Heise — 29. April 2026 um 14:20
(Bild: Alfa Photo / Shutterstock.com)
In der aktuellen Wazuh-Version haben die Entwickler mehrere Schwachstellen geschlossen. Es kann Schadcode auf Systeme gelangen.
Die Extended-Detection-and-Repsonse- (XDR) und Security-Information-and-Event-Management-Plattform (SIEM) Wazuh ist verwundbar. Angreifer können die Open-Source-Anwendung über insgesamt fünf Sicherheitslücken attackieren.
Im Anschluss ist es den Entwicklern zufolge möglich, dass Angreifer Python-Module manipulieren, die dann verschiedene Wazuh-Komponenten laden. So kann es zur Ausführung von Schadcode kommen. Im Anschluss gelten Systeme als kompromittiert.
Die verbleibenden Sicherheitslücken sind mit „mittel“ eingestuft. Darüber kann es etwa zu Abstürzen kommen (unter anderem CVE-2026-41499). Die Entwickler versichern, die Sicherheitsprobleme in der Ausgabe 4.14.4 gelöst zu haben. Bislang gibt es keine Berichte, dass Angreifer bereits Instanzen attackieren.
URL dieses Artikels: https://www.heise.de/-11276206
GitHub und GitHub Enterprise Server: Codeschmuggel per Push
Von Heise — 29. April 2026 um 13:58
(Bild: Sundry Photography/Shutterstock.com)
In GitHub und GitHub Enterprise Server können Angreifer mit Push-Rechten auf Repositories Schadcode einschleusen. Updates korrigieren das.
Eine Lücke mit eingebautem Ohrwurm „Push it“ von Salt-N-Pepa: Angreifer mit push-Berechtigung auf einem oder mehreren Repositories können einem GitHub Enterprise Server (und GitHub.com) Schadcode aus dem Netz unterjubeln. Dazu genügte ein Standard-git-Client.
Die IT-Forscher von Wiz haben die Lücke entdeckt und erörtern sie in einem Blog-Beitrag [1]. Durch das Ausnutzen eines Injection-Fehlers in den internen GitHub-Protokollen konnte jeder authentifizierte Nutzer beliebige Befehle auf den Backend-Servern von GitHub ausführen, mit einem einzigen „git push“-Befehl. Wenig überraschend merken die Wiz-Forscher an, dass sie die Schwachstelle mit Zuhilfenahme von KI aufgespürt haben. Auf GitHub.com konnten sie Schadcode aus dem Netz auf geteilten Storage-Nodes ausführen. Auf GitHub Enterprise Server ließ sich der Server vollständig kompromittieren, einschließlich des Zugriffs auf alle gehosteten Repositories und internen Geheimnisse.
CVE-Eintrag mit knapper Fehlerbeschreibung
GitHub hat einen CVE-Schwachstelleneintrag [2] dazu veröffentlicht. Demnach basiert die Schwachstelle auf unzureichender Filterung spezieller Elemente, die in Nutzeranfragen als Optionen zum push-Befehl übertragen werden. Sie wurden in interne Service-Header übernommen. Da diese Header ein Trennzeichen enthalten können, das auch in Nutzereingaben vorkommen kann, konnten Angreifer zusätzliche Metadaten-Felder mit manipulierten push-Optionen einschleusen (CVE-2026-3854 [3], CVSS4 8.7, Risiko „hoch“). Die Schwachstelle wurde über das Bug-Bounty-Programm gemeldet – ob es eine Prämie gab und in welcher Höhe, schreibt GitHub nicht. Aufgrund einer Schwemme von mit KI-Hilfe generierten Schwachstellenmeldungen gehen zunehmend Projekte dazu über, keine Prämien [4] mehr auszuzahlen.
GitHub.com habe innerhalb von sechs Stunden nach der Fehlermeldung reagiert und die Sicherheitslücken geschlossen, führen die IT-Forscher von Wiz aus. Zudem haben die Programmierer die Patches für alle unterstützten GitHub-Enterprise-Server-Fassungen veröffentlicht. Eine CVE-Schwachstellennummer mit Beschreibung folgte ebenso schnell. Wiz merkt an, dass zu dem Zeitpunkt der Veröffentlichung des Blog-Beitrags im Laufe des Dienstags noch 88 Prozent der GitHub-Enterprise-Server-Instanzen für die Sicherheitslücke anfällig waren.
IT-Verantwortliche sollten ihre GitHub-Enterprise-Server-Instanzen daher auf die fehlerkorrigierten Stände aktualisieren. GitHub hat die Fehler in diversen Versionen des Enterprise-Servers geschlossen: 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4 und 3.20.0 (oder neuer). Die Schwachstellenbeschreibung auf GitHub nennt zudem noch die direkten Vorgängerversionen, Admins sollten jedoch laut GitHub-Blog-Beitrag [5] auf die noch jüngeren Versionen aktualisieren. GitHub weist zudem darauf hin, dass die Sicherheitslücke bislang noch nicht in Angriffen missbraucht wurde.
URL dieses Artikels: https://www.heise.de/-11276584
Canonical möchte KI-Funktionen in Ubuntu integrieren. Dabei sollen lokal installierte Sprachmodelle zum Einsatz kommen.
Jon Seager, VP of Engineering bei Canonical, hat in seinem Beitrag The future of AI in Ubuntu [1] erläutert, wie Canonical KI in kommende Ubuntu-Versionen integrieren möchte. Dabei sollen lokal installierte Open-Weight-Modelle zum Einsatz kommen, um bestehende Funktionen wie Speech-to-Text für Barrierefreiheit zu verbessern und neue KI-Funktionen wie Unterstützung bei Fehlern und Automatisierungen durch agentische Workflows einzuführen. Auch kontextsensitive Hilfen etwa bei der Fehlersuche oder bei komplexen Aufgaben sind angedacht.
Schon die aktuelle LTS-Version Ubuntu 26.04 [2] erleichtert die Nutzung von lokaler KI: Entwickler können die KI-Stacks für Nvidia- und AMD-Hardware (CUDA und ROCm) mit einem einfachen apt-Befehl aus den Standard-Paketquellen installieren. Dazu kommen die Inference Snaps [3], mit denen sich eine Reihe von KI-Modellen einfach lokal installieren lassen, darunter das multimodale KI-Modell Qwen VL, das Reasoning-Modell DeepSeek R1, das offene Google-Modell Gemma 3 sowie die Nvidia-Modelle Nemotron 3 Nano und Nemotron 3 Nano Omni. Das System soll dabei das gewünschte Modell in einer Variante und Quantisierung installieren, die zur eigenen Hardware passt. Dazu arbeitet Canonical mit CPU- und GPU-Herstellern zusammen. Wie alle Snaps laufen die KI-Modelle in einer Sandbox mit beschränktem Zugriff aufs System.
Positive Reaktionen aus der Community
Die Community-Reaktionen auf Seagers Beitrag sind überwiegend positiv. Die Ubuntu-Nutzer loben den maßvollen Einsatz von KI und den Verzicht darauf, KI-Funktionen aufzudrängen. Der Einsatz lokaler Modelle statt der großen KI-Modelle aus der Cloud wird begrüßt – auch wenn auf vielen Notebooks und PCs nur kleine, weniger leistungsfähige Modelle laufen.
In einem späteren Beitrag [4] stellt Seager klar, dass alle integrierten KI-Funktionen in Ubuntu als deinstallierbare Snaps eingerichtet werden sollen – Anwender, die sie nicht nutzen wollen, können sie also einfach loswerden. In Ubuntu 26.10 soll es eine erste Preview der KI-Funktionen als Opt-in geben, Anwender müssen also explizit zustimmen. Später könnte die Frage nach KI-Nutzung in den Installer integriert werden. Man wolle niemanden KI aufzwingen. Seager betonte nochmals, dass die Pläne ausschließlich den Einsatz lokal installierter Sprachmodelle vorsehen.
URL dieses Artikels: https://www.heise.de/-11276449
Visual Studio 2026 erhält Cloud-Agenten-Integration
Von Heise — 29. April 2026 um 14:23
(Bild: Wit Olszewski / Shutterstock.com)
Dank Cloud-Agenten lassen sich Remote-Coding-Sessions nun aus der IDE heraus starten, und die Code-Editierungswerkzeuge für C++ sind allgemein verfügbar.
Microsoft hat seine Entwicklungsumgebung Visual Studio 2026 mit dem April-Update versehen, das die Cloud-Agenten-Integration einführt. Weitere Updates betreffen die C++-Entwicklung, benutzerdefinierte Agenten und die Verwendung von IntelliSense.
Updates für GitHub Copilot
Im neuen Release können Visual-Studio-User neue Remote-Coding-Sessions direkt aus der Entwicklungsumgebung heraus starten. Dazu wählen sie Cloud aus dem Agenten-Picker im Chatfenster und spezifizieren ihre Anforderungen. Daraufhin beginnt der Workflow mit der Rückfrage um Erlaubnis, ein Issue im Repository anlegen zu dürfen, und der Cloud-Agent bereitet einen entsprechenden Pull Request vor. Währenddessen können Nutzerinnen und Nutzer weiter in Visual Studio arbeiten oder die IDE schließen. Sie erhalten eine Benachrichtigung, sobald der Pull Request bereit zur Ansicht ist.
Cloud-Agenten laufen auf Remote-Infrastruktur und sollen eine skalierbare, isolierte Ausführung ermöglichen. Dahinter steht GitHub Copilot, sodass sich die Nutzerinnen und Nutzer in einem GitHub-Repository befinden müssen, in dem Copilot die Befugnis zum Erstellen von Issues besitzt.
Seit dem März-Update [1] lassen sich zudem in Visual Studio benutzerdefinierte Agenten mit Repository-basierten .agent.md-Dateien erstellen. Nun wurde diese Funktion um User-Level-Agenten erweitert, die sich über unterschiedliche Projekte hinweg nutzen lassen. Sie werden standardmäßig in %USERPROFILE%/.github/agents/ gespeichert.
Neuerungen für C++ und IntelliSense
Die C++-Codeeditierungs-Tools für GitHub Copilot sind nun allgemein verfügbar. Das ermöglicht es dem Copiloten, mit Class-Inheritance-Hierarchien umzugehen und beim Refaktorieren oder Modifizieren von Code Function-Call-Ketten zu folgen. Hierzu müssen Entwicklerinnen und Entwickler ein C++-Projekt mit konfiguriertem IntelliSense öffnen und die C++-Tools im Copilot-Chat aktivieren:
Aktivierung der C++-Tools in Visual Studio: get_symbol_call_hierarchy und get_symbol_class_hierarchy.
(Bild: Microsoft)
Ein weiteres Update betrifft die allgemeine Verwendung des Codevervollständigungs-Tools IntelliSense. Bisher konnten User sowohl die Vorschläge von IntelliSense als auch von Copilot gleichzeitig sehen, was laut Feedback ablenkend sein konnte. Daher priorisiert der Editor nun die IntelliSense-Vervollständigungsliste und unterdrückt Copilot-Vorschläge. Nach dem Annehmen oder Ablehnen der IntelliSense-Auswahl erscheinen automatisch die Copilot-Vorschläge.
GitHub und GitHub Enterprise Server: Codeschmuggel per Push
Von Heise — 29. April 2026 um 13:58
(Bild: Sundry Photography/Shutterstock.com)
In GitHub und GitHub Enterprise Server können Angreifer mit Push-Rechten auf Repositories Schadcode einschleusen. Updates korrigieren das.
Eine Lücke mit eingebautem Ohrwurm „Push it“ von Salt-N-Pepa: Angreifer mit push-Berechtigung auf einem oder mehreren Repositories können einem GitHub Enterprise Server (und GitHub.com) Schadcode aus dem Netz unterjubeln. Dazu genügte ein Standard-git-Client.
Die IT-Forscher von Wiz haben die Lücke entdeckt und erörtern sie in einem Blog-Beitrag [1]. Durch das Ausnutzen eines Injection-Fehlers in den internen GitHub-Protokollen konnte jeder authentifizierte Nutzer beliebige Befehle auf den Backend-Servern von GitHub ausführen, mit einem einzigen „git push“-Befehl. Wenig überraschend merken die Wiz-Forscher an, dass sie die Schwachstelle mit Zuhilfenahme von KI aufgespürt haben. Auf GitHub.com konnten sie Schadcode aus dem Netz auf geteilten Storage-Nodes ausführen. Auf GitHub Enterprise Server ließ sich der Server vollständig kompromittieren, einschließlich des Zugriffs auf alle gehosteten Repositories und internen Geheimnisse.
CVE-Eintrag mit knapper Fehlerbeschreibung
GitHub hat einen CVE-Schwachstelleneintrag [2] dazu veröffentlicht. Demnach basiert die Schwachstelle auf unzureichender Filterung spezieller Elemente, die in Nutzeranfragen als Optionen zum push-Befehl übertragen werden. Sie wurden in interne Service-Header übernommen. Da diese Header ein Trennzeichen enthalten können, das auch in Nutzereingaben vorkommen kann, konnten Angreifer zusätzliche Metadaten-Felder mit manipulierten push-Optionen einschleusen (CVE-2026-3854 [3], CVSS4 8.7, Risiko „hoch“). Die Schwachstelle wurde über das Bug-Bounty-Programm gemeldet – ob es eine Prämie gab und in welcher Höhe, schreibt GitHub nicht. Aufgrund einer Schwemme von mit KI-Hilfe generierten Schwachstellenmeldungen gehen zunehmend Projekte dazu über, keine Prämien [4] mehr auszuzahlen.
GitHub.com habe innerhalb von sechs Stunden nach der Fehlermeldung reagiert und die Sicherheitslücken geschlossen, führen die IT-Forscher von Wiz aus. Zudem haben die Programmierer die Patches für alle unterstützten GitHub-Enterprise-Server-Fassungen veröffentlicht. Eine CVE-Schwachstellennummer mit Beschreibung folgte ebenso schnell. Wiz merkt an, dass zu dem Zeitpunkt der Veröffentlichung des Blog-Beitrags im Laufe des Dienstags noch 88 Prozent der GitHub-Enterprise-Server-Instanzen für die Sicherheitslücke anfällig waren.
IT-Verantwortliche sollten ihre GitHub-Enterprise-Server-Instanzen daher auf die fehlerkorrigierten Stände aktualisieren. GitHub hat die Fehler in diversen Versionen des Enterprise-Servers geschlossen: 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4 und 3.20.0 (oder neuer). Die Schwachstellenbeschreibung auf GitHub nennt zudem noch die direkten Vorgängerversionen, Admins sollten jedoch laut GitHub-Blog-Beitrag [5] auf die noch jüngeren Versionen aktualisieren. GitHub weist zudem darauf hin, dass die Sicherheitslücke bislang noch nicht in Angriffen missbraucht wurde.
URL dieses Artikels: https://www.heise.de/-11276584
Mehr als 1,4 Gigawatt: Riesige Batteriespeicher am ehemaligen AKW Grohnde
Von Heise — 29. April 2026 um 15:26
Mindestens 1,4 Gigawatt Leistung und 6 GWh Kapazität: Der Energiecluster Emmerthal soll mehr leisten als einst das AKW Grohnde und liegt an großen Stromtrassen.
2021 wurde das niedersächsische Kernkraftwerk Grohnde an der Weser stillgelegt. Nun wächst unmittelbar daneben der Energiecluster Emmerthal mit drei sehr großen Batteriespeichern, Freiflächen-Photovoltaikanlagen, einem neuen Umspannwerk für mehrere 380-Kilovolt-Hochspannungsleitungen und Anschluss an die geplante Stromtrasse RheinMainLink.
Die Orte Grohnde und Kirchohsen an der Weser gehören zur Gemeinde Emmerthal. Diese hat beschlossen, im „Energiecluster Emmerthal [1]“ bis zu drei Batteriespeichersysteme (BESS) auf maximal 35 Hektar Fläche zu genehmigen.
Laut öffentlichen Unterlagen der Gemeinde haben drei BESS-Projekte der Betreiber Green Energy Storage Initiative (GESI), FRV und Elements Green bereits Zusagen für ihre jeweiligen Netzanschlüsse erhalten.
Der Anschluss an große Stromtrassen erfolgt über das neue Umspannwerk (UW) Emmerthal [2], das der Netzbetreiber TenneT baut. Es ersetzt das bisherige UW Grohnde, dessen Leistung nicht mehr ausreicht. Das UW Emmerthal koppelt zwei 380-kV-Stromtrassen, die auch noch verstärkt werden sollen, mit mehreren 110-kV-Leitungen sowie mit der zukünftigen Stromtrasse RheinMainLink [3].
Der RheinMainLink läuft in dieser Region parallel zum bereits im Bau befindlichen SüdLink [4], der ebenfalls als 525-kV-Erdkabel mit Hochspannungs-Gleichstrom-Übertragung (HGÜ) ausgeführt wird. Die beiden Trassen liegen hier nur rund 19 Kilometer Luftlinie voneinander entfernt.
Offenbar hoffen die Betreiber von BESS in der Nähe der beiden neuen Nord-Süd-Stromtrassen darauf, Stromüberschüsse aus norddeutscher Windkraft billig einzukaufen und bei Bedarf bis nach Süddeutschland teurer verkaufen zu können.
Lageplan des Energieclusters Emmerthal, Stand 1. März 2025
(Bild: Gemeinde Emmerthal)
Wohl bis zu 1,87 Gigawatt Leistung
Die Betreiber GESI und FRV haben bereits relativ konkrete Pläne für ihre BESS im Energiecluster Emmerthal veröffentlicht. GESI will Container mit Lithium-Eisenphosphat-(LiFePo-)Akkus aufstellen, die zusammen 3,84 Gigawattstunden (GWh) Energie speichern und bis zu 870 Megawatt (MW) Leistung abgeben. Man spricht von einer sogenannten 4-Stunden-Anlage, weil die komplette Entladung so lange dauern würde.
FRV plant ebenfalls ein 4-Stunden-System [5]: Das BESS „Grohnde III“ soll 2,4 GWh speichern und bis zu 600 MW abgeben. Es kooperiert mit einer 53 Hektar großen Freiflächen-PV-Anlage des Betreibers Solizer [6] in direkter Nähe, die eine Spitzenleistung von 72 MW (MWp) leisten soll. Wegen Änderungen an den Ausschreibungsbedingungen werden große Solarstromprojekte und Batteriespeicher zunehmend gemeinsam geplant. Schon die beiden BESS von GESI und FRV leisten mit 1,47 GW mehr als das ehemalige AKW Grohnde mit 1,36 GW netto.
