Seoul will Atom-U-Boote bauen – doch Trump fordert den Bau in den USA. Nun ringen beide Länder um ein beispielloses Produktionsmodell.
Südkorea rüstet auf – und zwar unter Wasser. Das Verteidigungsministerium in Seoul hat am Dienstag den ersten umfassenden Plan für den Bau eigener atomgetriebener U-Boote vorgelegt.
Das Projekt trägt den Namen "Jangbogo-N" und soll das Land in den exklusiven Klub der Atom-U-Boot-Betreiber befördern. Mitte der 2030er Jahre soll das erste Boot vom Stapel laufen, Ende des Jahrzehnts soll es dann einsatzbereit sein, berichtet [1]Bloomberg.
Präsident Lee Jae Myung berief eigens einen neuen Rat für Verteidigungsstrategie im U-Boot-Kommando der Marine in Jinhae ein. Die Atom-U-Boote würden Südkoreas "Entschlossenheit symbolisieren, Verantwortung für Frieden und Sicherheit auf der koreanischen Halbinsel zu übernehmen", erklärte Lee laut Bloomberg.
Hinter der diplomatischen Rhetorik steckt ein klarer Adressat: Nordkorea, das seit Jahren an seegestützten nuklearen Trägersystemen arbeitet und zuletzt den Rumpf eines eigenen Atom-U-Boots präsentierte [2].
Schwach angereichertes Uran statt Waffenmaterial
Technisch setzt Seoul bewusst auf einen anderen Weg als die USA oder Großbritannien. Als Reaktorbrennstoff soll schwach angereichertes Uran (Low-Enriched Uranium, LEU) mit einem Anreicherungsgrad von unter 20 Prozent zum Einsatz kommen, teilte das südkoreanische Verteidigungsministerium mit [3], heißt es im Fachmagazin Hartpunkt.
Zum Vergleich: US-amerikanische Virginia-Klasse-Boote und die geplanten AUKUS-U-Boote für Australien nutzen hoch angereichertes Uran (HEU) mit über 90 Prozent Anreicherung – Material, das auch waffenfähig wäre.
Südkoreas LEU-Ansatz soll die Bedenken zerstreuen, das Land wolle die Verpflichtungen aus dem Vertrag zur Nichtverbreitung von Atomwaffen unterlaufen, spekuliert Hartpunkt. Bei diesem Ansatz wird es aber erforderlich sein, den Brennstoff während der geplanten Betriebszeit von mehr als 30 Jahren periodisch zu wechseln.
Konkrete Spezifikationen wie Verdrängung oder Bewaffnung hält Seoul noch unter Verschluss. Fachanalysten gehen davon aus, dass das Design auf der bestehenden KSS-III-Klasse aufbaut, die rund 3750 Tonnen getaucht verdrängt und über vertikale Startzellen für ballistische Raketen verfügt.
Das nuklear angetriebene Nachfolgemodell dürfte mit über 4000 Tonnen deutlich größer ausfallen und dauerhaft höhere Unterwassergeschwindigkeiten von mehr als 25 Knoten erreichen.
Trump-Deal und die Werftfrage
Der Plan fällt nicht vom Himmel. Bereits im Oktober 2025 hatte US-Präsident Donald Trump bei einem Gipfeltreffen mit Lee seine Unterstützung für Südkoreas Atom-U-Boot-Ambitionen signalisiert – und gleichzeitig gefordert, die Boote sollten in einer Werft in Philadelphia gebaut werden.
Seoul besteht laut Bloomberg dagegen auf den Bau im eigenen Land. Seitdem verhandeln beide Seiten hinter verschlossenen Türen [4] über ein beispielloses Modell: eine von Korea geleitete gemeinsame Produktion, möglicherweise an Standorten in beiden Ländern.
Südkorea bringt dafür erhebliches industrielles Gewicht mit. Mit Hanwha Ocean, HD Hyundai Heavy Industries und Samsung Heavy Industries besitzt das Land drei der weltweit größten Werftkonzerne, die bereits konventionelle U-Boote in Serie bauen.