Der britische Projektentwickler Elements Green hingegen nennt noch keine Daten zu Emmerthal. Elements Green will in Deutschland jedoch zwei Milliarden Euro investieren und baut unter anderem ein 400-MW-BESS in Elsfleth. Falls Elements Green auch in Emmerthal 400 MW baut, wird der Standort insgesamt 1,87 GW leisten und 7,8 GWh speichern.
Planung noch im Fluss
Wann konkret die Batteriespeichersysteme in Emmerthal den Betrieb aufnehmen, ist noch unklar. Die Betreiber nennen Jahreszahlen ab 2026. Das 25 Hektar große UW Emmerthal soll allerdings erst Ende 2030 fertig werden. RheinMainLink könnte ab 2033 eine Transportkapazität von etwa 8 GW bereitstellen. SüdLink (4 GW) hofft auf Abschluss der Bauarbeiten bis 2028.
Baustelle des Batteriespeichers von Kyon Energy bei Alfeld am 21. September 2025. Im Hintergrund das UW Godenau.
(Bild: Christof Windeck / heise medien)
Die jeweiligen Projektentwickler sind am Ende oft nicht die Betreiber eines BESS. So hat Allianz Global Investors (Allianz GI) kürzlich 51 Prozent von GESI gekauft. Das von Kyon Energy derzeit in Alfeld gebaute 137-MW-BESS [7] wurde wiederum an den dänischen Investor Obton verkauft. Es liegt am UW Godenau, rund 27 Kilometer Luftlinie entfernt vom Energiecluster Emmerthal und nahe der SüdLink-Trasse. Es ist allerdings über das UW Lamspringe an die neue 380-kV-Leitung Wahle-Mecklar angebunden.
Ursprünglich hatten auch die Firmen Hansa Battery und Kyon Energy zwei weitere, kleinere BESS in Emmerthal geplant, aber diese Pläne aufgegeben.
Der Energiecluster Emmerthal sieht auch Gewerbeflächen vor, um Betriebe anzusiedeln. Dabei will die Gemeinde lokale und mittelständische Unternehmen bevorzugen, um nicht zu viel zusätzlichen Straßenverkehr zu provozieren. Der nächste Autobahnanschluss an der A2 ist mehr als 30 Kilometer entfernt.
Stärkere Leiterseile
Der Netzbetreiber TenneT will die bestehenden 380-kV-Leitungen in der Region durch „Umbeseilung“ verstärken. Spezielle Aluminium-Stahl-Freileitungsseile vertragen nach Angaben des Anbieters Wiretec bis zu 150 Grad Celsius [8] und dadurch auch höhere Ströme. Damit soll die Strombelastbarkeit der „heißen Seile“ bei gleichem Durchmesser und ähnlichem Gewicht pro Kilometer um bis zu 50 Prozent höher liegen als bei alten Seilen. Zusätzlich kann demnach eine schwarze Beschichtung die Wärmeabstrahlung verbessern.
Vom bisherigen UW Grohnde führt unter anderem eine 90 Kilometer lange 380-kV-Verbindung zum Umspannwerk am ehemaligen Kohlekraftwerk Mehrum, das derzeit abgerissen wird. Dort sind ein großes Rechenzentrum [9], ebenfalls ein BESS sowie möglicherweise ein neues Gaskraftwerk geplant.
URL dieses Artikels: https://www.heise.de/-11276677
KI für Beweisformalisierung: Schönere Mathematik oder Kauderwelsch?
Von Tim Reinboth — 29. April 2026 um 15:30
Die KI von Math, Inc. erreicht Beeindruckendes. Aber ihr Erfolg kollidiert mit den Zielen einiger Mathematiker.
Über die Schönheit von Mathematik lässt sich streiten? Allerdings!Bild:
geralt/Pixabay
Dieser Golem-Plus-Text ist 24 Stunden lang frei verfügbar.
Die Firma Math, Inc. hat mit Einsatz von generativer KI einen preisgekrönten mathematischen Beweis formalisiert. Der Code der KI namens Gauss ist die erste Formalisierung eines Beweises, der die Field-Medaille gewonnen hat – auch bekannt als Nobelpreis der Mathematik. Damit knüpft Math, Inc. an eine alte Tradition an und stellt gleichzeitig viele neue Fragen.
Unter anderem, was aus einem Projekt wird, in dem ein Team den Beweis nicht nur formalisieren wollte. Denn Kevin Buzzard, Professor und Experte für mathematische Formalisierung am Imperial College London, und seine Kollegen wollten ihn "noch schöner machen" , um damit "ein brillantes Stück Mathematik" zu bewahren.
Die Zukunft von schlanken Beweisen
Beweise zu formalisieren, sei bisher "sehr langsam und anspruchsvoll gewesen" , sagt Chris Birkbeck, Doznet für Zahlentheorie an der Universität East Anglia. Das sei "bei Weitem mehr" , als von den meisten Mathematikern erwartet werden könne. Dank KI dauere so ein Projekt jetzt statt Jahren oft nur noch "Wochen oder Monate" .
Laut Birkbeck wäre es außerdem "eine großartige Sache" wenn Mathematiker in Zukunft jede neue Arbeit von KI formalisieren lassen könnten. Das wäre aus seiner Sicht der nächste Schritt in der Evolution der "Beweis-Assistenten" , also Programmen, die Mathematiker seit den 1960er Jahren verwenden, um zu prüfen, ob sie jede Annahme und jeden Schritt in einem Beweis belegt haben.
Einerseits bietet KI also viele Möglichkeiten. Bei genauerer Betrachtung ergeben sich aber Probleme.
Am Anfang waren Raleighs Kanonenkugeln
Bei dem Beweis, den Math, Inc. formalisiert hat, handelt es sich um eine Erweiterung der sogenannten Keplerschen Vermutung. Johannes Kepler stellte sie im Jahr 1611 auf, nachdem er Schneeflocken, Bienenwaben und Granatäpfel untersuchte. Fasziniert von deren natürlicher Struktur, spekulierte er, was die dichteste Art sei, Kugeln in drei Dimensionen anzuordnen.
Praktisch geht die Frage sogar noch weiter zurück, auf den englischen Mathematiker Thomas Harriot, der mit Kepler korrespondierte. Harriot kam auf die Idee mit den Kugeln, als er von Sir Walter Raleigh die Aufgabe erhielt, Kanonenkugeln möglichst platzsparend in dessen Schiffen zu verstauen . Mathematisch betrachtet, seien solche Probleme "sehr einfach zu beschreiben" , sagt Birkbeck. "Aber die Lösungen sind sehr knifflig."
Bildlich kann man sich eine rechteckige Box vorstellen, in die man möglichst viele Kugeln packen will. Kepler vermutete, dass es keinen besseren Weg gebe, als eine von zwei bestimmten Anordnungen abzuwandeln: entweder eine Pyramide aus Kugeln mit viereckiger oder mit hexagonaler Basis. Die sogenannte mittlere Dichte beider Anordnungen beträgt 74,05 Prozent. Das sei der größtmögliche Anteil der Kiste, den man jeweils mit Kugeln vollpacken könne, so die Vermutung.
Kepler konnte das aber nicht beweisen. Erst im Jahr 1998 gelang das dem US-Amerikaner Thomas Hales. Sein Beweis war jedoch so umfangreich, dass er dazu einen Computer verwenden musste: einen Vorfahren der heutigen KI-Beweis-Assistenten. Weil nicht mit hundertprozentiger Sicherheit festzustellen war, dass Hales' Code keine Fehler enthielt, akzeptierten nicht alle den Beweis.
Erst als dieser 2014 wiederum computergestützt formalisiert wurde, galt die Keplersche Vermutung in drei Dimensionen als bewiesen . Es war eines der ersten mathematischen Projekte, die mithilfe eines Computers formalisiert wurden. Diese Tradition setze Math, Inc. fort, sagt Birkbeck.
Aber Mathematiker wären keine Mathematiker, wenn sie sich keine Gedanken über höhere Dimensionen machen würden. So erhielt die ukrainische Mathematikerin Maryna Viazovska im Jahr 2022 die Fields-Medaille , weil sie zeigte, dass Kugeln auch in acht Dimensionen nicht mehr als 74,05 Prozent Prozent eines Volumens einnehmen können.
Später bewies sie dasselbe auch in 18 Dimensionen – in allen anderen Dimensionen bleibt die Keplersche Vermutung genau das: nur eine Vermutung.
Gauss liefert zwei Datenpunkte
Math, Inc. hat Viazovkas Beweise formalisiert. Das bedeutet, es wurde auf eine Art, die von Computern interpretiert werden kann, gezeigt, dass der Beweis wirklich stimmt. Bei Hales' ursprünglichem Beweis war das nötig, um zu belegen, dass sein Code keine Fehler enthielt. Bei Viazovkas Beweisen hingegen habe es "keine Zweifel an deren Richtigkeit" gegeben, sagt Buzzard. "Deswegen hat sie die Fields-Medaille gewonnen."
In diesem Fall liegt der Sinn der Formalisierung also nicht darin, zu zeigen, dass der Beweis stimmt. Vielmehr biete die Formalisierung Datenpunkte, sagt Buzzard. Erstens, dass Beweis-Assistenten Mathematik formalisieren können, die komplex genug ist, eine Fields-Medaille zu verdienen.
Zweitens, dass KI gestützte Werkzeuge unter den richtigen Voraussetzungen in der Lage sein können, einen entsprechenden Beweis automatisch zu formalisieren. Der Einsatz von KI, sagt Birkbeck, habe es erlaubt, den Beweis "viel schneller zu formalisieren, als wir erwartet haben" . Das belege auch wie mächtig die Programmiersprache Lean geworden sei, speziell deren Library Mathlib, die sowohl Birkbeck als auch Buzzard maintainen und entwickeln.
Birkbeck äußert aber auch Bedenken. Er mache sich Sorgen, dass jemand sich das Projekt von Math, Inc. ansehe und denke, KI habe sämtliche Matheprobleme oder die Formalisierung gelöst. Dabei sei es immer noch "entscheidend, dass Menschen diese KI-Werkzeuge lenken" . Sich nur auf den KI-Teil zu konzentrieren, ignoriere die Arbeit, die viele Mathematiker im Voraus hätten leisten müssen, damit der Beweis formalisiert werden konnte.
Außerdem sei der Code, den Gauss produziere, "weit unter dem, was Menschen können" . Sein ursprünglicher Beweis bestand aus 500.000 Zeilen , und selbst nach umfangreichem Refactoring, das ihn auf 200.000 Zeilen reduzierte, sei dieser Code "viel schwieriger zu maintainen" als guter von Menschen geschriebener Code.
Es muss nur der Code kompilieren
Andere Experten sehen kaum Hoffnung, das Forschungsgebiet Formalisierung vor KI-Firmen zu bewahren. So sieht das zum Beispiel Patrick Massot, Professor am Laboratoire de Mathématiques d'Orsay der Universität Paris-Saclay und einer der Begründer der modernen Formalisierung.
Massot schrieb in einem öffentlichen Online-Lean-Forum , KI-Firmen und "insbesondere Math, Inc." würden Formalisierung durch automatische generierte Beweise "in ein riesiges radioaktives Niemandsland verwandeln, auf dem nie wieder Leben gedeihen kann" . Jungen Mathematikern riet er bereits jetzt, sich lieber Projekte in anderen Bereichen zu suchen.
Denn Mathematikerinnen und Mathematiker erhalten aktuell wenig Ansehen oder Fördergelder, wenn sie etwas als Zweite machen. Selbst wenn der erste Beweis aus kaum verständlichem, KI-generierten Code besteht: "Solange der Code kompiliert" , sagt Buzzard, gelte die Sache als erledigt.
Formalisieren kann mehr als Beweis sein
Dabei wollten Buzzard und Kollegen "mehr als nur schauen, ob [Viazovskas] Beweis korrekt ist" . Ihre Formalisierung sollte eine "interaktive Blaupause" werden: eine Kombination aus Lean-Code und für Menschen verständlicher Mathematik. Das sollte den Beweis "noch schöner" machen und mehr Menschen einen Weg eröffnen, ihn besser zu verstehen.
In Why Formalize (PDF) schreibt Massot, der Traum der Formalisierung sei ein mathematisches Dokument, in dem Leser dynamisch verändern könnten, wie viele Details sie sehen und auf welches Hintergrundwissen sie zugreifen möchten. Mit so einer Formalisierung könnten sich auch Nicht-Experten in Viazovskas hochgradig komplexen Beweis einarbeiten. Aus Gauss' Kauderwelsch werde hingegen niemand schlau, sagt Buzzard.
"Aber überlegen Sie mal" , fragt er, "was mit der Motivation [des Blaupause-Teams] passiert, jetzt, wo eine Tech-Firma eine Formalisierung im Internet veröffentlicht?"
Aus KI das Beste machen
Tatsächlich sind nicht nur Gauss und der Einsatz von KI umstritten. Auch der immer höhere Stellenwert von Formalisierungen an sich könnte langfristig verändern, welche Mathematik Menschen machen . Und nicht alle Mathematiker sind darüber glücklich.
Einige befürchten, die Mathematik fokussiere sich heute zu einheitlich und zu stark auf bestimmte Teilgebiete
Diesen Trend könnte Gauss noch beschleunigen. Und zwar bisher ohne einen der großen Vorteile von üblichen Formalisierungen. Denn die ursprüngliche Idee war, jeden logischen Schritt und Gedanken in einem Beweis nachvollziehbar zu machen – so ähnlich retteten junge Mathematiker bereits einige archaische Beweise, die kaum ein lebender Mensch noch verstand .
Gauss' Beweis kann aber erst mal niemand verstehen. Und darum geht es auch gar nicht. Es ist eine von Computern lesbare, vollständige Dokumentation Viazovskas preisgekrönter Arbeit. Das zu schaffen, ist beeindruckend, und es hat Menschen viel Zeit gespart. Aber es wirft auch Fragen auf, wie man aus solchen Errungenschaften das Beste für die mathematische Community macht.
Tim Reinboth ist freiberuflicher Wissenschaftsjournalist und Kognitionswissenschaftler. Er schreibt über Herausforderungen, Möglichkeiten und kuriose Momente an den Schnittstellen von Technologie und Gesellschaft.
Dieser Artikel erscheint bei Golem Plus, weil ...
... er ein aktuelles Spannungsfeld beleuchtet: den Durchbruch KI-gestützter Beweisformalisierung am Beispiel der Fields-Medaillen-Arbeit von Maryna Viazovska – und die damit verbundenen Folgen für die Mathematik als Disziplin. Gleichzeitig bietet er Einblicke in eine kontroverse Debatte unter Fachleuten wie Kevin Buzzard, die über die Zukunft von Beweisen, Verständlichkeit und wissenschaftlichem Ansehen streiten.
Codex & Agenten: OpenAI kommt in Amazons Cloud-Ökosystem
Von Johannes Hiltscher — 29. April 2026 um 15:15
Eine Vereinbarung mit Microsoft hat den Schritt vorbereitet. OpenAI hofft, über AWS neue Kunden zu gewinnen – das Angebot zielt auf Unternehmen.
OpenAI-Schriftzug neben AWS-LogoBild:
OpenAI
Microsofts Clouddienst Azure und OpenAI waren lange untrennbar verbunden. Doch das KI-Unternehmen will insbesondere neue Unternehmenskunden gewinnen und stellt sich dafür breiter auf. Als größter Cloudanbieter ist Amazon Web Services (AWS) da besonders interessant. Wie die beiden Unternehmen mitteilten , können künftig OpenAIs Modelle auch über den Dienst Bedrock von AWS genutzt werden.
Neben der Verfügbarkeit der aktuellen OpenAI-Modelle inklusive ChatGPT 5.4 und 5.5 sowie Codex über die Bedrock-API werden noch Agenten besonders hervorgehoben. Ein neues Angebot mit dem sperrigen Namen Amazon Bedrock Managed Agents powered by OpenAI soll das Erstellen von Agenten vereinfachen. Es baut auf AWS Agentcore auf, bringt aber OpenAI-spezifische Anpassungen der Laufzeitumgebung mit. Das soll die Konfiguration weiter vereinfachen.
Für AWS-Kunden soll durch die Bedrock-Integration die Nutzung von OpenAI-Modellen leichter werden. Sie vereinfacht die Kombination mit anderen AWS-Diensten, was für die Managed Agents großzügig genutzt wird. Aktuell sind die neuen Bedrock-Angebote lediglich als beschränkte Vorschau verfügbar. Hierfür ist eine Anmeldung erforderlich, wann diese Einschränkung aufgehoben wird, steht noch nicht fest.
Einnahmen aufgeben, um neue Einnahmen zu generieren
Dadurch erhält OpenAI keine Umsatzbeteiligung von Microsoft mehr, umgekehrt wird diese auf 20 Prozent gedeckelt. OpenAI geht hierdurch ein gewisses Risiko ein, da nicht sicher absehbar ist, ob die Einnahmen über AWS den Wegfall der Einnahmen durch Microsoft kompensieren. Seine eigenen Dienste wird OpenAI weiter bei Azure betreiben, die Partnerschaft mit Microsoft bleibt also weiter eng.
(g+) Haptik, Gesten und neuronale Implantate: Wenn Computer fühlbar werden
Von Klaus Manhart — 29. April 2026 um 15:00
Haptik, Gesten und Neurotechnologie reduzieren die Grenzen zwischen Mensch und Maschine – und machen digitale Systeme fühlbar, greifbar und direkt steuerbar.
Eine Herz-OP 2025 an der Berliner Charité mit dem Da-Vinci-Roboter, der haptisches Feedback gibtBild:
Reuters
Über Jahrzehnte hinweg war unsere Interaktion mit Computern auf die Zweidimensionalität von Bildschirmen und das mechanische Klicken von Tastatur plus Maus beschränkt – eine klare Trennung zwischen Mensch und Maschine. Neue Mensch-Maschine-Schnittstellen lösen die Grenze zwischen dem digitalen Raum und dem physischen Körper mehr und mehr auf. Haptische Rückkopplungssysteme lassen uns virtuelle Objekte greifen, als wären sie physisch präsent, während hochpräzise Gestensteuerung die Notwendigkeit klassischer Eingabegeräte komplett wegfallen lässt. Brain-Computer-Interfaces (BCIs) schließlich greifen direkt auf neuronale Signale zu und machen das Nervensystem selbst zur Schnittstelle.