Hanwha hat zudem die Philly Shipyard in Philadelphia übernommen. Für den Bau nuklear angetriebener Boote fehlt allerdings die Infrastruktur: Strahlenschutzzonen, Brennstoff-Handling und nuklearqualifiziertes Personal müssen erst aufgebaut werden.
40.000 Arbeitsplätze und ein 40-Jahres-Projekt
Das Verteidigungsministerium bezeichnet das Vorhaben als "nationales Strategieprojekt", das Schiffbau-, Nuklear- und Rüstungsindustrie über mehr als 40 Jahre verbinden soll.
Südkoreas zivile Nuklearindustrie mit 26 kommerziellen Reaktoren soll Reaktordesign und Brennstoffexpertise beisteuern. Das Ministerium erwartet mehr als 40.000 neue Arbeitsplätze.
Ob der ambitionierte Zeitplan hält, ist allerdings fraglich. Seoul muss nicht nur die technischen Herausforderungen meistern, sondern auch das bilaterale Atomabkommen mit den USA anpassen, das die militärische Nutzung von Uran aus den USA einschränkt.
Zudem braucht es neue Safeguards-Vereinbarungen mit der Internationalen Atomenergie-Organisation (IAEO). Experten halten eine Verschiebung der operativen Indienststellung Richtung 2040 für realistisch.
URL dieses Artikels: https://www.heise.de/-11307269
Hyperschallflug: Tokio–Los Angeles in rund zwei Stunden
Von Telepolis — 26. Mai 2026 um 16:00
Das JAXA-Konzept für ein Hyperschallflugzeug, das Tokio und Los Angeles in etwa zwei Stunden verbinden könnte.
(Bild: Jaxa)
JAXA hat ein Staustrahltriebwerk für Mach 5 am Boden getestet. Ziel ist ein Passagierflugzeug mit 100 Sitzen für den Pazifiküberflug in den 2040ern.
Zehn Stunden sitzt man heute im Flieger von Tokio nach Los Angeles. Die japanische Weltraumagentur JAXA will diese Strecke auf rund zwei Stunden eindampfen – mit einem Flugzeug, das bei fünffacher Schallgeschwindigkeit in 25 Kilometern Höhe über den Pazifik rast.
Das mag nach einer fernen Zukunft klingen, doch ein erfolgreicher Bodentest im Kakuda Space Center hat das Vorhaben einen entscheidenden Schritt vorangebracht.
Wie The Mainichiberichtet [1], schlossen Ingenieure der JAXA gemeinsam mit der Waseda-Universität, der Universität Tokio und der Keio-Universität im April 2026 einen Verbrennungstest ab, bei dem ein wasserstoffbetriebenes Staustrahltriebwerk unter simulierten Mach-5-Bedingungen lief.
Das etwa zwei Meter lange Modell wurde dabei nicht in die Luft geschickt, sondern in einer Testanlage Bedingungen ausgesetzt, wie sie in rund 25 Kilometern Höhe herrschen – dort ist die Atmosphäre nur etwa ein Dreißigstel [2] so dicht wie auf Meereshöhe.
Bei Mach 5 erreicht die Luft an Nase und Vorderkanten Temperaturen von über 1.000 Grad Celsius. Genau diese extreme Hitze galt es zu beherrschen, und genau hier liegt der eigentliche Durchbruch des Tests: Die Ingenieure hielten die Innentemperatur des Flugwerks nahe normaler Betriebstemperatur.
Avionik und Steuerelektronik funktionierten, wie heise onlinebereits berichtet hat [3], unter diesen Bedingungen störungsfrei.
Ramjet ohne bewegliche Teile
Ein Staustrahltriebwerk (Ramjet) funktioniert grundlegend anders als herkömmliche Turbofan-Antriebe. Es besitzt keine rotierenden Kompressoren. Stattdessen nutzt es die enorme Vorwärtsgeschwindigkeit des Flugzeugs, um einströmende Luft allein durch den Staudruck zu verdichten.
Diese komprimierte Luft wird mit Treibstoff vermischt und gezündet – fertig ist der Schub.
Der Nachteil: Ein Ramjet kann nicht aus dem Stand starten. Das Flugzeug muss erst auf Überschallgeschwindigkeit gebracht werden, bevor das Triebwerk überhaupt zünden kann.
JAXA setzt dabei auf flüssigen Wasserstoff als Treibstoff und Kühlmittel zugleich. Ein Pre-Cooling-System soll die bis zu etwa 1.000 Grad heiße Ansaugluft auf rund 300 Grad Celsius herunterkühlen, bevor sie in das Kerntriebwerk gelangt.
Das unterscheidet den japanischen Ansatz deutlich von US-amerikanischen Programmen wie dem X-51A Waverider der US Air Force [4], der auf kohlenwasserstoffbasierte Treibstoffe wie JP-7 und einen Scramjet-Antrieb setzte.
Zivil statt militärisch
Der Unterschied geht tiefer als nur der Treibstoff.
Während die US-Programme wie der X-51A als unbemannte Technologie-Demonstratoren für künftige Hyperschallwaffen konzipiert waren, zielt JAXA ausdrücklich auf ein ziviles Passagierflugzeug mit 100 Sitzen.
Das Konzept sieht Tanks für Flüssigwasserstoff vorne und hinten im Rumpf vor, um den Schwerpunkt zwischen Start und Hyperschallflug passend zu verlagern.
Für den Hitzeschutz untersuchen die Forscher unter anderem siliziumkarbidbasierte Verbundwerkstoffe an Rumpf und Tragflächenvorderkanten.
Welche der drei beteiligten Universitäten konkret für welchen Teilbereich verantwortlich zeichnet – ob Waseda die Aerodynamik beisteuert, Tokio den Wärmeschutz oder Keio die Flugmechanik –, hat JAXA bislang nicht offengelegt.
Ebenso wenig veröffentlichte die Agentur konkrete Messdaten zu Druck oder Schub aus dem Bodentest.
Bekannt ist lediglich, dass Sensoren die Verteilung der Oberflächentemperatur erfassten, um die thermisch-strukturellen Berechnungen zu verifizieren.
Nächster Halt: Höhenforschungsrakete
Der Bodentest war ein notwendiger erster Schritt – aber eben nur ein Bodentest. Als nächsten Meilenstein plant JAXA, das Experimentalflugzeug auf einer Höhenforschungsrakete zu montieren und einen realen Flug bei Mach 5 zu versuchen.
Gelingt das, wäre erstmals unter echten Flugbedingungen nachgewiesen, dass die integrierte Auslegung von Flugwerk und Antrieb bei Hyperschallgeschwindigkeit funktioniert – eine Kopplung, die JAXA als zentrale Herausforderung beschreibt.
Dass der Passagierverkehr über Flugzeugen mit Hyperschallantrieb abgewickelt wird, bleibt dennoch ein Fernziel. JAXA nennt die 2040er Jahre als Zeithorizont. Bis dahin müssen nicht nur technische Hürden fallen, sondern auch regulatorische: Zertifizierung, Sicherheitsnachweise und internationale Standards für Flüge bei fünffacher Schallgeschwindigkeit in 25 Kilometern Höhe existieren schlicht noch nicht.
Parallel arbeitet die NASA mit der X-59 [5] daran, wenigstens für Überschallflüge über Land neue Lärmgrenzwerte zu etablieren – ein Problem, das bei Mach 5 nochmals eine ganz andere Dimension haben dürfte.
URL dieses Artikels: https://www.heise.de/-11306805
Batterie-Test: 1.300 Stunden stabile Leistung erreicht
Von Telepolis — 26. Mai 2026 um 14:35
(Bild: Lightboxx/Shutterstock.com)
Japanische Forscher lösen ein jahrzehntealtes Problem – und machen aus dem größten Feind der Batterie ihren stärksten Verbündeten.
Wer Batterien baut, kennt das Problem: An den Grenzflächen zwischen Anode und Elektrolyt laufen chemische Reaktionen ab, die eigentlich niemand haben will. Sie fressen Leistung, verkürzen die Lebensdauer und gelten als einer der Hauptgründe, warum Festkörper-Magnesiumbatterien bislang nicht über das Laborstadium hinauskommen.