Für IT-Systeme entstehen dadurch völlig neue Formen der Interaktion – und Anwendungen. Dieser dritte Teil der Serie beleuchtet, wie sich der physische Kontakt mit digitalen Systemen verändert, welche technologischen Grundlagen dahinterstecken und welche realen Einsatzszenarien bereits heute genutzt werden.
Der beliebte Editor Notepad++ ist jetzt auch als native macOS-Version verfügbar.
(Bild: Notepad++ Projekt)
Eine unabhängige Community hat Notepad++ als vollständig native macOS-App portiert. Der Editor läuft ohne Wine oder Emulation auf Apple Silicon und Intel Macs.
Der beliebte Windows-Texteditor Notepad++ ist erstmals als native macOS [1]-Anwendung verfügbar. Mitglieder der Open-Source-Community um den Entwickler Andrey Letov haben den Editor vollständig auf macOS portiert – ohne auf Kompatibilitätsschichten wie Wine, CrossOver oder Porting Kit zurückzugreifen. Die erste stabile Version 1.0.0 erschien Anfang April 2026, mittlerweile liegt der Editor in Version 1.0.4 vor.
Das Projekt [2] unterscheidet sich grundlegend von früheren Versuchen, Notepad++ auf dem Mac nutzbar zu machen. Statt Windows-APIs zu emulieren, haben die Entwickler die gesamte Bedienoberfläche in Objective-C++ mit nativen macOS-Cocoa-APIs neu aufgebaut. Die Kern-Engine Scintilla, die auch der Windows-Version zugrunde liegt, blieb dabei identisch. Das Ergebnis ist ein Universal Binary, das sowohl auf Apple-Silicon-Macs (M1 bis M5) als auch auf Intel-Macs nativ läuft – ohne Rosetta-Übersetzungsschicht und ab macOS 11. Die Portierung der Windows-UI-Schicht auf Cocoa erforderte eine komplette Neuimplementierung sämtlicher Oberflächenelemente. Menüs, Dialoge und die Dateiauswahl folgen nun den macOS-Konventionen, ebenso die Tastaturkürzel. Der Editor unterstützt Syntax-Highlighting für mehr als 80 Programmiersprachen und bietet Funktionen wie Split-View-Editing, Makro-Aufzeichnung, reguläre Ausdrücke in der Suche sowie Lesezeichen. Die Oberfläche ist in 137 Sprachen lokalisiert. Die deutsche Lokalisierung erweckt aber stellenweise den Eindruck, als sei sie mit KI-Hilfe erstellt worden. Notepad++ für Windows hatte zuletzt mit einer Sicherheitslücke im Updater [3] zu kämpfen, die das Ausführen von Schadcode ermöglichte – die macOS-Portierung baut die Architektur von Grund auf neu.
Dass es Jahrzehnte gedauert hat, bis Notepad++ nativ auf macOS verfügbar wurde, liegt auch am Originalautor Don Ho, der Notepad++ stets als Windows-Anwendung entwickelte und keine Mac-Version anbot. Erst die unabhängige Community-Initiative vom März 2026 machte die Portierung unter der GPLv3-Lizenz möglich. Das Projekt ist nicht mit dem offiziellen Notepad++-Team verbunden.
Plug-in-Ökosystem wächst täglich
Der integrierte Plug-in-Admin ermöglicht den Zugriff auf eine wachsende Bibliothek portierter Erweiterungen. Allerdings sind noch nicht alle Windows-Plug-ins für macOS verfügbar – die Portierungen werden nach Angaben des Projekts täglich ergänzt. Einen konkreten Zeitplan für die vollständige Plug-in-Kompatibilität gibt es bislang nicht. Der Quellcode auf GitHub [4] steht Entwicklern offen, die sich mit Pull Requests an der Weiterentwicklung beteiligen möchten.
In puncto Datenschutz setzt sich Notepad++ für Mac deutlich von manchen kommerziellen Editoren ab: Die Anwendung enthält keinerlei Telemetrie, Werbung oder Datenerfassung. Auch automatische Crash-Reports werden nicht versendet. Der einzige Netzwerkverkehr entsteht bei der Nutzung des Plug-in-Admin, der auf GitHub zugreift.
Im Vergleich zu etablierten macOS-Editoren wie VS Code, Sublime Text oder BBEdit positioniert sich Notepad++ als kostenlose, quelloffene Alternative ohne Telemetrie. Während VS Code auf Electron basiert, handelt es sich bei der Mac-Version von Notepad++ um eine echte native Cocoa-Anwendung. Laut der Projektdokumentation soll der Editor sofort starten und einen geringen Ressourcenverbrauch aufweisen.
Die Veröffentlichung reiht sich in einen breiteren Trend ein: Auch andere Anbieter bringen zunehmend native macOS-Versionen ihrer Entwicklertools heraus. So hat Google kürzlich eine native Gemini-App für macOS [5] veröffentlicht. Für Entwicklerinnen und Entwickler, die bisher auf Windows-Alternativen oder Kompatibilitätsschichten angewiesen waren, schließt die Portierung eine langjährige Lücke.
URL dieses Artikels: https://www.heise.de/-11275582
Ein Kampftag ohne Kampf? Während Funktionäre feiern, schließen Werke. Warum der DGB statt einer Demonstrationsgala politisch Gas geben sollte. Eine Analyse.
Der Deutsche Gewerkschaftsbund (DGB) setzt sich auch in diesem Jahr mit kämpferischen Worten in Szene: Mit "Erst unsere Jobs, dann eure Profite" wählt [1] er eine Kampfansage als diesjähriges 1. Mai-Motto. Das mediale Echo interpretiert [2] dies als Zeichen gegen eine seit zwei Jahren anhaltende Wirtschaftskrise, gegen Produktionsverlagerungen ins Ausland und den Verlust von Zehntausenden Industriearbeitsplätzen.
Doch kommt dieser verbale Aktionismus nicht reichlich spät – nach bereits über 120.000 verlorenen [3] Industriearbeitsplätzen?
Bratwurst statt Barrikade
Die traditionellen Maifeste dominieren [4] den Feiertag-Freitag in diesem Jahr. Allein in Niedersachsen sind über 40 DGB-Veranstaltungen geplant [5] – das Bundesland von VW gilt als ein industrieller Kern Deutschlands.
Doch Quantität ersetzt keine Qualität: zudem sind die Teilnehmerzahlen seit Jahren stagnierend bis ruckläufig [6], rechte Konkurrenz wächst (Stichwort: Zentrum Automobil [7]), und linksradikale Abendveranstaltungen gewinnen – besonders unter Jüngeren – an Zulauf.
Es scheint, als würden die adressierten Arbeiter dem Geschwätz der eng mit dem DGB verbandelten politischen Klasse kaum noch zuhören wollen. Doch eine Kursänderung ist nicht in Sicht: Sozialpartnerschaft und die enge Ehe mit einer wahlpolitisch zunehmend marginalisierten SPD [8] bleiben auch in diesem Jahr das Gebot der Stunde.
Bundesweit wird die erste Reihe der Sozialdemokratie aufgeboten: Bundesarbeitsministerin Bärbel Bas und SPD-Generalsekretär Lars Klingbeil sollen die richtigen Worte finden [9]. Doch mit netten Worten an einem ohnehin arbeitsfreien, gesetzlichen Feiertag allein, lassen sich keine politischen Kämpfe gewinnen.
Tiger ohne Zähne
Die Wortsalben dieser Melange aus polit-gewerkschaftlichem Establishment könnten verpuffen: Während Teuerung und Inflation [10]ungeahnte Höhen erklommen, blieben Tarifabschlüsse oft unterhalb eines realen Inflationsausgleichs [11], von Lohn- oder Kaufkraftsteigerungen kann keine Rede sein. Exemplarisch [12] im Öffentlichen Dienst: Mini-Erhöhungen plus lange Laufzeiten ergeben in der Summe eine reale Verarmung [13].
Trotz größerer Streikbewegungen – etwa im Februar in Kitas, Schulen und kommunalen Verwaltungen – konnten die zentralen Forderungen nach mehr Lohn nicht durchgesetzt werden. Im arbeitnehmerfeindlichen Zeitgeist des von Kanzler Merz ausgerufenen "Herbstes der Reformen" [14] – mit dem Ziel, die soziale Hängematte zu beenden [15] – wird Bürgergeld häufiger und schneller gekürzt [16], staatliche Ausgaben für Rente und Arbeitslosenversicherung wurden gegenüber dem Vorjahrzehnt deutlich abgesenkt [17].
Der DGB könnte entscheidende Kampfmaßnahmen einleiten: Warnstreik, unbefristeter Streik, aktive Mittagspausen – probate Mittel, um zu signalisieren, dass Arbeitskraft keine beliebig verschiebbare Kenngröße ist. Stattdessen verharrt die Mehrheit der Gewerkschaften in abwartender Passivität.
Eine fatale Defensivlogik: Der DGB wird handlungsunfähiger durch sinkende Mitgliederzahlen und die eigene Politik – seit 2010 verlor [18] man 750.000 Mitglieder, seit 1990 hat sich die Zahl halbiert.
Richtiges gefunden
Im diesjährigen Aufruf [19] finden sich durchaus wegweisende Positionen: Schutz von Arbeitsplätzen, stabile Renten auf 48-Prozent-Niveau, höhere Investitionen in Zukunftsbranchen wie KI, Batterietechnologie und klimaneutrale Industrie.
Der Aufruf weist explizit die Aufweichung des Achtstundentages zurück, wörtlich heißt es dort: "Der Angriff auf den 8-Stunden-Tag ist ein Angriff auf unsere Gesundheit." Ein zentrales Ideologem der Merz-Regierung – nach dem Vorbild Griechenlands, das einen flexiblen 13-Stunden-Tag [20] einführte – wird damit klar zurückgewiesen.
Auffällig ist zudem: Der DGB adressiert in seinem Aufruf erstmalig auf dieser Bühne prononciert große oder überreiche Vermögen. Eine höhere Besteuerung von Vermögen – seit Jahren Kernforderung der Partei Die Linke [21] und des linken SPD-Juso-Flügels – findet Eingang in die gewerkschaftliche Agenda.
Die gewerkschaftsnahe Hans-Böckler-Stiftung kommt [22] in ihrer Analysen schon 2013 zum Ergebnis: Eine erhöhte Vermögensbesteuerung sei ein wirksamer Mechanismus zur Krisenminimierung und leiste einen Beitrag zur Generationengerechtigkeit. Erst neulich, kurz vor dem 1. Mai, forderten SPD-Fachpolitiker: [23] "Wir müssen auch an die Vermögenssteuer ran."
Großes Schweigen
Trotz progressiver Ansätze fehlt eine entscheidende Dimension vollständig: Geo- und Außenpolitik. Kein Wort zur Lage im Libanon, in Gaza, in der Ukraine. Fernab einer internationalistischen Solidaritätspflicht wäre allein aus wirtschaftspolitischen Gründen ein Aufschrei geboten: Die politische Klasse Deutschlands hat die Industrie eines ihrer größten komparativen Vorteile beraubt – preiswerte Energieversorgung aus Russland.
Das arbeitgebernahe Ifo-Institut stellt [24] nüchtern fest, der Ukrainekrieg habe die Konjunkturaussichten erheblich verdüstert. Wie stark der Irankrieg [25] Verbraucher und Konzerne noch treffen wird [26], ist noch nicht absehbar, könnte jedoch verherrende Ausmaße annehmen.
Der DGB schweigt dazu strukturell: Seit Jahren bezieht das Hans-Böckler-Haus zu geopolitischen Ereignissen kaum Stellung – oder positioniert sich [27] einseitig, etwa mit dem Verweis auf die historische Freundschaft zur israelischen Gewerkschaftsbewegung Histadrut als Begründung, zugunsten von Israel.
Eine Gewerkschaft ohne geopolitische Weitsicht und wirtschaftspolitisch-geopolitisches Handeln bleibt in ihrer Wirksamkeit stark beschränkt und moralisch fragwürdig: Selbst als Bilder den Histadrut-Chef Armon Ben David in einer Elbit-Bombenfabrik mit für den Iran bestimmten signierten Sprengköpfen und der Aufschrift "Grüße von der Histadrut und den israelischen Arbeitern" kursierten [28], blieb eine Reaktion aus.
Berliner Drehtür
Doch die eigentliche Strukturprobleme liegen tiefer, sind personeller wie institutionell-ideologischer Natur. DGB-Chefin Yasmin Fahimi entstammt [29] der SPD, war deren Generalsekretärin, Bundestagsabgeordnete und ist bis heute Mitglied im Bundesvorstand.
Auch andere Vorstandsmitglieder – fünfstellig entlohnte Positionen [30] – weisen direkte Parteibindungen auf. Regional setzt sich das Muster fort: Die frühere SPD-Bundestagsabgeordnete Daniela Kolbe führt [31] den sächsischen DGB, der frühere SPD-Staatssekretär Thorben Albrecht sitzt [32]seit 2025 dem DGB in NRW vor. Die Türen zwischen Willy-Brandt und Hans Böckler-Haus trennen in Berlin 3,5 Kilometer und scheinen doch aus Glas zu sein.
Die Berliner Drehtür ist wirkmächtig: Pfadabhängigkeiten, Institutionalismus und hohe personelle Kontinuitäten verhindern jeden ernsthaften politischen Wandel hin zu einer kämpferischen Gewerkschaftspolitik, binden den DGB an SPD, Regierungspolitik und Staatsräson – halten somit die Ruhe in den Betrieben und Fabriken.
Alle Jahre wieder
Wie der Streikmonitor der Universität Jena ergab [33], nahm die Zahl der Streikbewegungen 2025 zwar absolut zu – verlagerte sich jedoch hin zum relativ-einflussarmen Warnstreikmomenten und zu Formen mit weniger Ausfalltagen. Die Deindustrialisierung verlagert die Streiklandschaft zudem in Versorgung und Dienstleistung.
Was es bräuchte, wäre eine inhaltliche Auseinandersetzung mit Sinn und Zweck von Gewerkschaft. Auch rechte Versuche nutzen lediglich Lücken, die der DGB selbst geschaffen hat.
Das "So weiter" kann im Angesicht von Mitgliederschwund, Streikkassen-Leere und Deindustrialisierungstendenz nicht auf ewig gut gehen. Was fehlt, ist eine Rückbesinnung auf den Kernauftrag: die Organisation der Bedürfnisse der Arbeitnehmer – konsequent, kämpferisch, und ohne Rücksicht auf Koalitionsräson. Solange der DGB ein Anhängsel der Krise bleibt statt ihr Gegenpol, bleibt der 1. Mai das, was er allzu oft war: ein alle Jahre wieder der netten Worte [34].
URL dieses Artikels: https://www.heise.de/-11274873
Maker Bits: Software, Hardware und Infos für Maker
Von Heise — 28. April 2026 um 18:39
(Bild: ChatGPT)
Kampferprobte 3D-Drucke, mechanischer Flipper, 80 Stimmen Polyphonie mit ESP32, Fotos-Texturen mit FDM-Druck, macOS auf Wii, CardPuter mit Linux.
Bei Recherchen für Artikel oder eigene Projekte bleibt fast immer etwas an Nebenfunden hängen: ein Video, ein Tool, ein Board, eine absurde Portierung oder ein Bastelprojekt, das man eigentlich nur kurz anklicken wollte – und bei dem man dann doch hängen bleibt. Genau dieses digitale Treibgut sammle ich, weil daraus oft schneller neue Ideen entstehen als aus der eigentlichen Suche.
Hier also wieder ein kleiner Fang der letzten Tage. Vielleicht ist ja auch für euch etwas dabei – und wenn ihr selbst über spannende Tools, Hardware oder Videos gestolpert seid, dann gern in die Kommentare damit.
Robuster drucken mit Orca Slicer 2.3.2
Wer funktionale Teile druckt, landet früher oder später bei der immer gleichen Frage: Wie bekommt man aus normalem PLA(+) noch ein bisschen mehr Belastbarkeit heraus? Im aktuellen Video von Maker’s Muse geht es im Kontext von Roboter-Kämpfen genau darum. Gezeigt werden nicht etwa exotische Materialien oder Spezialhardware, sondern erstaunlich bodenständige Einstellungen in Orca Slicer 2.3.2 (siehe auch diesen Newsbeitrag [1]). 100 Prozent konzentrisches Infill, versetzte zusätzliche Wände, unterschiedliche Linienbreiten für Außen- und Innenbereiche und die Möglichkeit, den Materialfluss gezielt im Inneren zu erhöhen.
Spannend finde ich daran vor allem, dass hier keine Wunderlösung verkauft wird. Stattdessen zeigt sich wieder einmal, wie viel Mechanik und Materialverhalten schon im Slicer entschieden werden. Gerade bei Haltern, Werkzeugen oder Robotik-Teilen lohnt sich der Blick auf solche Profile oft mehr als der reflexhafte Griff zum nächsten „Engineering Filament“.
Mechanischer Flipper im 3D-Druck
Nicht jedes spannende Maker-Thema muss ein neues Dev-Board oder eine Library sein. Manchmal reicht auch ein Video, das einen alten Klassiker einmal anders denkt. Schon der Titel „Pinball like you’ve never seen before.“ reicht aus, um bei mir den Spieltrieb anzuschalten. Hier wird ein Flipper, also eigentlich ein komplettes Baukastensystem, entworfen und gebaut. Am Ende steht aktuell ein Flipper für zwei oder vier Personen, die gegeneinander spielen.
Ich mag solche Projekte: Selbst wenn man nichts 1:1 nachbaut, bleibt fast immer irgendeine Idee hängen – sei es für Antriebe, 3D-Druck, Konstruktion oder einfach für die Frage, wie man aus einem bekannten Prinzip mit etwas Kreativität wieder etwas Neues machen kann. Für Maker ist das oft viel interessanter als das hundertste „hier ist ein neues Board mit noch mehr GPIOs“.
Tonsynthese: 80 Stimmen aus dem ESP32
Mit dem ESP32Synth-Projekt zeigt Danilo Gabriel auf Hackaday [4], wie weit man heutige Mikrocontroller auch im Hinblick auf Audio treiben kann. Die Library basiert auf ESP-IDF, läuft bare-metal-nah, ist auf hohe Polyphonie ausgelegt und schafft laut Projekt standardmäßig 80 Stimmen, im Grenzbereich sogar deutlich mehr. Audio läuft über I²S, dazu kommen klassische Wellenformen, Wavetables, SD-Streaming für WAV-Dateien und sogar eigene DSP-Hooks für Effekte oder spezielle Oszillatoren.