Ein Team der Tohoku-Universität in Sendai dreht diesen Nachteil nun um – und macht aus dem Störfaktor einen Stabilitätsgaranten.
Wie Interesting Engineering berichtet, entwickelten die Forscher eine Anode aus einer Magnesium-Zinn-Legierung (Mg₂Sn), die in Tests über 1.300 Stunden stabil arbeitete. Veröffentlicht wurde die Studie [1] in ACS Energy Letters.
Die Forscher um Hao Li, Distinguished Professor am Advanced Institute for Materials Research (WPI-AIMR) der Tohoku-Universität, wählten einen anderen Weg. "Lange Zeit wurden Grenzflächenreaktionen als etwas betrachtet, das es zu vermeiden galt", erklärte Li [2].
"Unsere Ergebnisse zeigen jedoch, dass diese Reaktionen, wenn sie sorgfältig gesteuert statt unterdrückt werden, dazu beitragen können, dass Festkörper-Magnesiumbatterien weitaus effektiver arbeiten."
Mg₂Sn als Reaktionspuffer per Algorithmus gefunden
Die Besonderheit des Systems liegt in der gezielt eingestellten Verbindung Mg₂Sn, die als sekundäre Phase in der Magnesium-Matrix verteilt ist.
Um das optimale Material zu finden, durchsuchte das Team per High-Throughput-Screening 2.227 binäre Magnesiumphasen und bewertete 596 thermodynamisch stabile Kandidaten.
Mg₂Sn stach dabei mit einer besonders niedrigen Grenzflächen-Bildungsenergie von −0,55 J/m² hervor – das bedeutet eine starke, aber kontrollierbare Kopplung zum verwendeten MBN-Festelektrolyten.
Statt einer dicken, blockierenden Passivschicht bildet sich an der Mg₂Sn-Oberfläche eine dünne, ionenleitende Reaktionszone. Die verteilten Mg₂Sn-Domänen schaffen zusätzliche Transportpfade für Magnesiumionen und sorgen für eine gleichmäßigere Metallabscheidung beim Laden.
Das Ergebnis: stabile Überpotenziale über den gesamten Testzeitraum, keine progressive Polarisation und keine erkennbare mechanische Degradation der Anode.
Grundlagenforschung mit Potenzial – und offenen Fragen
Bevor jemand Elektroautos mit Magnesium-Batterie plant, sind allerdings einige Einschränkungen zu beachten. Die Tests liefen als Halbzellenmessungen in laborüblichen Knopfzellenformaten bei moderaten Stromdichten von rund 0,1 mA/cm².
Angaben zu Energiedichte, Coulomb-Wirkungsgrad oder Temperaturfenster einer kompletten Zelle fehlen – die Arbeit behandelt gezielt die Anodenchemie, nicht die Gesamtzelle.
Auch Hochenergie-Kathoden mit ausreichender Magnesium-Mobilität bleiben ein ungelöstes Problem.
Die Autoren benennen zudem offen, dass ihre Designprinzipien bisher nur für den spezifischen MBN-Elektrolyten validiert sind. Fragen zur industriellen Skalierbarkeit der Legierungsherstellung und zur Langzeitstabilität über deutlich mehr als 1.300 Stunden lässt die Studie bewusst unbeantwortet.
Trotzdem ist der Ansatz bemerkenswert: Magnesium ist eines der häufigsten Elemente der Erdkruste und in Meerwasser reichlich vorhanden. Anders als bei Lithium und Kobalt, die die EU als strategisch kritische Rohstoffe einstuft, wäre die Materialbasis für Mg-Batterien deutlich breiter.
Dass die Tohoku-Forscher einen Weg gefunden haben, das hartnäckigste Grenzflächenproblem dieser Chemie produktiv zu nutzen, könnte der Entwicklung sichererer und günstigerer Energiespeicher einen wichtigen Impuls geben.
URL dieses Artikels: https://www.heise.de/-11306545
Anzeige: Lego Mandalorianer und Grogu auf Speeder kosten bei Amazon nur 7 Euro
Von Benjamin Gründken — 26. Mai 2026 um 18:54
Bei Amazon kostet ein beliebtes Lego-Set aus der Mandalorianer-Reihe keine 7 Euro mehr.
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
Der Mandalorianer und Grogu sind aktuell auch im Kino zu sehen.Bild:
Erzeugt mit ChatGPT; Amazon,Lego; Montage: Golem
Mit dem Kinostart von The Mandalorian & Grogu rücken zwei der beliebtesten Figuren aus dem modernen Star-Wars-Universum wieder stärker in den Fokus: der schweigsame Kopfgeldjäger Din Djarin und Grogu, der vielen Fans als "Baby Yoda" bekannt ist. Seit ihrem ersten Auftritt in The Mandalorian zählt das Duo zu den beliebtesten Figuren der letzten Jahre. Besonders Grogu entwickelte sich schnell zum Fanliebling und ist inzwischen auch bei Lego in zahlreichen Sets vertreten.
Passend zum aktuellen Kinofilm ist ein kleines Lego-Set mit den beiden Figuren günstig erhältlich. "Lego Star Wars Der Mandalorianer und Grogu auf ihrem Speeder Bike" kostet bei Amazon derzeit nur 6,99 Euro statt der unverbindlichen Preisempfehlung von 9,99 Euro. Das entspricht einer Ersparnis von 30 Prozent gegenüber dem Shop der Dänen.
Was bietet das Set?
Das Set richtet sich laut Lego an Kinder ab sechs Jahren und orientiert sich an Szenen aus der ersten Staffel von The Mandalorian. Enthalten sind ein kleines Speederbike sowie zwei Figuren: der Mandalorianer Din Djarin und Grogu. Laut Hersteller sitzt Grogu in einer seitlichen Tasche am Fahrzeug, während sich das Gewehr des Mandalorianers hinten am Speeder befestigen lässt.
Gedacht ist das Modell sowohl zum Spielen als auch als kleine Star-Wars-Deko im Kinderzimmer. Zudem lässt sich das Set mit weiteren Lego-Star-Wars-Bausätzen kombinieren. Unterstützung beim Aufbau bietet die LEGO-Builder-App, mit der sich das Modell digital in 3D betrachten lässt.
Auch bei Käufern scheint das Set gut anzukommen: Auf Amazon erreicht es derzeit 4,7 von 5 Sternen bei mehr als 500 Bewertungen. Bei Amazon hat es sich allein im letzten Monat über 1.000-mal verkauft.
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
, hatte laut Preistracker Keepa im 90-Tage-Mittel aber noch 8,20 Euro verlangt. Anfang des Monats war es zudem nach rund zwei Wochen mit Versand über Amazon ausverkauft.
LEGO Star Wars Der Mandalorianer und Grogu auf ihrem Speeder Bike - Set mit Fahrzeug und 2 Star Wars Figuren für Actionabenteuer - Geschenk für Kinder ab 6 Jahren - 75436
-30%
9,99 €, jetzt: 6,99 € (-30%) bei amazon9,99 €6,99 € Zum Angebot
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
Günstig gibt es bei Amazon auch die neue Razor Crest, die aus 930 Klemmbausteinen wieder aufgelegt wurde. Dazu gesellen sich vier Mini-Figuren. Aktuell nimmt Amazon 114,99 Euro
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
bei einem Dreimonatsschnitt laut Preisüberwacher von 138,39 Euro.
LEGO Star Wars 75447 Razor Crest - The Mandalorian und Grogu Set mit 4 Minifiguren & Grogu Figur - Geburtstagsgeschenk für Jungen, Mädchen & Filmfans ab 10 Jahren
-23%
149,99 €, jetzt: 114,99 € (-23%) bei amazon149,99 €114,99 € Zum Angebot
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
Weitere Lego-Star-Wars-Sets findet man bei Amazon in der Übersicht
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
Anzeige: Curved-Gaming-Monitor von MSI mit 180 Hz für unter 100 Euro
Von Erik Körner — 26. Mai 2026 um 17:50
Amazon verkauft den MSI MAG 27C6F zum Tiefstpreis im befristeten Angebot. Der Deal gilt nur noch wenige Tage.