Besonders sympathisch ist daran, dass das Projekt (gitHub) nicht nur als Synth-Spielerei daherkommt [5], sondern als echter Bausatz für eigene Instrumente, Soundgeneratoren oder Installationen. Wenn man schon einen ESP32 herumliegen hat, ist das genau die Art von Software, aus der schnell ein Wochenendprojekt wird – und im besten Fall ein sehr lautes.
Fotos auf 3D-Modelle drucken
Ebenfalls schön bunt ist das Video „I Built a Tool to Paint 3D Models with Photos“. Dahinter steckt Primed3D von 3D Revolution [7]: ein freies Open-Source-Werkzeug, das STL- oder 3MF-Modelle im Browser bemalen kann – inklusive Farbverläufen, Flächenfüllung und eben auch Foto-Projektion. Anschließend lässt sich daraus wieder ein 3MF exportieren, wahlweise für „normale“ (unbezahlbare) Mehrfarb-Drucker oder als geditherte Mehrmaterial-Version für FDM-Drucker mit Filamentwechsler.
Gerade für Cosplay, Deko, Figuren oder experimentelle Drucke finde ich das spannend. Denn statt nur einzelne Filamentfarben zuzuweisen, rückt damit die eigentliche Oberflächengestaltung stärker in den Mittelpunkt. Schön ist außerdem, dass das Tool komplett clientseitig laufen soll – die Dateien bleiben also im Browser und wandern nicht erst auf irgendeinen Server.
Mac OS X auf der Wii
Es gibt diese Projekte, bei denen man schon beim Titel weiß, dass sie völlig unnötig sind – und genau deshalb großartig. „Booting Mac OSX on a Nintendo Wii“ gehört eindeutig in diese Kategorie. Bryan Keller hat Mac OS X 10.0 Cheetah nativ auf die Nintendo Wii portiert [9]und den Weg dorthin in seinem Blog dokumentiert. Weil die Wii auf einem PowerPC 750CL basiert, also auf einem Verwandten der G3-Prozessoren früher Apple-Rechner, war die Idee technisch nicht komplett abwegig – nur eben trotzdem ziemlich wild. Der YouTuber Action retro musste es natürlich ausprobieren.
Richtig schön wird das Projekt aber erst im Detail: eigener Bootloader, Kernel-Patches, Treiberarbeit, SD-Karten-Boot und als Bonus noch die Korrektur des zunächst magentafarbenen Bildes per Dual-Framebuffer-Konstruktion, weil die Wii intern YUV erwartet, Mac OS X aber RGB haben will. Spätestens an diesem Punkt ist man dann wieder bei der beruhigenden Erkenntnis, dass „läuft irgendwie“ in der Maker-Welt oft schon die halbe Miete ist. Und der Classic Mode … uhhh. Das kenne ich nur von meinem Shapeshifter-Mac-Emulator auf dem Amiga.
Cardputer Zero: Taschenrechner für Tüftler und Linuxer
Die Cardputer auf ESP32-Basis waren nicht uninteressant, aber man musste viel selbst programmieren, wenn man produktiv werden wollte. M5Stack positioniert den CardputerZero mit Linux [11] als „Pocket Raspberry Pi Computer for Hackers“ und zielt damit klar auf alle, denen ein normaler Mikrocontroller-Handheld nicht mehr reicht. Laut Hersteller soll das Gerät als tragbares Linux-Labor für SSH, Python, Git, Vim, Edge-AI-Anwendungen und Hardware-Basteleien dienen. Erwähnt werden außerdem eine eingebaute App- beziehungsweise Firmware-Verteilung, Erweiterbarkeit über Grove, M5Units sowie Schnittstellen wie SPI, I²C, UART, USB und GPIO. Und ja, die Hardware basiert auf einem auch beim Raspi Zero verbauten Chip.
(Bild: m5stack)
Interessant ist daran hauptsächlich die Richtung: Weg vom reinen Gadget, hin zu einem wirklich mobilen „Arbeitsgerät“ für Leute, die gern direkt am Gerät tippen, testen und schrauben. Wenn M5Stack die Versprechen halbwegs einlöst, könnte das ein ziemlich cooles Werkzeug für Feldtests, Mini-Terminals, Off-Grid-Kommunikation oder einfach für unterwegs „Rumnerden“ werden. Laut M5Stack befindet sich das Projekt derzeit noch in der Vorstartphase; der Kickstarter ist für Mitte bis Ende Mai 2026 angekündigt, mit Early-Bird-Preisen von 59 US-Dollar für die Lite-Version und 89 US-Dollar für die reguläre Variante.
URL dieses Artikels: https://www.heise.de/-11275610
Die USA lassen nur noch im Inland hergestellte Router zu. Nebenbei wird das Verbot erweitert. Ausnahmen werden gemacht, aber Transparenz wäre anders.
Seit März verbieten die USA nicht im Inland hergestellte, neue Routermodelle [1] für den Verbrauchermarkt. Weil das gar keine wären, gibt es Ausnahmegenehmigungen. Einige wurden so flott erteilt, dass kaum vorstellbar ist, dass die offiziellen Voraussetzungen eingehalten wurden. Unterdessen weitet die Regulierungsbehörde FCC (Federal Communications Commission) den Umfang des Verbotes aus, schafft aber neue Unklarheiten.
Im Zentrum des US-Verbots steht eine geheime Feststellung nicht namentlich genannter US-Geheimdienste, wonach „consumer-grade routers” ein inakzeptables Risiko für die Nationale Sicherheit der Vereinigten Staaten oder die Sicherheit von US-Personen darstellten. In einer veröffentlichten Zusammenfassung [2] wird auf IT-Angriffe verwiesen, die über Router gelaufen sind – allesamt über ausländische Router, da es inländische laut Definition ja nicht gibt. Bereits zugelassene Modelle dürfen weiter genutzt und verkauft werden. Ihre Software und Firmware darf nur noch bis 1. März aktualisiert werden, und das auch nur zu Sicherheits- oder Kompatibilitätszwecken.
Der Teufel steckt im Detail, und die FCC hat zentrale Fragen unbeantwortet gelassen. Vergangene Woche hat die Behörde Antworten auf bestimmte häufig gestellte Fragen (FAQ) [3] veröffentlicht. Mehrfach geht es dabei um des Pudels Kern: Was genau ist ein „consumer-grade router”, und was nicht? Denn eine Liste gibt es ausdrücklich nicht.
Ausweitung auf Router für KMU
Eine kleine Tabelle bei der 24. von 25 FAQ überrascht mit der Angabe, dass sowohl „consumer” als auch „small and medium-sized business routers” erfasst sind. Das ist neu und widerspricht der Antwort auf Frage 8 „How are routers defined?”. Denn dort verweist die Behörde, so wie bisher, auf Sicherheitsvorschläge des Normierungsinstituts NIST (National Institute of Standards and Technology’s Internal Report 8425A), die sich auf „consumer-grade networking devices that are primarily intended for residential use and can be installed by the customer” beziehen – also „Vernetzungsgeräte für den Verbrauchermarkt, die in erster Linie für den Einsatz in Haushalten gedacht sind und vom Verbraucher installiert werden können.”
Solche Geräte werden durchaus auch von kleinen Unternehmen genutzt; doch sind „business routers” eben etwas anderes als „consumer” Router, die auch von Nicht-Verbrauchern verwendet werden. Sollte man meinen.
Wenigstens stellt die Tabelle klar, dass Handys mit WLAN-Hotspots nicht vom Verbot erfasst sind – reine Datenmodems für Mobilfunk aber sehr wohl, seien sie stationär oder mobil (beispielsweise mit WLAN-Hotspot). Ein technischer Grund für diese Differenzierung ist nicht ersichtlich. Kabelmodems mit Router fallen ebenso unter das Verbot wie vom ISP oder einem Profi in Haushalten installierte Router. Ausgenommen sind jedoch winzige Mobilfunkzellen (femtocells), Glasfaserterminals, und analoge Telefonadapter mit Ethernet-Buchse.
Was ist erfasst?
Wohl händeringend hat der Autor der 25. Frage nach einer Richtschnur gesucht: Gibt es eine Liste von Indikatoren, einen Test aller Umstände, oder Ebenen-basierte Kriterien unabhängig von NIST IR 8425A, die festlegen, ob ein Gerät ein consumer-grade router” ist? Antwort: „Nein.” Wieder verweist die FCC auf NIST IR 8425A [4], diesmal auf dessen Anhang C. Damit sind alle Klarheiten beseitigt.
Denn Anhang C befasst sich vorwiegend damit, wie Router in Verkehr gelangen (Spoiler: Kauf oder Miete!). Ansonsten erzählt er wenig Neues, wenn er ausführt, dass „consumer-grade” Geräte in Haushalten gefunden werden können, und dass ihr primärer Zweck der Einsatz dortselbst ist, nicht für „enterprise, industrial, etc.”, aber dass auch kleine Unternehmen consumer-grade Geräte verwenden könnten. Dazu kommt die Anmerkung, dass Hersteller von consumer-grade Geräten nicht annehmen können, dass der Nutzer über Expertise im Bereich IT-Sicherheit verfügt, oder in der Lage ist, signifikante Maßnahmen zur Absicherung des Produkts zu treffen.
Es folgen Verweise auf vier Dokumente Dritter: Zwei von Branchenverbänden und je eines der Regulierungsbehörde Singapurs und des deutschen Bundesamts für Sicherheits in der Informationstechnik (BSI TR-03148 [5]). Von diesen Vieren schließt nur Singapur vom Internet Provider gemietete Router von den Sicherheitsvorschlägen aus. Die Sicherheitsvorschläge dieser vier Gremien spielen für die FCC oder die Ausnahmegenehmigungen aber wiederum keine Rolle.
Braucht es Funk oder nicht? Was ist „Made in USA”?
Grundsätzlich müssen auch Router ohne Funkmodul von der FCC genehmigt werden und fallen daher unter das Verbot. Auch die NIST-Defintion, auf die die FCC zur Definition des Begriffs „consumer-grade router” verweist, erfordert kein Funkmodul.
Nichtsdestotrotz sorgt die FCC hier für weitere Verwirrung: Frage 9 möchte klären, was genau „hergestellt im Ausland” bedeutet, vielleicht gibt es ja eine Prozentregelung? Zunächst verweist die FCC wieder auf die Zusammenfassung der geheimen Feststellung nicht genannter Geheimdienst: “Production generally includes any major stage of the process through which the device is made including manufacturing, assembly, design, and development.” Also jeder wichtige Schritt, Entwurf, Entwicklung, Herstellung und Zusammenbau, müssen in den USA erfolgen, um dem Verbot zu entgehen.
Geprüft wird das allerdings nicht. Wer um FCC-Genehmigung ansucht, darf/muss selbst bestätigen, dass sein Router nicht im Ausland produziert worden ist. In einem weiteren Satz erwähnt die FCC, dass Antragsteller selbst bestätigen müssen, dass ihre Funkmodule nicht im Ausland produziert worden sind.
Frage 15 macht die Desorientierung komplett: Demnach macht der Einbau im Ausland hergestellter Komponenten einen Router noch nicht zum im Ausland hergestellten Router – es sei denn, das Funkmodul fällt unter eines der FCC-Verbote. Das bezieht sich jedenfalls auf Komponenten der chinesischen Marken Huawei, ZTE, Hytera Communications, Hangzhou Hikvision Digital Technology und Dahua Technology. Aber so eng kann das nicht gemeint sein, denn diese Firmen stehen schon seit über fünf Jahren auf der Verbotsliste. Wären nur sie gemeint, hätte die Behörde gar kein allgemeines Routerverbot erlassen müssen. Es scheint, dass das Routerverbot in selbstreferenzieller Weise eingreift und alle mit im Ausland hergestellten Funkmodulen ausgestatteten consumer-grade (and small and medium-size business) Router zu verbotenen Routern macht.
Gleichzeitig kann man nicht davon ausgehen, dass die Herkunft der übrigen Teile oder der Software der Behörde egal ist. Schließlich sind ja auch Softwareupdates für bereits genehmigte Geräte grundsätzlich verboten. Und die für das Verbot als Argumentation bemühten IT-Angriffe sind nicht über Hintertüren ausländischer Funkmodule erfolgt, sondern über zum Teil lange bekannte Softwarebugs. Welche oder wie viele ausländische Komponenten toleriert werden, bevor ein Router zum verpönten ausländischen Gerät wird, bleibt im Dunkeln.
Nationalität egal
Immerhin sagt die FCC, dass es auf die Nationalität des Herstellers nicht ankommt, gleichwohl die Anträge auf Ausnahmegenehmigung umfangreiche Offenlegung enthalten müssen. Dennoch reicht es ausdrücklich nicht, das Gerät in den USA entwickeln („to design”) zu lassen oder in den USA herstellen („manufacture”) zu lassen – beides muss in den USA erfolgen, um nicht unter das Verbot zu fallen und eine Ausnahmegenehmigung erforderlich zu machen.
Die Ausnahmegenehmigung muss entgegen dem ursprünglichen Verständnis nicht für jedes einzelne Modell beantragt werden: Der Antrag kann auch für eine Produktreihe oder alle Modelle eines Antragstellers erfolgen. Und das muss nicht unbedingt der Hersteller sein; auch Entwickler sowie Internet Service Provider (ISP), die ihren Kunden Router aushändigen, dürfen solche Anträge stellen.
Kleine Mengen verbotener Router dürfen für Entwicklungszwecke importiert, dann aber nicht vermarktet werden. Ansonsten ist die Einfuhr verbotener Router untersagt – es sei denn, der Import erfolgt für oder durch eine Bundesbehörde. Diese dürfen weiterhin ausländische Router, die die Nationale Sicherheit oder die Sicherheit von US-Personen gefährden, importieren, erwerben und einsetzen.
3 flinke Ausnahmen
Sowohl das Verteidigungsministerium als auch das Ministerium für Heimatschutz dürfen Ausnahmegenehmigungen ausstellen. Wer eine hat, darf bei der FCC um Genehmigung für seine Routermodelle ansuchen.
Bereits am 14. April, also nur gut drei Wochen nach dem plötzlichen Erlass des Routerverbots, sind die ersten beiden Ausnahmegenehmigungen erteilt worden: Netgear hat sie für jeweils mehrere Modellreihen der Nighthawk- und Orbi-Familie sowie für Kabelmodems und -gateways erwirkt. Adtrans hat sich seine Service Delivery Gateways genehmigen lassen. Warum, ist unklar, denn laut Adntrans’ eigener Presseaussendung handelt es sich dabei um ein „carrier-grade router portfolio”, was ja eigentlich keiner Ausnahmegenehmigung bedürfte.
Beide Ausnahmen gelten bis 1. Oktober 2027. Vorige Woche hat auch Amazon.com eine Erlaubnis erhalten, die bis Ende Oktober 2027 für mehrere Modellreihen der Marke eero sowie Router für Amazons zukünftigen Satelliteninternetdienst gilt.
Laut offiziellen Vorgaben [6] sind die Hürden für Ausnahmegenehmigungen hoch. Viele wettbewerbsrelevante Angaben und Rechtfertigungen sind notwendig, Sicherheitspälne oder gar -prüfungen jedoch nicht. Stattdessen muss jeder Ausnahmewerber einen "detaillierten, zeitlich verpflichtenden Plan zur Etablierung oder Erweiterung der Produktion in den USA" vorlegen. Geplante Investitionssummen, Geldquellen und exakte Zeitreihen und Meilensteine sind erforderlich. Was Netgear, Adtrans und Amazon dabei versprochen haben, ist nicht veröffentlicht.
URL dieses Artikels: https://www.heise.de/-11275804
Statt Signal: Bundestagspräsidentin empfiehlt Wechsel zu Wire
Von Heise — 28. April 2026 um 18:41
(Bild: Tero Vesalainen / Shutterstock.com)
Bundestagspräsidentin Klöckner empfiehlt Abgeordneten in einem Schreiben den Wechsel zum BSI-zertifizierten Messenger Wire, um Phishing-Gefahren einzudämmen.
Vor dem Hintergrund aktueller Phishing-Kampagnen [1], die gezielt Messenger-Dienste und Politiker ins Visier nehmen, hat sich Bundestagspräsidentin Julia Klöckner (CDU) mit einem dringlichen Appell an die Mitglieder des Parlaments gewandt. In einem heise online vorliegenden Schreiben legt sie den Abgeordneten die Nutzung des Dienstes Wire ans Herz.
Die Bundestagspräsidentin verweist zudem auf den Anmeldeprozess: Anders als bei vielen Konkurrenten erfolge die Registrierung bei Wire ausschließlich über eine E-Mail-Adresse. Die private Handynummer bleibe außen vor, die verwendete E-Mail-Adresse sei für Dritte nicht sichtbar. Diese Architektur soll es Angreifern erschweren, erfolgreiche Phishing-Versuche zu starten, da ein zentrales Identifikationsmerkmal verborgen bleibt.
Neuer Standard für staatliche Geheimhaltung
Das BSI hat der Version „Wire Bund“ [4] gerade auch die Freigabe für Daten der Geheimhaltungsstufe „Verschlusssache – nur für den Dienstgebrauch“ [5] (VS-NfD) erteilt. Das erlaubt es Behörden, sensible Informationen innerhalb einer kontrollierten, behördeneigenen Infrastruktur auszutauschen. Wire-Geschäftsführer Benjamin Schilz sieht darin einen Schritt hin zu mehr digitaler Souveränität, die vom Zusammenspiel von zertifizierter Software und sicheren staatlichen Betriebsverfahren lebe.
Die neue Zulassung ist zunächst bis Ende 2028 befristet. Das liegt an den noch fehlenden Post-Quanten-Verfahren, die auch Angriffen durch Quantencomputer standhalten müssen [6]. Trotz der Zertifizierungen bleibt ein Rest Skepsis. Kritiker geben zu bedenken, dass auch Wire kein Allheilmittel gegen Cyberangriffe sei. Phishing lasse sich nie ganz ausschließen. Angreifer könnten versuchen, über die leicht zu erratenden dienstlichen E-Mail-Adressen von Parlamentariern an die Login-Daten für den Messenger zu gelangen. So ließen sich Angriffsmuster wie bei den jüngsten Attacken auf Signal-Nutzer wiederholen.
Zwischen Verbotspolitik und Eigenverantwortung
Aus den Reihen der Konservativen kommen schärfere Töne. CDU/CSU-Vizefraktionschefin Andrea Lindholz (CSU) fordert ein Verbot von Signal für Abgeordnete und Mitarbeiter. Solche pauschalen Ansätze stoßen aber auf Unverständnis bei Experten, die darin eher ein mangelndes Verständnis für moderne digitale Kommunikationswege sehen.