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
Der 27 Zoll große Curved-Gaming-Monitor MSI MAG 27C6F zum Tiefstpreis bei AmazonBild:
Amazon.de/Erstellt mit ChatGPT
Ein Curved-Gaming-Monitor für Gamer mit knappem Budget ist bei Amazon wieder zum Tiefstpreis erhältlich. Der 27 Zoll große MSI MAG 27C6F kostet aktuell unter 100 Euro. Das Angebot läuft bis zum 31. Mai, kann aber vorzeitig enden. Laut dem Onlinehändler ist die Nachfrage extrem hoch. Wir empfehlen daher, schnell zu bestellen.
Das bietet der Curved-Gaming-Monitor von MSI
Der MSI MAG 27C6F MAG ist mit einem rahmenlosen Rapid-VA-Panel ausgestattet. Das Besondere: Anders als herkömmliche VA-Panel kommt es auf eine niedrige Reaktionszeit von nur 0,5 ms, ähnlich wie teurere IPS-Panels. Dadurch wird Ghosting bei schnellen Bewegungen vorgebeugt und das Bild wirkt selbst in hitzigen Matches klar. Um Reflexionen bei starkem Sonneneinfall vorzubeugen, ist der Curved-Gaming-Monitor mit einer matten Beschichtung überzogen. Der Bildschirm hat eine mittelstarke Krümmung von 1500 R.
Dem Preis entsprechend richtet sich der MSI MAG 27C6F MAG vor allem an Spieler mit Low- bis Mid-Range-Systemen. Er stellt Inhalte in Full-HD-Auflösung und 180 Hz Bildwiederholrate dar, ist also ideal für kompetitive Games wie Counter-Strike geeignet. Der Curved-Gaming-Monitor kann seine Bildwiederholrate automatisch an die Framerate des Spiels via Adaptive Sync anpassen. Das beugt Tearing vor. Dank flimmerfreier Wiedergabe und einem optionalen Blaulichtfilter soll der Bildschirm Ermüdungserscheinungen bei langen Sitzungen minimieren.
Der MSI MAG 27C6F MAG ist mit PCs, Laptops und Konsolen kompatibel. Zur Verbindung mit externen Geräten sind zwei HDMI-2.0b- und ein Displayport-1.2-Anschluss verbaut. Für optimalen Komfort kann der mitgelieferte Standfuß um 5 Grad nach vorn und 20 Grad nach hinten geneigt werden. Alternativ lässt sich der Curved-Gaming-Monitor dank Vesa-konformen Löchern auf der Rückseite an Monitorarmen befestigen.
MSI bei Amazon: Gaming-Monitore, Grafikkarten und mehr über 40 Prozent günstiger
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
von MSI kostet im befristeten Amazon-Angebot 99,99 Euro. Laut Preistracker Keepa lag der Durchschnittspreis der letzten 90 Tage bei 126,83 Euro. Mehr reduzierte Gaming-Hardware von MSI, darunter weitere Monitore, Geforce-Grafikkarten oder Gehäuse, findet man auf der Amazon-Seite
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
des Herstellers. Man spart bis zu 41 Prozent gegenüber der unverbindlichen Preisempfehlung. Stöbern lohnt sich.
MSI MAG 27C6F Curved-Gaming-Monitor
-44%
177,99 €, jetzt: 99,99 € (-44%) bei Amazon177,99 €99,99 € Zum Angebot
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.
Nach Papst-Enzyklika: Plädoyer für "ethische KI" und Wunsch nach mehr Debatte
Von Friedhelm Greis — 26. Mai 2026 um 17:45
Die Warnungen von Papst Leo XIV. vor der Gefahren einer ungezügelten KI stoßen bei Politik und Wirtschaft auf Zustimmung. Vor allem bei Anthropic.
Bundesdigitalminister Karsten Wildberger plädiert für eine "ethische KI".Bild:
Tobias Schwarz/AFP/Getty Images
Bundesdigitalminister Karsten Wildberger begreift das KI-Rundschreiben von Papst Leo XIV. als Anstoß zur Entwicklung eigener Systeme in Deutschland und Europa. "Eine KI, die mit fremden Daten, nach fremden Werten und auf der Grundlage fremder Geschäftsmodelle trainiert wurde, macht uns abhängig – und sie muss nicht dem entsprechen, was wir selbst für richtig halten", sagte der CDU-Politiker der Rheinischen Post.
Wenn Technologie dem Menschen dienen solle, sei es wichtig, diese selbst zu gestalten. "Nicht nur regulieren. Sondern entwickeln, prägen und verantworten. Ethische KI aus Deutschland und Europa ist deshalb eine Voraussetzung für demokratische Selbstbestimmung im digitalen Zeitalter", sagte Wildberger weiter.
Leo XIV. spielt in dem mehr als 100-seitigen Dokument auf den biblischen Turmbau zu Babel an und kritisiert "die Vergötterung des Profits, die die Schwachen opfert; die Einförmigkeit, die Unterschiede nivelliert; den Anspruch einer einzigen – auch digitalen – Sprache, die in der Lage ist, alles, sogar das Geheimnis der Person, in Daten und Leistung zu übersetzen". Das stelle die Gefahr einer Entmenschlichung dar.
Dabei seien technologische Innovationen – einschließlich der künstlichen Intelligenz – nicht neutral: "Sie können Teilhabe und Gerechtigkeit fördern oder Ungleichheiten, Kontrolle und Ausgrenzung verstärken", schreibt der Papst. Laut Wildberger liegt in der Aussage des Papstes, dass KI moralisch nicht neutral ist, eine "entscheidende Einsicht".
Ähnlich äußerte sich Bitkom-Präsident Ralf Wintergerst. "Künstliche Intelligenz muss dem Menschen dienen und damit auch dem Gemeinwohl", sagte er der Rheinischen Post und verwies auf Beispiele wie die Früherkennung von Krankheiten oder den Bildungsbereich. "Entscheidend ist, dass wir die Chancen der KI verantwortungsvoll nutzen und klare Grenzen dort ziehen, wo Grundrechte, Sicherheit oder Menschenwürde berührt sind", sagte er weiter. Deutschland und Europa sollte "eine pragmatische KI-Entwicklung" ermöglichen.
Bei der Vorstellung der Enzyklika in Rom sprach auch Anthropic-Mitbegründer Christopher Olah.
Laut Redemanuskript begrüßte er ausdrücklich die Initiative des Papstes. "Manche mögen glauben, dass Fragen der KI am besten von Informatikern wie mir behandelt werden sollten. Darin irren sie: Die Fragen, die die KI aufwirft, reichen weit über die KI-Forschungsgemeinschaft hinaus – nicht nur hinsichtlich ihrer Auswirkungen, sondern auch hinsichtlich ihrer eigentlichen Natur", sagte er zur Begründung.
Denn KI-Systeme würden nicht wie eine Brücke konstruiert. "Sie erwachsen auf der Grundlage einer Struktur, die grob dem Gehirn nachempfunden ist, und bauen auf einem riesigen Erbe menschlichen Denkens und Sprechens auf", sagte Olah.
Der Anthropic-Mitbegründer warnte dabei vor den sozialen Folgen des KI-Einsatzes: "Es besteht die reale Möglichkeit, dass die KI menschliche Arbeitskraft in einem sehr großen Ausmaß verdrängen wird. Sollte dies geschehen, wird die Unterstützung der dadurch verdrängten Menschen zu einem moralischen Gebot von historischem Ausmaß werden."Zudem räumte er ein, dass die Entwickler von KI-Modellen immer wieder auf Vorgänge stießen, die "rätselhaft, ja sogar beunruhigend sind". Olah erläuterte weiter: "Wir finden Strukturen, die Ergebnisse aus der menschlichen Neurowissenschaft widerspiegeln. Wir finden Hinweise auf Introspektion. Wir finden innere Zustände, die funktional Freude, Zufriedenheit, Angst, Trauer und Unbehagen abbilden." Er wisse zwar nicht, was das bedeute, aber es mache eine fortwährende, sorgfältige Untersuchung erforderlich.