Die Debatte verdeutlicht ein tieferliegendes Problem: Oft ist nicht die Technik die Schwachstelle, sondern der Mensch. Fachleute drängen daher auf mehr digitale Bildung für den politischen Apparat. Die Sicherheit im „Neuland“ Bundestag wird letztlich auch davon abhängen, wie souverän die Nutzer selbst mit ihren digitalen Instrumenten umgehen.
URL dieses Artikels: https://www.heise.de/-11275640
Professor Dubsteps größte Leidenschaft als Jugendlicher bestand darin, sich auf die illegale Jagd nach unveröffentlichten Dubstep-Tracks zu begeben.
Dies ist der zweite Teil von „Gestohlene Beats". Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Dubsnatch [1]“.
Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert [2] werden.
JACK (Intro): In der ersten Folge von "Gestohlene Beats" haben wir Professor Dubstep und seine Clique kennen gelernt, alle auf der Suche nach noch nicht veröffentlichter Dubstep-Musik. Sie graben sich durch verschiedene Sicherheitslücken im Netz oder hacken sich in die Dropboxkonten von Musikschaffenden und vom Management, um an solche Tracks zu gelangen und sie anschließend in obskuren Subreddits zu veröffentlichen und dadurch unter ihresgleichen in hellem Licht zu erstrahlen.
Nebenbei haben wir erfahren, dass die Delfinsounds im Dubstep entweder das geheime Ding schlechthin sind oder dass sie bisher nur noch niemandem aufgefallen sind.
Professor Dubstep ist jedenfalls einer dieser Jugendlichen, deren größte Leidenschaft darin besteht, sich auf die Jagd nach unveröffentlichten Tracks zu begeben. Er tut das nach eigener Aussage allerdings hauptsächlich, um die Tracks anschließend zu schützen, damit sie nicht öffentlich geleakt werden. Ganz anders unterwegs ist offenbar sein Kumpel, sein ehemaliger Kumpel Dino. Er nutzte das Vertrauen eines bekannten Dubstep-Musikers aus, um an dessen unveröffentlichte Tracks zu gelangen, er leakte sie und versuchte anschließend, Professor Dubstep für den Leak verantwortlich zu machen. Doch jetzt haben Professor Dubstep und sein Compagnon Spintire Zugang zu großen Datenbanken erhalten und verfolgen offenbar die Idee, Dino eins auszuwischen. Und da geht es jetzt weiter in Folge 2.
PROFESSOR DUBSTEP: Wir beschlossen, in diesen Datenbanken nach Dino zu suchen – ob seine Passwörter in irgendeiner Datenbank geleakt waren und wir sie auf Skype ausprobieren könnten. Ja. Hier wird es gut. Wir schauten also nach und da war eins … da war … nun, da war ein Passwort, das fünf- oder sechsmal auf verschiedenen Diensten geleakt worden war. Das deutet einfach darauf hin, dass er es für alles benutzt und vielleicht nicht bemerkt hat, dass es kompromittiert worden ist.
Wer spioniert hier wen aus?
PROFESSOR DUBSTEP: Wir nahmen also dieses Passwort und loggten uns in sein Skype ein. Es funktionierte beim ersten Mal. Es hatte sechs Zeichen. Es war wirklich simpel. Wir loggten uns einfach direkt ein und konnten seine Chats sehen und sehen, wie er mit einem Typen namens Shane sprach, und Shane war der Besitzer von xTrill. Sie sprachen miteinander darüber, zu versuchen, sich mithilfe dieser Datenbanken in Accounts zu hacken. Sie machten es also selbst und versuchten, es herauszufinden, während Spintire und ich das auch untereinander taten.
JACK: Oh, interessant. Es sieht so aus, als gäbe es jetzt zwei rivalisierende Teams; Spintire und Professor Dubstep auf der einen, Dino und Shane auf der anderen Seite. Na klar macht es da Sinn, das andere Team auszuspionieren.
PROFESSOR DUBSTEP: Eines der Ziele, in die Dino versuchte zu hacken, während wir ihm zusahen, waren wir, ich und Spintire. Er suchte also in diesen Datenbanken, um unsere Infos zu finden, und wir sahen ihm dabei zu und sahen live in Echtzeit zu, wie er versuchte, in unsere Accounts zu kommen.
JACK: In welche Accounts, deinen Skype-Account?
PROFESSOR DUBSTEP: Ja, alles, was er schaffen konnte; unser Skype, unsere Dropboxen, SoundClouds, im Grunde alles.
JACK: Oh, also Dino redet mit Shane so nach dem Motto: „Hey, siehst du Professor Dubsteps Daten …? Ja, ja sehe ich – oh, cool. Lass uns das Passwort checken. Versuch dich einzuloggen.“ Das sind die Chats, die du gesehen hast, und dann heißt es: „Nein, hat nicht funktioniert. Oh, Mist.“
PROFESSOR DUBSTEP: Ja, genau das. Buchstäblich einfach ein Echtzeit-Feed davon, wie wir ihnen zusehen, wie sie versuchen, uns zu hacken. Ich glaube aber, es war eher so, dass er paranoid war und versuchte zu sehen, ob wir hinter den Kulissen Sachen teilten und Dinge vor ihm geheim hielten, weil jeder in diesem kleinen Trading-Spiel dem anderen in den Rücken fiel. Das war einfach das, was passierte. Jeder fiel jedem in den Rücken.
JACK: Und wie hast du darauf reagiert? Ich mein, wenn jemand versucht, mich zu hacken, würde ich denken: „Ähhhm, bei dieser Person muss ich jetzt sehr vorsichtig sein.“ Wie habt ihr darauf reagiert?
PROFESSOR DUBSTEP: Nun, Spintire und ich saßen einfach da: „Wow, wir sehen das tatsächlich. Sie versuchen tatsächlich gerade, in unsere Sachen zu kommen. Das ist seltsam. Das ist viel zu verarbeiten.“ Aber wir saßen einfach da: „Oh, naja, gut, dass wir selbst ordentliche Sicherheit haben. Sonst wären wir am Arsch.“
JACK: Das Lustige daran ist, dass man ja vielleicht irgendwie Angst hat und denkt: Diese Person greift uns eindeutig an, ich könnte in Schwierigkeiten geraten. Aber man selbst ist in ihrem Skype und sieht ihre Nachrichten, also greift man sie auch an.
PROFESSOR DUBSTEP: Ja, genau.
JACK: Ich weiß nicht, auf wessen Seite ich mich hier schlagen soll. Ihr seid beide irgendwie im Unrecht.
PROFESSOR DUBSTEP: Wir sind beide im Unrecht. Jeder in dieser Geschichte ist im Unrecht. Hier verhält sich absolut niemand richtig. Das Einzige, was halbwegs richtig ist, ist Leute zu kontaktieren, um zu sagen, dass sie kompromittiert worden sind. Das ist die einzige gute Sache.
JACK: Ich brauche einen Helden, den ich anfeuern kann, und ich weiß nicht, was ich tun soll.
PROFESSOR DUBSTEP: Ja, du wirst keinen … ich sage dir jetzt schon, du wirst keinen bekommen. Ich will nichts davon glorifizieren, weil es nicht … es ist eine schreckliche Sache, der Dubplate-Handel, das Hacken. Es schadet einfach jedem, der involviert ist; den Künstlerinnen und Künstlern, den Leuten, die das Hacken betreiben. Es ist gefährliches Zeug und es ist einfach ein Haufen Kinder, die es damals nicht besser wussten. Weißt du, wir waren vierzehn, fünfzehn, saßen einfach da. Spintire war viel älter. Er war etwa dreißig.
JACK: Das erinnert mich alles an diese alten Heist-Filme, die aus dem Blickwinkel der Täter gefilmt sind. Ich sehe da die Ganoven vor mir, Diebstahl erfolgreich vollbracht, aber dann, dann sitzen sie zusammen und starren abwechselnd auf das Diebesgut und dann auf sich selbst, voller Misstrauen. Das sind alles Kriminelle, keiner kümmert sich um hier Gerechtigkeit. Werden sie mir meinen Anteil klauen? Und dann wird dir klar: Ja, das wird so kommen, also stiehlst du zuerst ihren Anteil und haust ab.
Genauso sieht’s in diesem Fall aus: Zwei Seiten, die sich absolut nicht trauen und aktiv versuchen, in die Accounts der anderen zu hacken, um sie im Auge zu behalten. Interessant ist allerdings, dass Dino mit Shane zusammenarbeitete, dem Moderator und Eigentümer des Subreddits xTrill. In den Chats war deutlich zu erkennen, wie sehr Shane in die Trading-Szene involviert war. Er sammelte Dubplates und war ständig auf der Suche nach unveröffentlichtem Material.
PROFESSOR DUBSTEP: Wir machen also weiter. Wir nehmen uns ein paar … versuchen, ein paar mehr Ziele zu bekommen. Wir überlegen uns andere Seiten, in die wir versuchen können, uns einzuloggen. Also werfen wir einen Blick auf box.com, einen Cloud-Speicher-Anbieter, der normalerweise von kleinen Unternehmen, großen Unternehmen, Plattenlabel-Produktionsfirmen, allem Möglichen genutzt wird. Er ist sehr beliebt, weil sie großartige Gruppen-Kollaborationsoptionen bieten. Wir nehmen also das Passwort von Skrillex' Manager und probieren es beim box.com-Account, und es gibt uns direkt Zugriff, direkt in das Innenleben von Skrillex' Plattenlabel. Und wir kommen da rein und können alle ihre kommenden Veröffentlichungen sehen und ihre Produktionsdateien, Promotion-Pläne …
JACK: Kommende Veröffentlichungen für Skrillex?
PROFESSOR DUBSTEP: Für Skrillex und alle Künstler auf seinem Label.
JACK: Wow, das klingt nach ner echten Schatztruhe.
PROFESSOR DUBSTEP: Da waren ein paar Terabyte an Dateien drin.
JACK: Heilige Scheiße.
PROFESSOR DUBSTEP: Box.com ist ein bisschen fortschrittlicher. Sie senden Login-Benachrichtigungen für unbekannte Logins. Also war eines der ersten Dinge, die wir taten, in die Einstellungen zu gehen und nachzuschauen. Weißt du, stand da, dass wir uns eingeloggt hatten? Dieser Typ, dieser Account, in den wir uns eingeloggt hatten, er hatte die Login-Benachrichtigungen ausgeschaltet, also hatte er keine Ahnung, dass wir reingekommen waren, keine.
JACK: Oh mein Gott. Da können wir was draus lernen, oder?
PROFESSOR DUBSTEP: Ja. Weißt du, lass so etwas an für Dinge, die stark mit deinem Geschäft zu tun haben. Du musst diese Benachrichtigungen eingeschaltet haben, damit sie dir sagen, wenn deine Sicherheit kompromittiert ist.
JACK: Unveröffentlichte Tracks sind mehr wert als Demos. sind nur frühe Versionen oder Remixes von Songs, die Leute schon gehört haben, aber unveröffentlichte Tracks hat noch niemand gehört. Okay, was habt ihr da alles gefunden.
PROFESSOR DUBSTEP: Da waren unveröffentlichte Skrillex-Songs, da waren einzelne Audio-Assets für einige Skrillex-Sachen und die anderen Künstler auf seinem Label, wie die einzelnen Master, Master-Stems und so für Songs, Multi-Tracks, sodass man sie im Grunde in ihre Einzelteile zerlegen konnte und so. Alles war dort gespeichert. Da waren Photoshop-Dokumente, Promotion-Pläne, Dokumente, die besagten, was sie für das nächste Jahr oder sogar zwei Jahre tun würden, interne Sprachaufnahmen, Meetings zwischen den Label-Chefs und so. Es war alles Mögliche an Zeug, das wirklich … es sind vertrauliche Dinge und es waren wirklich ungeschützte Dateien. Es gab keine individuellen Passwörter für Ordner und so. Es war einfach alles offen, geteilt mit fünfzig anderen Accounts auf all diesen Ordnern.
JACK: Meine Güte. Ich versuche mir vorzustellen, was das für’n Aufruhr bedeuten würde, wenn das an die Öffentlichkeit käme.
PROFESSOR DUBSTEP: Es hätte eine Menge verursacht, einen Riesenaufruhr. Was wir gemacht haben, war: Wir kopierten den Freigabe-Link für jeden Ordner, der da drin war, und stellten die Berechtigung dafür so ein, dass jeder mit diesem Freigabe-Link den Ordner immer noch ansehen konnte, auch wenn er nicht eingeloggt ist. Wir kopierten auch die Einladungslinks für Mitarbeitende für die Ordner, weil diese Option nicht passwortgeschützt war. Wir konnten also einen neuen Wegwerf-Account einladen, damit wir für uns selbst über ganz neue Accounts weiterhin Zugriff hätten, und der ursprüngliche würde geschlossen werden, sodass niemand sonst außer uns Zugriff darauf bekommen könnte.
JACK: Das ist interessant. Nur um sicherzustellen, dass das alle verstehen: Sie haben sich Zugang zum Box.com-Konto des Managers von Skrillex verschafft, okay, da diese Ordner gesehen und dann den übergeordneten Ordner freigegeben. Das bedeutet, dass nun jeder, der über diesen Link verfügt, den Inhalt dieses Ordners und aller Unterordner einsehen kann, ohne einen Benutzernamen oder ein Passwort zu benötigen.
Sie brauchen sich jetzt also nicht mehr anmelden, um zu sehen, welche neuen Dateien hochgeladen wurden. Sie konnten einfach den Freigabelink nutzen, um darauf zuzugreifen, ohne sich überhaupt anzumelden.
Darüber hinaus hatte der Manager die Möglichkeit, neue Mitarbeiter einzuladen. Also haben sie einfach ein neues E-Mail-Konto erstellt und sich selbst als Mitarbeiter eingeladen. Dann haben sie dem Manager gesagt: „Hey, dein Konto ist nicht sicher, du solltest das Passwort ändern.“ Dadurch wurde das Konto des Managers gesichert, sodass niemand anderes denselben Exploit nutzen konnte, um sich Zugang zu verschaffen, und kein anderer Hacker auf dieselbe Weise eindringen konnte. Das ist eine dauerhafte Hintertür, die Zugang zum gesamten Medienunternehmen von Skrillex gewährt. Zugleich ist es eine Hintertür, die man nie vermutet hätte, oder? Man denkt ja, wenn man Zugang zu box.com hat, dass man da Malware und eine Reverse -Shell installiert hat. Aber nein, es ist nur ein Freigabelink! Das gibt einem eine ganz neue Perspektive darauf, was eine Backdoor sein kann.
PROFESSOR DUBSTEP: Ja, weil es eine Backdoor ist, die man einfach … sie ist in die Seite eingebaut.
JACK: Sie ist in die Seite eingebaut, genau.
PROFESSOR DUBSTEP: Der einzige Grund, warum wir diese überhaupt erst bekommen konnten, ist, weil die Leute keine ordentliche Sicherheit praktizieren. Sie benutzen jahrelang das gleiche Passwort auf jeder Seite und aktivieren auch keine Zwei-Faktor-Authentifizierung auf ihren Accounts. Also ist es einfach offen. Wenn du das Passwort hast, dann kannst du einfach loslegen … du kannst einfach direkt reinspazieren und tun, was immer du willst. Du könntest den Laden plündern, wenn du wolltest, was lächerlich ist.
JACK: Ich sitze jetzt hier still in meinem Kämmerlein und lasse das einfach erstmal mal sacken. Eine Backdoor ist in alle File-Sharing-Seiten wie box.com, Google Drive, iCloud, Proton Drive, Dropbox, was auch immer, eingebaut, denn wenn ein Link zu einem geteilten Ordner existiert, kann jeder mit diesem Link in diesen Ordner sehen. Es ist ein Feature der Seite selbst, dass das so funktioniert. Man kann das nicht wegnehmen, sonst ruiniert man den Sinn der Seite.
Aber es bedeutet gleichzeitig, dass etwas, was privat für dich gemeint ist, es in Wirklichkeit nicht ist. Wenn du etwas teilbar machst und sagst, nur Leute mit diesem Link können diese Datei sehen, fühlt es sich nur privat an. Es ist Security through Obscurity, also eine Art Sicherheit durch Geheimhaltung. Dein Link ist zwar versteckt, aber wenn er irgendwie rauskommt, ist er für jeden einsehbar - ohne Benutzernamen oder Passwort.
Ich beschäftige mich seit Jahrzehnten mit Cybersicherheit, aber niemand zieht in Betracht, Dropbox-Links zu überprüfen, um sicherzustellen, dass nur das öffentlich zugänglich ist, was auch öffentlich sein soll, denn es ist potenziell möglich, dass jede Datei und jeder Ordner diese Option hat, und es ist einfach unzumutbar, sie alle manuell durchzugehen. In der Hektik des Geschäftsalltags kehrt niemand irgendwohin zurück, um da aufzuräumen oder zu überprüfen, welche Ordner Freigabelinks haben und welche nicht.
Ich glaube, es wäre eigentlich am besten, alles in eurem Cloud-Speicher so zu behandeln, als wäre es öffentlich zugänglich, aber alle Sachen nur vorübergehend dort abzulegen, wenn ihr sie privat mit jemandem teilen möchtet, um sie dann zu entfernen, sobald die Person sie erhalten hat.
Betrachten wir doch mal Webseiten wie URLscan.io. Das ist eine Seite, die versucht zu erkennen, ob URLs sicher oder bösartig sind. Man kann da aber auch hingehen und die Seite durchsuchen, um zu sehen, welche URLs da in der Datenbank liegen, und dann findet man manchmal welche, die eher nicht in der Öffentlichkeit sein sollten, es aber sind.
Stellt euch vor, ihr macht ein Foto von eurem Kind und legt es auf Google Drive, dann wollt ihr einen Link erstellen, um es der Großmutter zu zeigen, und ihr sagt: „Nur Leute mit diesem Link können dieses Foto sehen“, und du mailst den Link an Oma. Nun, dann hat Oma irgendein Browser-Plugin, das alle Links prüft, um sicherzustellen, dass sie sicher zum Anklicken sind, und wenn dieser Link irgendwo außerhalb geprüft wird – schwuppdiwupp – schwirrt dieser Link zur Geburtstagsparty deines Kindes plötzlich im Internet in allen möglichen Datenbanken herum und wird von wer weiß wem angeklickt. URLScan sammelt solche Links.
Hybrid Analysis ist‘n weiteres solches Tool, auch Cloudflare Radar URL Scanner. Ganz zu schweigen davon, dass DNS-Anbieter auf der ganzen Welt Dinge ebenso protokollieren. Es sind nicht nur Google Drive und Dropbox. Es gibt Unmengen anderer Online-Speicher-Webseiten, nach denen man suchen könnte; iCloud, box.com, Sync, Egnyte, IONOS, HiDrive, Proton Drive und so viele mehr. Die Liste ließe sich endlos fortsetzen. Die Daten sind also verfügbar. Man muss sie nur durchforsten, um etwas Interessantes zu finden. In diesem Fall suchten sie also speziell nach Dubstep-Musik und ignorierten alles andere, was ihnen begegnete. Okay, nur du und Spintire hatten Zugriff darauf.
PROFESSOR DUBSTEP: Jup.
JACK: Und ihr habt es aber für euch behalten, nicht geteilt oder so?
PROFESSOR DUBSTEP: Dachte ich zumindest. Das hätte ich mir gewünscht, aber wie immer vergingen ein paar Wochen und andere Leute fingen an anzudeuten, dass sie diese Dateien hätten. Oder, naja, die Trader bekamen Zugriff auf einige Sachen, und es gab keine Erklärung dafür, außer dass Spintire die mit jemandem geteilt haben musste. Also stellte ich ihn zur Rede und sagte: „Wenn du das getan hast, sag es mir einfach lieber. Ich werde nicht wütend sein. Ich will es nur wissen.“ Er streitet es immer noch ab. Also fange ich an zu denken: „Oh, naja, jemand anderes muss irgendwie Zugriff bekommen haben, abgesehen von uns. Jemand anderes muss zuerst Zugriff auf den Account bekommen haben.“ Also belasse ich es dabei. Ich vertraue Spintire – im Zweifel für den Angeklagten. Wir machen weiter. Wir überlegen uns noch ein paar Accounts, in die wir versuchen reinzukommen, verschiedene Leute. Eine anderes Ziel, das wir ins Auge nahmen, war die Management-Firma für Diplo und Major Lazer, die ein bisschen näher an Popmusik sind. Wir probierten den box.com-Account seines Managers, basierend auf dem, was wir in diesen geleakten Datenbanken gefunden hatten, und tatsächlich funktionierte das Passwort. Es loggte uns ein. Da waren noch ein paar Terabyte an Daten drin. Es war viel mehr als nur Major Lazer, die da drin waren. Da war Diplo, da war A-Trak, da war Dillon Francis, Kill the Noise. Da waren etwa zwanzig verschiedene Künstlerinnen und Künstler unter dieser Management-Firma, und wir konnten all ihre Sachen von diesem box.com-Account aus sehen.
JACK: Zu diesem Zeitpunkt hatten sie Zugriff auf Terabytes an Daten von diesen Musikmanagern, viel zu viel, um alles herunterzuladen, ihre Festplatten wären sofort voll gewesen. Sie mussten also selektiv vorgehen. Ich weiß nicht, wie es ist, wenn man so etwas findet, aber ich kann mir vorstellen, dass man quasi alles absagt und nur denkt: „Ich habe gerade so viele coole Sachen bekommen, ich muss mich damit beschäftigen, ich muss es mir anhören.“ Das kann man nicht auf die Schnelle machen, man muss jeden einzelnen Track durchhören. Denn das sind ja alles Sachen, die niemand sonst hören kann, außer vielleicht vier Leute auf der ganzen Welt, und Diplo hat es gemacht. Wow. Wow.
PROFESSOR DUBSTEP: Ja, hier wird es ein bisschen gefährlicher, denn einige Sachen, die sie in diesem box.com-Account hatten – sie behielten im Grunde von all ihren Künstlern und Leuten, die in Tourneen und so involviert waren, Produktionscrew, … diese Management-Firma bewahrte die persönlichen Dokumente all dieser Leute dort drin auf, nannte sie Kontaktbögen, und dieser Kontaktbogen hatte mehr als nur ihre Kontaktinformationen drauf. Er hatte die Sozialversicherungsnummern ihrer Künstler, Bankverbindungen, Passwörter, alle möglichen wahnsinnigen Sachen, bei denen es einfach höchst gefährlich war, die in weitgehend ungesicherten Ordnern ohne extra Passwörter aufzubewahren und scheinbar ohne jeden Grund, diese Infos überhaupt in das Dokument zu packen. Und dann den eigenen Account nicht ordentlich zu sichern – das exponiert all die Leute, die, weißt du, Millionäre sind. Es ist irgendwie Glück, dass keiner von … ich oder Spintire oder irgendeiner der Leute, die das schließlich machten, dass keiner von ihnen an irgendetwas anderem interessiert war als nur an der Musik, denn die Menge an Schaden, die daraus hätte entstehen können, ist wahnsinnig.
JACK: Das ist’n Beispiel dafür, wie ein Managementlabel mit den privaten Daten der Künstler und Künstlerinnen sorglos umgegangen ist. Führerscheine, Sozialversicherungsnummern und gespeicherte Passwörter lagen auf diesen Online-Laufwerken. Und obwohl sie nicht für die Öffentlichkeit bestimmt waren, hatten viele Mitarbeitende der Managementfirmen Zugriff darauf. Ja, sogar andere Musiker konnten die Dateien der anderen einsehen. Das zeigt doch eigentlich mal wieder, dass niemand eure privaten Daten schützt, wenn ihr es nicht selbst tut.
PROFESSOR DUBSTEP: Diese Ordner hatten alle über fünfzig Leute, die darauf Zugriff hatten. Jeder im Geschäft hätte auf diese Dinge zugreifen können. Die Praktikanten konnten auf diese Dinge zugreifen. Jeder konnte sich diese Dinge schnappen. Oder jeder, der in den Account kam, konnte sich diese auch schnappen und sie einfach haben, und es gäbe keine Benachrichtigung, dass der Account kompromittiert wurde.
JACK: Mann, das sind viel zu viele Leute, die Zugriff auf all das haben, denn je mehr Leute involviert sind, desto mehr Hintertüren könnten entstehen. Denn mal ehrlich: Wenn eine Musikproduktionsfirma Dropbox nutzt, um all ihre laufenden Projekte zu speichern, klingt das für mich so, als hätten sie kein internes Dateispeichersystem und vielleicht gar kein internes Netzwerk.
Und sie brauchen wahrscheinlich Dinge wie E-Mail und ein Chat-System; sie müssen Grafiken für soziale Medien erstellen, einen Merchandise-Shop, einen Blog, Social-Media-Konten, Newsletter, Projektmanagement- und Kollaborationstools sowie eine interne Wissensdatenbank oder ein Wiki. Es ist dabei relativ wahrscheinlich, dass kleine Unternehmen heutzutage für all diese Dienste öffentlich zugängliche Websites nutzen und nicht alles selbst auf ihren eigenen Servern und in ihrem eigenen Rechenzentrum hosten. Das bedeutet also, wenn fünfzig Personen an diesem Ort arbeiten, sind das fünfzig Konten mal die Anzahl der Dienste, die ich gerade aufgezählt habe. Wie viele, zehn? Wir sprechen also jetzt von fünfhundert verschiedenen Logins für verschiedene Websites. Wer hat da die Berechtigung, was wo zu sehen?
Kleine Unternehmen prüfen sowas nicht, und selbst wenn sie es versuchen würden, wäre es ein Albtraum das zu tun. Nein, es handelt sich jetzt nicht um Werbung meinerseits, ich möchte keine Lösung dafür anbieten, einfach nur die Probleme aufzeigen, die auftreten können, wenn ihr Cloud-basierte Lösungen einsetzt - es gibt eben nicht nur den Professor und seine Crew, sondern eine ganze Reihe von begabten Kids, die versuchen, vorhandene Lücken auszunutzen.
Unsere Kids hier hatten also gültige Benutzernamen und Passwörter, um sich Zugang zu den Konten anderer Leute zu verschaffen. Schon mal’n Problem, aber egal. Sie haben sich Dateien genommen, aber sie waren auch clever genug, um sich dauerhaften Zugang zu sichern. Wenn die Besitzer dieser Konten ihre Passwörter geändert hätten, wären sie ja ausgesperrt worden. Also haben sie Freigabelinks erstellt, damit sie auch dann sehen konnten, welche Dateien hochgeladen wurden, wenn das Konto gesperrt wurde. Cool. Aber man kann das noch weiter treiben, und zwar in dem man Ghost-Logins erstellt. Ich gehe mal kurz ins Detail, um euch eventuell etwas zu verwirren. Okay, gucken wir uns Zapier und wie es böswillig genutzt werden kann. Zapier ist ein Tool, mit dem man Sachen automatisieren kann. Wenn ich z.B. eine neue Rechnung per E-Mail erhalte, kann Zapier diese Rechnung automatisch in Dropbox hochladen, damit das Buchhaltungsteam sie sehen kann.
Damit das funktioniert, muss es Zapier erlaubt sein, euren Posteingang zu sehen und ebenso natürlich die Sachen in eurer Dropbox um sie dort hochzuladen. Um das einzurichten, müsst ihr Zapier die Berechtigungen dazu geben. Aaaaber, wenn ein Hacker in eure Dropbox kommt, wie diese Kids es taten, und sie ihren Zugriff behalten wollten, wie diese Kids es wollten, und sie sehen könnten, dass ihr Zapier zur Automatisierung verknüpft habt – dann können sie jetzt ihren eigenen frischen Zapier-Account erstellen, den sie unter Kontrolle haben, und ihn mit eurer Dropbox verbinden. So hätten sie über Zapier Einblick in eure Dropboxen, und ihr würdet nichtmal wissen, dass sie da sind, denn ihr seht nur, dass Zapier die Erlaubnis hat, die Dateien zu sehen. Aber das habt ihr ja auch so eingerichtet, als ihr euer Rechnungs-Automatisierungs-Ding aufgesetzt habt. Das ist es, was ich mit einem Ghost-Login meine: Jemand, der in eurem Account ist, der nicht einmal einen Benutzernamen oder ein Passwort braucht, um drin zu bleiben. Ändert das Passwort so oft ihr wollt. Sie bleiben immer noch mit euren Sachen verbunden.
Eine weitere Möglichkeit, einen „Ghost-Login“ zu erstellen, besteht darin, einen zweiten Login einzurichten. Auf manchen Websites kannst du dich über Google, Microsoft, Facebook oder sogar SSL anmelden. Angenommen, ihr habt eurer Konto auf diese Weise eingerichtet, indem ihr euch via Facebook-Konto angemeldet habt. Wenn ein Hacker das Passwort dafür hat - so wie die Kids halt - und darüber reinkommt, dann haben manche Seiten die Option, einen weiteren Login zu verbinden.
Wenn ihr euch beispielsweise via Facebook angemeldet habt, hättet ihr das auf dieser Seite vielleicht auch mit dem Google-Account tun können. Ein Hacker könnte also einfach einen neuen Google-Account erstellen, ihn mit eurem Account verbinden und diesen dann nutzen, um von da an in euren Account zu kommen. Selbst wenn ihr also alle Passwörter ändert, würde dieser Zugriff bestehen bleiben. Wenn ihr also wirklich eure Passwörter ändern wollt, müsst ihr in diesem Fall wirklich alle Webseiten durchgehen, die ihr habt, um alle verbundenen Dienste und alternativen Logins zu sehen - und das ist ein Chaos. Ein echtes Chaos.
Ein weiterer Weg wäre es, wenn die Seite die Möglichkeit bietet, einen API-Schlüssel zu generieren, dann kann man das tun und dann von dort auf die Sachen zugreifen.
Es gibt so viele Optionen, Ghost Logins zu erstellen, um den Zugriff auf einen Account zu behalten, selbst wenn der Nutzer sein Passwort ändert. Das ist es, was ich meine. Wenn fünfzig Leute alle Zugriff auf jemandes Führerschein und Dropbox haben, dann schaut vielleicht niemand genau auf die Berechtigungen, und wenn das der Fall ist, gibt es ein hohes Potenzial, einen Ghost Login erstellen zu können, der jahrelang funktioniert. Ich muss sagen, das ist schon Neuland für Sicherheitsteams.
Es fällt unter Begriffe wie „Least Privilege“, also dem Prinzip der geringsten Rechte, aber faktisch hat man keine Leute, die Experten für Zapier-Account-Sicherheit sind, die regelmäßig prüfen, welchen Apps ihr die Erlaubnis gegeben habt. Und es ist ne große Herausforderung, da mitzuhalten.
Also, mit all diesen Daten, Terabytes und Terabytes von einigen der größten Stars in dieser Dubstep-Welt, denkt man da jemals: „Ey, da könnte man’n bisschen Geld mit machen?“
PROFESSOR DUBSTEP: Ich stand nicht darauf, aber ich würde später herausfinden, dass Spintire irgendwie anfing, da reinzurutschen. Ich meine, nachdem eine Weile lang diese Sachen immer wieder geleakt wurden, anfingen auf Reddit zu leaken, die eigentlich nur unter uns bleiben sollten und auf die niemand sonst Zugriff haben sollte, dämmerte mir, dass Spintire da unehrlich sein musste. Also konfrontierte ich ihn Mitte Oktober.
Spintire, der Verräter
PROFESSOR DUBSTEP: Ich sagte: „Teilst du die? Sag es mir einfach jetzt. Teilst du die?“ Er sagt: „Nein, so ist es nicht ganz.“ Ich sagte: „Nun, wie ist es dann?“ Er sagt: „Ich kann es nicht sagen.“ Ich sage: „Bezahlt dich jemand dafür?“ Er sagt: „Ja.“ Also denke ich: „Oh, na endlich habe ich … er hat es zugegeben und ich habe seine Pläne aufgedeckt.“ Er erklärt weiter, dass er seinen eigentlichen Job gekündigt hat, um diese Dateien an irgendein reiches Kind auf der anderen Seite der Welt zu verkaufen. Ich sage: „Nun, das widerspricht allem … dem ganzen Grund, warum wir das überhaupt gemacht haben, nämlich diese Dateien halbwegs sicher zu bewahren und zu verhindern, dass diese Leute Zugriff darauf bekommen, um … damit sie dieses Ding nicht damit machen können, und dann macht er es selbst.“ Es machte mich wirklich ziemlich wütend, weil ich mich bei der ganzen Sache hinters Licht geführt fühlte.
JACK: Hmm, verstehe. Das ist ne knifflige Situation für einen Teenager. Wie reagierst du, wenn dein Partner in Crime anfängt, Sachen zu machen, die du selbst nicht okay findest? Ihr habt zusammen eine Karte aller vergrabenen Schätze erstellt, all die geteilten Links und Logins und Passwörter und Ghost Logins, Terabytes an heruntergeladenen Daten und ein ganzes System von Techniken und Datenbergen, die man durchsieben muss, um mehr zu finden. Doch plötzlich herrscht zwischen den beiden Misstrauen. Jetzt, wo klar war, dass Spintire die Sachen verkaufte, bot der einen Teil des Geldes an, um selbst weitermachen zu können.
PROFESSOR DUBSTEP: Ich sagte ja, aber was ich meinte, war: Ich stimme zu, damit er weiter … damit er denkt, dass ich immer noch auf seiner Seite bin. Also beende ich den Chat und gehe dann und rede mit Shane von xTrill.
JACK: Shane war der Moderator und Admin des xTrill-Subreddits. Professor Dubstep gab ihm den Hinweis: „Pass auf, die Leaks, die in letzter Zeit passiert sind, ich weiß, woher die kommen. Das ist Spintire, er verkauft sie. ich will aber nicht, dass noch mehr rausleakt. Also: Das hier sind die anderen Sachen, die demnächst leaken könnten.“
PROFESSOR DUBSTEP: Er stimmt also zu und meint: „Ja, wir tun, was wir können, um zu verhindern, dass Spintire mit diesem Zeug weitermacht.“ Von da an fingen wir an, zusammen an diesen Dingen zu arbeiten, ich und Shane und ein anderer Freund namens Arnie Kurtz.
JACK: Arnie war ein anderer Typ, der sehr gut in der Szene für unveröffentlichte Musik vernetzt war, und er war ein echter Experte für all diese Online-Dienste und wie man deren Sicherheitslücken ausnutzen kann - was natürlich echt praktisch sein könnte, um in weitere geteilte Laufwerke und so einzubrechen.
Shane hatte gesehen, dass Dino nicht vertrauenswürdig war, also hörten sie auf, zusammenzuarbeiten. Die neue Crew ist also Professor Dubstep, Shane und Arnie. Spintire und Dino waren raus. Nicht nur das, sie waren sich auch alle einig, dass Spintire gestoppt werden muss. Also setzten sie Filter im Subreddit ein, um zu verhindern, dass bestimmte Tracks gepostet werden, aber sie fingen auch an, die Ghost Logins und Freigabe-Links durchzugehen, die Spintire hatte, um ihn von dort auszusperren. Sie änderten Passwörter und deaktivierten Freigabe-Links. Es ist irgendwie lustig, dass diese Teenager-Crew genau die Schritte kannte, um Hacker draußen zu halten, während die Musiklabels selbst es entweder nicht wussten oder diese Kids nicht stoppen wollten.
PROFESSOR DUBSTEP: Ja, das ist irgendwie das, was wir anfingen zu machen. Unser eigentlicher Plan war einfach zu verhindern, dass Spintire den Zugriff auf diese Accounts und diese Ordner behält, für die wir so lange gebraucht hatten, um uns selbst Zugriff zu verschaffen, und dann sperrten wir sie ab, um zu versuchen … speziell um zu versuchen, Dinge zu verhindern, zu verhindern, dass das … es ist irgendwie seltsam, dass es sich auf diese Weise änderte. Ich hatte den Kontakt zu Spintire Mitte Oktober abgebrochen. Ich war zu diesem Zeitpunkt seit zwei Jahren mit ihm befreundet. Es war schwer, das zu beenden. Es hat Spaß gemacht, mit ihm abzuhängen. Aber, weißt du, es musste passieren. Es wurde tatsächlich Schaden angerichtet, und das erkannte ich dann.
JACK: Schon ne Belastung für einen Teenager, oder? Wenn man etwa im Geschichtsunterricht sitzt und sich hinten in der Klasse Gedanken darüber macht, was Spintire als Nächstes klauen könnte, und dann nach Hause eilt, um weitere Passwörter zu ändern, um ihn auszuschließen. Aber wenn man dann dabei ist, aufzuräumen, fällt einem ein: Ach ja, das ist das Konto mit all den Bankdaten dieses berühmten Musikers, der Millionär ist. Hm, das ist interessant. Ich rühr das nicht an, aber ich werde Spintire daran hindern, da ranzukommen. Nachdem sie also Spintire so gut es ging ausgebremst und ausgesperrt hatten, war es an der Zeit, nach neuen Schatzkammern Ausschau zu halten.
PROFESSOR DUBSTEP: Ich glaube, auf dem Höhepunkt der Dinge hatten wir wahrscheinlich ein Netzwerk von fünfundzwanzig Accounts. Es war eine Menge.
Terabytes an Geheimnissen
PROFESSOR DUBSTEP: Wir machten diese Art von Zeug einfach den ganzen Tag, im Grunde, versuchten einfach herauszufinden, was als Nächstes kommen könnte. Was könnte Spintires nächstes Ziel sein? Was könnte etwas Gefährliches sein, auf das er Zugriff bekommen könnte, auf das er keinen Zugriff bekommen sollte, um dann loszugehen und uns selbst Zugriff darauf zu verschaffen. Es war verrückt.
JACK: Ihr Standardsystem war: Die E-Mail-Adresse eines Musikers finden, in den geleakten Datenbanken nach dieser E-Mail-Adresse suchen, den Hash bekommen, den Hash knacken, das dann auf allerhand Seiten ausprobieren, die Musiker nutzen könnten, und hoffen, dass sie ihre Passwörter wiederverwenden.
PROFESSOR DUBSTEP: Ja, das ist auch das Ding mit box.com oder Dropbox: Wenn man einen geteilten Ordner erstellt und andere Mitarbeiter dazu einlädt – wie diese Management-Firmen, die fünfzig Leute zu einem Ordner einladen. Man konnte durchgehen und diese Liste von Leuten durchsuchen und ihre Namen und ihre E-Mail-Adressen dort nehmen, und dann konnte man die auch durch die Datenbanksuche laufen lassen. Man konnte also – wenn man lange genug daran saß – sich auf diese Weise zu allen möglichen Orten durchtunneln, indem man einfach immer und immer wieder weitermachte, bis man irgendwo hinkam. Man konnte auf diese Weise ein ganzes Netzwerk aufbauen.
JACK: Natürlich solltet ihr alle inzwischen wissen, wie gefährlich es ist, dasselbe Passwort auf mehreren Seiten wiederzuverwenden. Das ist ein deutlicher Reminder, warum ihr das also nicht machen solltet. Aber genauso solltet ihr bei der Auswahl der verschiedenen Passwörter achtsam und nicht zu faul sein.
PROFESSOR DUBSTEP: Ziemlich oft änderten sie es nicht sehr stark. Sie fügten vielleicht nur einen Großbuchstaben oder eine extra Zahl am Ende hinzu. Es gab einen Manager, den wir uns ansahen; sein Passwort war für alles das gleiche, aber er änderte nur den Buchstaben am Ende und es war … der Buchstabe am Ende war der Anfangsbuchstabe der Seite, für die der Account war. Wenn also das Passwort für MySpace geleakt war, war es „Wort“ und dann der Buchstabe M am Ende. Um also an das Passwort für box.com oder Dropbox zu kommen, änderte man einfach den Buchstaben am Ende zu einem D oder einem B und es funktionierte. Man bekam auch keine Benachrichtigung, dass dieses Passwort kompromittiert war, weil es das nicht war.
JACK: Ja, das ist interessant, ich überprüfe regelmäßig alle meine Passwörter, um zu sehen, ob irgendeines davon in einem Datenbank-Breach aufgetaucht ist, und ich ändere alle, die ich da sehe. Aber wenn mein Passwort zu erraten ist, weil es sich im Vergleich nur um einen Buchstaben ändert, dann würden das ja nicht in irgendeinem Datenbank-Breach auftauchen. Naja, jedenfalls einer der Songs, die sie früh in die Finger bekamen, war „Purple Lamborghini“.
PROFESSOR DUBSTEP: Ja, „Purple Lamborghini“ war etwas, das aus Diplos Manager-Account kam. Einer der Künstler, die sie managten, hieß Flosstradamus. Sie machen DJ-Sets auf den Hauptfestivals das ganze Jahr über für Trap-Musik und Dubstep-Musik. In einem dieser Kontaktbögen, der auf dieser Management-Box gespeichert war, waren alle Passwörter für dieses DJ-Duo. Eines davon war das Passwort für ihren Splice-Account. Splice war ein Dienst, der Projektdateispeicherung für Musiksoftware anbot. Wir kamen also da rein und luden ihre DJ-Set-Vorbereitungsdateien herunter. Weil sie halbwegs große Player waren, hatten sie all diese Work-in-Progress-Versionen von Tracks von anderen Leuten in der Szene, und die „Purple Lamborghini“-Demo war eine davon.
JACK: Falls ihr euch übrigens fragt, ob es einen Delfin in „Purple Lamborghini“ gibt: Oh ja, den gibt natürlich. Er ist genau hier. [MUSIK] Ba, ba, ba. Wenn ich das oft genug höre, lerne ich die Sprache.
Nun, das Ding ist, das ist eine Demo-Version, die ich besser finde als die offizielle Version, aber dieses Demo wurde nicht veröffentlicht, als die offizielle herauskam, und ich glaube nicht, dass es Pläne gab, dass sie jemals rauskommt. Zu dieser Zeit hörten also nur Professor Dubstep und eine Handvoll Leute auf der Welt das jemals.
PROFESSOR DUBSTEP: Ja, und was im Grunde passierte, war: Es war ein paar Monate her, seit ich den Kontakt zu Spintire abgebrochen hatte, und ich vermisste meinen Freund. Ich ging hin, entblockte ihn und fing wieder an, mit ihm zu reden. Ich sagte: „Weißt du, machst du immer noch das Verkaufen?“ Weil wir versucht hatten, ihn davon abzuhalten, ihn daran zu hindern, irgendetwas zum Verkaufen zu bekommen. Er sagte: „Nein, ich bin fertig damit. Ich habe den Kontakt zu diesen Leuten abgebrochen. Ich habe erkannt, dass sie die Sachen danach getauscht und geleakt haben, bla bla bla.“ Also meinte ich: „Okay, wollen wir wieder Freunde sein?“ Er sagte: „Klar. Lass es wieder so sein, wie es vor ein paar Jahren war, einfach über Musik reden und nicht in diesen zwielichtigen Kram verwickelt sein.“ Ich sage: „Okay, klar.“ Wir redeten weiter. Es führte zu: „Oh, ich hab diese paar coolen, neuen Sachen. Hast du irgendwelche coolen, neuen Sachen?“ Also teilten wir ein paar Dinge hin und her wie in alten Zeiten. Die „Purple Lamborghini“-Demo war eines dieser Dinge. Etwa eine Woche vergeht und wie üblich leakt es auf Reddit. Der eine einzige mögliche Schuldige: Spintire. Ich bin einfach … ich bin ihm gegenüber deswegen explodiert. Sagte: „Das ist wieder passiert. Du bist die einzige Erklärung dafür, dass dieses Ding geleakt ist. Du hast mein Vertrauen wieder missbraucht.“ Ich konnte keinen Rückzieher machen, aber es war zu diesem Zeitpunkt zu spät. Das Ding war geleakt. Das war mein eigener dummer Fehler. Aber der Dezember kommt und wir hatten eine letzte große Sache, die wir versuchen und tun wollten, nämlich in einen Major-Lazer-Produktionsaccount zu kommen, wo sie all ihre Songdateien und ihre Produktionsdateien für Dinge, an denen sie arbeiteten, aufbewahrten – Dinge, die man in Musiksoftware laden und alle einzelnen Teile sehen und Dinge ändern konnte.
Wir hatten also die Idee, es bei einem von Major Lazers Produktionsteam zu versuchen und zu sehen, ob wir an ihre Sachen kommen könnten. Also machten wir einen letzten Versuch in der Datenbank und schauten, ob wir die Pfade zu ihrer Dropbox verfolgen könnten, und wir schafften es tatsächlich. Wir redeten im Gruppenchat hin und her, ich und Arnie und Shane, und sagten: „Oh, es ist hier.“ Es gab einen spezifischen Song, den wir bekommen wollten. Er hieß „Terrorize“, featuring Collie Buddz. Wir loggten uns also in diesen Account ein, und das Erste, wonach wir suchten, war „Terrorize Project File“, und es war da, das tatsächliche, an dem sie … an dem die Gruppe genau an dem Tag arbeitete. Wir redeten also hin und her: „Oh, es ist Terrorize-Saison, es ist Terrorize-Saison. GOAT, Greatest of all Time.“ Aber da war mehr als nur das in der Dropbox. Da war noch ein Terabyte an Zeug, an dem in dieser Minute gearbeitet wurde, wie das Innenleben eines großen Billboard-Top-100-Popkünstlers, und alles war da; einzelne Assets, Drum-Samples, Synth-Dateien, alles Mögliche. Also schnappten wir uns all das Zeug. Naja, ich meine, es war zu viel, um es sich zu schnappen. In vielen dieser Fälle war es zu viel. Da war zu viel da.
Die Dinge, die Spintire in die Finger bekommen hatte, bevor er abgeschnitten wurde, hatten angefangen zu … es würde … das Leaken hatte wirklich zugenommen, und ich und Shane und Arnie entschieden im Grunde, dass wir noch mehr Anstrengungen unternehmen mussten, um diese Leute zu kontaktieren, die kompromittiert worden waren, also … und ich bin ziemlich sicher, es war Arnie, der das tat. Er rief die tatsächliche Telefonnummer des Managers an und hinterließ eine Nachricht auf der Mailbox, um zu sagen: „Das ist passiert, das wird als Nächstes passieren, und Sie müssen sofort Schritte einleiten, um Ihre Sachen zu sichern, sonst würde sich der Schaden in Hunderttausende von Dollar aufsummieren.“ Also fing ihr Anwaltsteam an, darüber zu reden. So nach dem Motto: „Oh, wie konnte das passieren? Bla, bla, bla. Es ist unmöglich.“ Wir landeten irgendwie … wir traten in Kontakt mit diesen Anwaltsteams unter falschen Identitäten, um ihnen zu erklären, wie es passiert war, warum es passierte und wie sie es verhindern könnten. Sie sagten im Grunde: „Oh ja, wir hatten Pläne für diese Songs. Wir hatten Pläne für Terrorize. Es sollte ein großes Ding werden, weil so viele Leute den Song wollten.“ Das war … sie haben im Grunde einfach alles … all das abgesagt, weil es … das Potenzial, dass es früh leakt, war da, also sagten sie all diese Pläne ab.
JACK: Ja. Wenn man auf Major Lazers Spotify- oder YouTube-Kanal geht, gibt es keinen Song namens „Terrorize“. Collie Buddz hat ihn auch nicht veröffentlicht, obwohl er darin singt. Der Song wurde also nie veröffentlicht, obwohl sich ne Menge Leute wirklich darauf gefreut haben. Die Hacker haben‘s ruiniert, ich glaube jedenfalls, dass das der Grund ist, warum er gecancelt wurde.
Aber falls ihr neugierig seid, wie der Delfin in diesem Song klingt, bitteschön. [MUSIK] Das ist eigentlich ein Remix davon, den ich gefunden habe. Der, der geleakt wurde, klang ein bisschen anders. Aber es ist schon crazy, dass dieser völlig unveröffentlichte Major-Lazer-Song da draußen in der Welt ist, jeder kann ihn hören, aber weil es kein offizieller Release war, hat er nicht viele Plays, und es ist kein offizieller Song von Major Lazer. Dabei hätte es ein Hit werden können. Major Lazer hat drei Songs auf Spotify mit über einer Milliarde Plays, und Collie Buddz ist auch ziemlich beliebt. Eigenartig ist's schon, bloß weil eine frühe Version eines Songs zu früh durchgesickert ist, ist das Label so offenbar verärgert, dass es den Song komplett aufgibt.
PROFESSOR DUBSTEP: Ein Album, an dem zu der Zeit gearbeitet wurde, „Music is the Weapon“, das wurde auch abgesagt. Naja, nicht direkt abgesagt, aber wirklich verzögert. Es kam erst irgendwann 2020, 2021 heraus, was vier Jahre nach all diesen Vorfällen war. Aber wir sprachen im Grunde einfach miteinander und versuchten, diese Pläne zu entwickeln: „Wie können wir verhindern, dass diese Dinge leaken? Wir wollen euch helfen, das herauszufinden, weil wir diese Leute kennen, die da involviert sind.“ Diese Anwaltsteams kamen mit diesen lächerlichen Plänen an. Wie: „Oh, naja, wir fliegen Spintire nach New York und führen ihn zum Essen aus und geben ihm 30.000 Dollar im Austausch für seine Festplatten, und dann wird das unsere Dateien sichern.“ Ich sagte … versuchte ihm zu sagen: „Nein, das wird nicht funktionieren. Er wird einfach eine Kopie davon machen. Das ist lächerlich.“ Sie wollten es nicht hören. Sie sagten: „Oh, naja, das scheint mir definitiv die beste Idee zu sein.“ Ich meinte: „Nein, nein, bitte, nein, macht das nicht.“ Ich bin mir nicht sicher, ob sie das am Ende tatsächlich gemacht haben oder ob sie eingesehen haben, dass es ihrem Fall nicht helfen würde.
JACK: Wussten sie, dass du auch die Festplatten voller Zeug hattest?
PROFESSOR DUBSTEP: Naja, das ist das Ding. Ich, ich habe nicht alle Sachen heruntergeladen. Ich pickte mir hier und da ein paar Dinge heraus, aber vieles davon war irgendwie einfach nicht so interessant.
JACK: Die Sache ist die: Professor Dubstep hörte zwar gerne junge Dubstep-Tracks, aber das war offenbar nicht der eigentlich Antrieb für ihn.
PROFESSOR DUBSTEP: Persönlich bin ich nicht wirklich ein Riesenfan. Ich war einfach mehr daran interessiert, diese Dinge zerlegen zu können und mir den Produktionsprozess anzusehen, weil es mir helfen könnte zu lernen, wie man selbst bessere Musik macht, und zu sehen, wie es gemacht wurde, wie das Billboard-Top-100-Zeug gemacht wurde, und ich könnte das nutzen, um mir zu helfen, selbst bessere Dinge zu erschaffen. Es ist eine wertvolle Lernressource.
JACK: Hm, ist das nicht'n bisschen weit hergeholt? Ich mein, man kann auf YouTube Leuten zusehen, wie sie ihre Musik kreieren, und von ihnen lernen. Man kann sich in Gruppen zusammenschließen oder bei Bands zusehen und nachfragen: „Wie macht ihr das? Oh, wow, interessant.“ Aber du denkst dir: „Hm, ich glaube, ich hacke mich in Diplos Dropbox, um es selbst zu lernen.“ Das ist auf jeden Fall ein ganz spezieller Weg zum Lernen.
PROFESSOR DUBSTEP: Ja, ich verstehe deinen Punkt, aber gleichzeitig ist es irgendwie beispiellos, dass man in eine Projektdatei gehen und sich den gesamten Prozess von Anfang bis Ende ansehen kann.
JACK: Die gesamten Projektdateien waren in diesen Ordnern, alle Effekte, Samples und Tonspuren, also alles, was verwendet wurde, um den Song zu machen. Es ist ja so, der Großteil dieser Musik wird in einer DAW, einer digitalen Audio-Workstation, erstellt. Die Software, mit der gearbeitet wird, kann Ableton Live sein oder Adobe Audition, Pro Tools oder ähnliche Programme.
Jedenfalls: wenn man mit diesen Tools die Projekte öffnet, liegt alles vor einem, man kann genau sehen, wie die Songs aufgebaut sind. Und Professor Dubstep hatte die Software an Bord, um sich alles ganz genau anzuschauen. Sie konnten damit nicht nur den Song zerlegen, Tracks und Sounds isolieren, um zu sehen, wie er komponiert wurde, in den Projekten lagen auch verschiedene Versionen desselben Songs. So konnten sie auch nachvollziehen, wie sich der Song im Laufe der Zeit entwickelt hat.
Das sind schon großartige Möglichkeiten für jemanden, der elektronische Musik zu seinem Beruf machen möchte, so detailliert nachvollziehen zu können, wie die Profis arbeiten. Solche tiefen Einblicke hinter die Kulissen erhält man sonst wirklich nie.
Als aufstrebender Podcaster damals hätte ich auch gerne die vollständigen Projektdateien für „This American Life“ oder Sendungen, die mich inspiriert haben, in die Hände bekommen. Das wäre super gewesen, und ich bin mir sicher, dass es mir geholfen hätte, die Komplexität und die Details zu verstehen, wie all das zusammengestellt wird.
Aber nicht nur das: Die Möglichkeit, so viele verschiedene Songs und Projektdateien von Musikern zu sehen, versetzt sie wirklich in die einzigartige Lage, ein so genaues und direktes Verständnis dafür zu entwickeln, wie all diese Musik entstanden ist.
PROFESSOR DUBSTEP: Man muss schon einiges an tiefgehendem Musikwissen haben, um überhaupt herauszufinden, was man da eigentlich ansieht. Die Tatsache, dass ich mir all das ansehen konnte und daraus Erkenntnisse ziehen konnte, die mir später helfen würden, ist im Grunde unbezahlbar. Es ist unbezahlbar.
JACK: Ich stelle mir Professor Dubstep in irgendeiner Art Musik- oder Producerschule vor, wo der Lehrer sagt: „Das ist die richtige Art, wie man diesen Effekt einsetzt.“ Und er antwortet: „Äh, nein, so machen Skrillex oder Diplo oder Major Lazer oder Excision das nicht.“ „Ach ja? Woher weißt du das?“ „Ach, hähä, egal, vergiss es. Mach weiter.“
Jedenfalls: Es hat zwar viel Überzeugungsarbeit gekostet, aber sie konnten das Rechtsteam am Ende dazu bringen, alle Probleme zu beheben.
Das Ende einer Obsession
PROFESSOR DUBSTEP: Ende 2016 war das Finale – ich machte Schluss und hörte auf, all dieses Hacking-Zeug zu tun, was … es ist nicht richtig, es Hacking zu nennen, wirklich. Es ist nicht einmal auf Script-Kiddie-Niveau. Es ist einfach das Durchsuchen von Dingen und die Nutzung von Logik, um zu versuchen, Passwörter herauszufinden. Es ist nicht wirklich wie komplexes Hacker-Zeug. Es ist einfach … ich kenne kein gutes Wort, um es zu beschreiben, aber …
JACK: Ich habe selbst die ganze Episode lang nach nem guten Wort dafür gesucht. „Dieb“ und „stehlen“ passen nicht ganz, da die Originalkopien ja noch vorhanden sind. Ich finde, um von Diebstahl zu sprechen, muss man die Person berauben, sodass sie diese Sache nicht mehr hat. Wenn man etwas online veröffentlicht und jemand eine Kopie davon macht, ist das meiner Meinung nach kein Diebstahl. Das ist einfach nur das Herunterladen einer Kopie. Genau das haben sie getan, oft haben sie einfach Kopien von Dingen heruntergeladen, zu denen es öffentliche Links gab. Sollte es veröffentlicht sein? Nein, aber war es das? Ja. Der Begriff, der meiner Meinung nach am besten dazu passt, ist „Exfiltration“. Sie haben Dateien exfiltriert, die zwar nicht für die Öffentlichkeit bestimmt waren, die aber auch nicht besonders gut geschützt waren. Für mich klingt das genau richtig. Professor Dubstep, professioneller Exfiltrator.
PROFESSOR DUBSTEP: Aber ja, spulen wir vor bis 2019, und ich hatte gerade das College beendet. Ich habe einen Musikkurs am College gemacht. Ich hatte all dieses Zeug hinter mir gelassen. Es hatte sich alles irgendwie beruhigt. Nichts leakte mehr. Keine Accounts waren kompromittiert worden. Naja, zumindest nicht von mir. Ich dachte irgendwie: „Ich finde mal heraus, was die alten Leute heutzutage so machen.“ Ich hatte einen Chat mit Shane. Ich hatte einen Smalltalk mit Arnie. Shane machte immer noch mit dem Zeug weiter, von dem, was ich so mitbekam. Arnie hatte sich davon entfernt und er hatte … ich glaube … ich bin mir ziemlich sicher, er ging zum FBI und bekam eine Sicherheitsfreigabe, Top-Sicherheitsfreigabe für irgendwas. Andere Leute in der xTrill-Crew, bei einigen von ihnen gab es Razzien. Einige von ihnen gingen zum Militär und solche Sachen. Jeder war losgezogen, um verschiedene Dinge zu tun, abgesehen von dem einen Typen, der in die seltsamste und unangenehmste Situation überhaupt geraten war. Spintire war vom Verkäufer und Leaker von so vielen Hunderten Gigabytes an Daten – er war vom Leaken dieser Skrillex-Demos und deren Tausch dazu übergegangen, selbst in Skrillex' Produktionsteam zu sein.
JACK: Wow.
PROFESSOR DUBSTEP: Und war jetzt technisch gesehen Skrillex, weil … ja, und damit: Skrillex ist einer von denen, die ghost-produced werden. Er ist nicht echt. Er ist nur ein Gesicht, eine Marke.
JACK: Also du sagst, viel von Skrillex' Musik heute wird von jemand anderem gemacht und dann setzt Skrillex einfach seinen Namen drunter.
PROFESSOR DUBSTEP: Alles davon.
JACK: Alles?
PROFESSOR DUBSTEP: Ja, da ist ein Team von … 2019 war das Team mindestens fünf, sechs Leute, die diese Songs zusammenstellten, und das war es eigentlich schon immer. Skrillex' erster Release 2009 und 2010, wie „Scary Monsters and Nice Sprites“, seine erste EP, wurde von Noisia ghost-produced, zu einem, naja, ziemlich großen Teil. Vielleicht nicht komplett, aber ein großer Teil seiner Sounds über die Jahre kam von anderen Leuten, die das alles zusammenstellten. Also ja, dieses Ghost-Producing sitzt tief in dieser Szene. So viele der großen Player sind fake.
JACK: Okay, ich kann keinen Artikel finden, in dem steht, dass Skrillex seine Musik nicht selbst macht. Musiker arbeiten ja auch ohnehin ständig mit anderen Musikern zusammen, um Musik zu machen. Das ist keine Überraschung, aber hier wird behauptet, dass diese Musiker die Leute, die bei der Entstehung des Songs mitgewirkt haben, nicht würdigen. Man glaubt also, dass sie es waren, die den Song gemacht haben, aber in Wirklichkeit war es nicht so.
Skrillex beschäftigt sich sicher sehr intensiv mit seiner Musik, aber es gibt nicht wenige Fälle, in denen andere bekannte Musiker beschuldigt wurden, die Musik anderer genommen und als ihre eigene ausgegeben zu haben, ohne das Original zu würdigen oder zu kennzeichnen. Das kommt also vor.
Ehrlich gesagt weiß ich nicht, was ich davon halten soll. Einerseits ist es so, dass ein EDM-Musiker, der nur die Musik anderer spielt, ein DJ ist, und es ist etwas weit hergeholt zu sagen, dass er diese Musik selbst gemacht hat. Andererseits ist es mir doch egal, ob er diesen Song wirklich selbst geschrieben hat oder ihn von jemand anderem schreiben ließ und nur seinen Namen darunter gesetzt hat. Was dabei an Musik rauskommt, ist wichtig. Für mich ist es spannend, weil ich einfach unendlich fasziniert bin von den dunklen Seiten des Internets, und dieser digitale Untergrund ist voller solcher Aktivitäten, aber mit gedämpften Tönen, und das alles direkt vor unserer Nase. Es ist eine Welt, die wir selten sehen, aber manchmal hören.
JACK (Outro): Ein großes Dankeschön an Professor Dubstep für seine Geschichte und dass er sie uns erzählt hat.
Diese Episode wurde im englischen Original von Jack Rhysider erstellt. Den Text haben Isabel Grünewald und Marko Pauli übersetzt und gesprochen.
URL dieses Artikels: https://www.heise.de/-11227790
Der beliebte Editor Notepad++ ist jetzt auch als native macOS-Version verfügbar.
(Bild: Notepad++ Projekt)
Eine unabhängige Community hat Notepad++ als vollständig native macOS-App portiert. Der Editor läuft ohne Wine oder Emulation auf Apple Silicon und Intel Macs.
Der beliebte Windows-Texteditor Notepad++ ist erstmals als native macOS [1]-Anwendung verfügbar. Mitglieder der Open-Source-Community um den Entwickler Andrey Letov haben den Editor vollständig auf macOS portiert – ohne auf Kompatibilitätsschichten wie Wine, CrossOver oder Porting Kit zurückzugreifen. Die erste stabile Version 1.0.0 erschien Anfang April 2026, mittlerweile liegt der Editor in Version 1.0.4 vor.
Das Projekt [2] unterscheidet sich grundlegend von früheren Versuchen, Notepad++ auf dem Mac nutzbar zu machen. Statt Windows-APIs zu emulieren, haben die Entwickler die gesamte Bedienoberfläche in Objective-C++ mit nativen macOS-Cocoa-APIs neu aufgebaut. Die Kern-Engine Scintilla, die auch der Windows-Version zugrunde liegt, blieb dabei identisch. Das Ergebnis ist ein Universal Binary, das sowohl auf Apple-Silicon-Macs (M1 bis M5) als auch auf Intel-Macs nativ läuft – ohne Rosetta-Übersetzungsschicht und ab macOS 11. Die Portierung der Windows-UI-Schicht auf Cocoa erforderte eine komplette Neuimplementierung sämtlicher Oberflächenelemente. Menüs, Dialoge und die Dateiauswahl folgen nun den macOS-Konventionen, ebenso die Tastaturkürzel. Der Editor unterstützt Syntax-Highlighting für mehr als 80 Programmiersprachen und bietet Funktionen wie Split-View-Editing, Makro-Aufzeichnung, reguläre Ausdrücke in der Suche sowie Lesezeichen. Die Oberfläche ist in 137 Sprachen lokalisiert. Die deutsche Lokalisierung erweckt aber stellenweise den Eindruck, als sei sie mit KI-Hilfe erstellt worden. Notepad++ für Windows hatte zuletzt mit einer Sicherheitslücke im Updater [3] zu kämpfen, die das Ausführen von Schadcode ermöglichte – die macOS-Portierung baut die Architektur von Grund auf neu.
Dass es Jahrzehnte gedauert hat, bis Notepad++ nativ auf macOS verfügbar wurde, liegt auch am Originalautor Don Ho, der Notepad++ stets als Windows-Anwendung entwickelte und keine Mac-Version anbot. Erst die unabhängige Community-Initiative vom März 2026 machte die Portierung unter der GPLv3-Lizenz möglich. Das Projekt ist nicht mit dem offiziellen Notepad++-Team verbunden.
Plug-in-Ökosystem wächst täglich
Der integrierte Plug-in-Admin ermöglicht den Zugriff auf eine wachsende Bibliothek portierter Erweiterungen. Allerdings sind noch nicht alle Windows-Plug-ins für macOS verfügbar – die Portierungen werden nach Angaben des Projekts täglich ergänzt. Einen konkreten Zeitplan für die vollständige Plug-in-Kompatibilität gibt es bislang nicht. Der Quellcode auf GitHub [4] steht Entwicklern offen, die sich mit Pull Requests an der Weiterentwicklung beteiligen möchten.
In puncto Datenschutz setzt sich Notepad++ für Mac deutlich von manchen kommerziellen Editoren ab: Die Anwendung enthält keinerlei Telemetrie, Werbung oder Datenerfassung. Auch automatische Crash-Reports werden nicht versendet. Der einzige Netzwerkverkehr entsteht bei der Nutzung des Plug-in-Admin, der auf GitHub zugreift.
Im Vergleich zu etablierten macOS-Editoren wie VS Code, Sublime Text oder BBEdit positioniert sich Notepad++ als kostenlose, quelloffene Alternative ohne Telemetrie. Während VS Code auf Electron basiert, handelt es sich bei der Mac-Version von Notepad++ um eine echte native Cocoa-Anwendung. Laut der Projektdokumentation soll der Editor sofort starten und einen geringen Ressourcenverbrauch aufweisen.
Die Veröffentlichung reiht sich in einen breiteren Trend ein: Auch andere Anbieter bringen zunehmend native macOS-Versionen ihrer Entwicklertools heraus. So hat Google kürzlich eine native Gemini-App für macOS [5] veröffentlicht. Für Entwicklerinnen und Entwickler, die bisher auf Windows-Alternativen oder Kompatibilitätsschichten angewiesen waren, schließt die Portierung eine langjährige Lücke.
URL dieses Artikels: https://www.heise.de/-11275582
App Store: Apple führt Monatsabos mit Jahresbindung ein
Von Heise — 28. April 2026 um 15:27
Apple bietet künftig eine neue monatliche Abo-Option für App-Entwickler an, bei der sich Abonnenten ein Jahr lang an das Angebot binden.
(Bild: Apple)
Entwickler können im App Store bald Monatsabos mit Jahresbindung anbieten. Die Option gilt weltweit – außer in den USA und Singapur.
Apple hat eine neue Abrechnungsoption für automatisch verlängerbare Abonnements im App Store [1] eingeführt. Entwickler können ihren Nutzern künftig monatliche Zahlungen mit einer verbindlichen Laufzeit von zwölf Monaten anbieten – quasi eine Ratenzahlung für Jahresabos zu einem vergünstigten Monatspreis. Und das Herunterbrechen in Monatsraten dürfte Jahresabos insgesamt attraktiver erscheinen lassen. Entwickler erhalten indessen mehr Planungssicherheit, wenn sich Nutzer für ein Jahr binden.
Wie Apple in seinen Developer News [2] mitteilt, lässt sich die neue Option ab sofort in App Store Connect konfigurieren und in Xcode testen. Live geschaltet wird sie mit den kommenden Betriebssystemversionen iOS 26.5, iPadOS 26.5, macOS Tahoe 26.5, tvOS 26.5 und visionOS 26.5, die Apple für Mai 2026 angekündigt hat. Auffällig: Die USA und Singapur sind von der neuen Abo-Variante ausgenommen. Apple nennt keine Gründe für den Ausschluss – denkbar sind regulatorische Besonderheiten oder marktspezifische Erwägungen. Für Entwickler, die Abonnements anbieten, hat Apple zuletzt auch den Analytics-Bereich in App Store Connect massiv ausgebaut: Mit über 100 neuen Metriken für In-App-Käufe und Abonnements [3] lassen sich etwa Kohorten-Analysen und Conversion-Daten auswerten.
Konfiguration in App Store Connect
Technisch müssen Entwickler in App Store Connect eine Subscription Group anlegen und darin ein Abo-Produkt mit der Laufzeit „1 year“ erstellen. Außerhalb der USA und Singapurs aktiviert das System dann automatisch die Option zur monatlichen Abrechnung mit Jahresbindung. Entwickler können Preise pro Land festlegen, die Verfügbarkeit steuern und über sogenannte Levels Upgrades sowie Downgrades zwischen verschiedenen Abo-Stufen ermöglichen. Apple verweist auf die ausführliche Dokumentation zu Abonnements [4] sowie die StoreKit-APIs zur Integration in Apps.
Bestehende Jahresabonnements bleiben von der Neuerung unberührt. Die neue Option ergänzt das bisherige Angebot – Entwickler behalten die volle Kontrolle darüber, welche Abo-Varianten sie anbieten möchten.
Transparenz für Nutzer, Vorteile für Entwickler
Für Abonnenten verspricht Apple Transparenz: In den Kontoeinstellungen sollen abgeschlossene und verbleibende Zahlungen einsehbar sein. Vor einer Verlängerung nach Ablauf der zwölf Monate verschickt Apple E-Mails und Push-Benachrichtigungen. Eine Kündigung ist jederzeit möglich – das Abo verlängert sich dann nach den zwölf Monaten nicht weiter. Hinsichtlich europäischer Verbraucherrechte dürfte die Konstruktion mit der EU-Verbraucherrechterichtlinie vereinbar sein: Die Kündigung bleibt unkompliziert und das 14-tägige Widerrufsrecht gilt weiterhin.
Für Entwickler – gerade auf preissensiblen Märkten wie Deutschland – senkt das Modell die Einstiegshürde: Statt einer großen Einmalzahlung für ein Jahresabo sehen Nutzer überschaubare Monatsbeträge. Das kann die Conversion-Rate erhöhen und die Abwanderung reduzieren. Parallel dazu weitet Apple im App Store auch die Werbemöglichkeiten aus: Ab 2026 erscheinen mehr Anzeigen in den Suchergebnissen [5], was Entwicklern zusätzliche Wege bietet, ihre Apps bekannt zu machen. Bei den Erlösen gilt Apples übliches Modell: 70 Prozent im ersten Jahr, danach 85 Prozent – Teilnehmer am Small Business Program erhalten von Beginn an 85 Prozent.
Vergleich mit Google Play
Google bietet im Play Store mit Zahlungsplänen ein ähnliches Konzept an, bei dem Nutzer rabattierte Monatsraten zahlen. Eine exakte Entsprechung zur 12-monatigen Bindung mit monatlicher Abrechnung gibt es dort allerdings nicht.
URL dieses Artikels: https://www.heise.de/-11275298
Linux-Distribution Fedora 44: KDE Plasma und Wayland im Fokus
Von Heise — 28. April 2026 um 16:50
Fedora 44 tritt beim Wayland-Umstieg aufs Gas, poliert die KDE-Installation auf und unterstützt deklaratives Paketmanagement mit Nix.
Mit leichter Verzögerung ist die Linux-Distribution Fedora [1] in Version 44 doch noch im April erschienen. Grund für die Verzögerungen waren unter anderem Bugs im neuen Einrichtungsassistenten für KDE Plasma. Das neue Release verspricht sonst vor allem graduelle Verbesserungen.
Fedora Workstation aktualisiert die Desktopumgebung Gnome auf Version 50 [2]. Die bringt neue Features für „digitales Wohlbefinden“ und viel Feinschliff, etwa bei der Fernanmeldung, dem Screenreader Orca oder dem Dokumentenbetrachter. Außerdem wurde bei Gnome 50 der X-Server-Code vollständig aus der Codebasis entfernt.
Neues bei KDE-Plasma-Varianten
Ein großer Teil der Änderungen in Fedora 44 entfällt auf die drei KDE-Plasma-Varianten (Desktop Edition, Mobile Spin und Kinoite). Deren User dürfen sich auf die Plasma-Version 6.6 sowie ein neues „Account Setup“ freuen: statt Benutzerdaten wie Nutzername und Zeitzone während der Installation abzufragen, passiert das nun später im Rahmen des ersten Boots. Damit wird der Einrichtungsprozess den Gnome-Varianten angeglichen; außerdem erlaubt dies Computerherstellern, mit KDE vorinstallierte Geräte auszuliefern, bei denen Benutzer beim ersten Start nur noch ihre persönlichen Daten eingeben müssen.
Statt SDDM (Simple Desktop Display Manager) ist nun dessen moderne Weiterentwicklung PLM (Plasma Login Manager) für die Anmeldung zuständig. Bestandsinstallationen müssen diese Änderung aber manuell vornehmen – sie passiert beim Update nicht automatisch. Darüber hinaus wird die Fedora-Variante Games Lab von Xfce auf KDE umgestellt, um von Wayland profitieren zu können.
Budgie-Desktop im Wayland
Fedora 44 liefert den Budgie-Desktop in Version 10.10 aus. Dieser wurde anscheinend eilig auf Wayland [3] umgestellt; als Nebenwirkung werden Bildschirm- und Bluetooth-Einstellungen nun in eigenen Apps verwaltet und nicht mehr im Budgie Control Center. In der Screenshot-Applikation können keine ganzen Fenster mehr ausgewählt werden und statt LightDM wird künftig SDDM als Login-Manager ausgeliefert, der von KDE gerade für veraltet erklärt wurde.
Der Gnome-Desktop von Fedora 44 Workstation zeigt hier eine Willkommensseite für neue Benutzer und Systeminformationen.
(Bild: Marvin Shah)
Der Linux-Kernel wird auf Version 6.19 angehoben, viele wichtige Entwicklungswerkzeuge wie PHP, Ruby, Django und Ansible erfahren größere Updates. Ein besonderes Goodie: Der deklarative Paketmanager Nix kann ab sofort nativ aus den Fedora-Quellen installiert werden und bietet Zugriff auf das gesamte NixOS-Softwareökosystem.
Für die Hauptversionen Workstation (Gnome) und KDE Plasma Desktop sowie Fedora IoT gibt es Installationsimages für x86-64 und aarch64 (ARM); die Hauptversionen für Server (Server, CoreOS und Cloud) zusätzlich auch für IBMs s390x und PowerPC (ppc64le). Mehr zu den Neuerungen in Fedora 44 findet man in den Release Notes [4] sowie detailliert in der Auflistung aller umgesetzten Änderungen [5].
FreshRSS 