Olah appellierte abschließend an weitere Interessenvertreter, sich an der Diskussion über die KI-Regulierung zu beteiligen: "Wir brauchen mehr Akteure weltweit – Religionsgemeinschaften, die Zivilgesellschaft, Wissenschaftler, Regierungen und tatsächlich alle Menschen guten Willens -, die das tun, was Seine Heiligkeit hier getan hat: die Sache ernst nehmen, genau hinschauen und die Ereignisse in eine bessere Richtung lenken."
Gespräche mit großen IT-Konzernen in Rom
Einem Bericht von Politico zufolge hatte sich Leo XIV. bereits Ende April 2026 mit Vertretern von Amazon, Meta und Google zum Thema KI getroffen. Zudem habe die US-Botschaft am Heiligen Stuhl Anfang Mai Veranstaltungen zum Thema KI organisiert. Daran habe auch der ehemalige britische Finanzminister George Osborne teilgenommen, der inzwischen für ChatGPT-Entwickler OpenAI tätig ist. Dessen Chef Sam Altman äußerte sich bislang nicht zum Schreiben des Papstes.
IBM QRadar SIEM: Schwachstellen in Komponenten von Drittanbietern geschlossen
Von Heise — 26. Mai 2026 um 16:24
(Bild: AFANASEV IVAN/Shutterstock.com)
Unter anderem nun geschlossene Sicherheitslücken im Linux-Kernel gefährden IBM QRadar SIEM.
Weil mehrere Komponenten von Drittanbietern in IBMs QRadar SIEM Softwareschwachstellen aufweisen, können Angreifer die IT-Sicherheitslösung attackieren. Nun ist eine Ausgabe mit Sicherheitspatches erschienen.
Instanzen vor möglichen Attacken schützen
In einer Warnmeldung versichern die Entwickler [1], die Sicherheitsprobleme in IBMs QRadar SIEM 7.5.0 UP15 IF03 gelöst zu haben. Insgesamt haben sie der Meldung zufolge Updates für 29 Lücken in Komponenten wie dem Linux-Kernel, OpenSSH und Vim implementiert.
Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad „hoch“ eingestuft. An diesen Stellen können Angreifer unter anderem für Schadcode-Attacken (etwa in libarchive CVE-2026-5121 „hoch“) ansetzen.
Aus IBMs Warnmeldung geht nicht hervor, ob Angreifer die Schwachstellen bereits ausnutzen. Unklar bleibt auch, woran Admins bereits attackierte Systeme erkennen können.
URL dieses Artikels: https://www.heise.de/-11306682
Darknet Diaries Deutsch: Kids ohne Skrupel - Teil 2
Von Heise — 26. Mai 2026 um 16:02
Drew fängt an, Namen zu nennen und irrsinnige Methoden zu enthüllen, mit denen in Untergrund-Communities richtig viel Geld gemacht wird.
Dies ist der zweite Teil von „Kids ohne Skrupel". Wenn Ihr Teil eins [1] noch nicht gehört habt, fangt am besten da an. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Dirty Coms [2]“.
Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert [3] werden.
JACK: Mein Gast ist „Drew" – ein junger Mann, der als Teenager tief in die Welt der Online-Untergrund-Communities abgerutscht ist. Er gibt uns einen schonungslosen Einblick in die Szene rund um Hacker, Betrüger und digitale Schwarzmärkte. Drew erzählte uns in der ersten Folge, wie er mit dreizehn Jahren über Roblox und dubiose Robux-Deals in kriminelle Kreise geriet, sich an Geschenkkarten-Phishing beteiligte und auf dem berüchtigten Forum OGUsers mit dem Handel gestohlener Benutzernamen Geld verdiente. Dabei wurde er selbst mehrfach gedoxxt, erpresst und zweimal mit 10.000 USPS-Kartons vor seiner Haustür zugemüllt – eine beispielhafte Geschichte, für den schonungslosen Umgang Krimineller untereinander. In Teil 1 haben wir gehört, wie Drew Schritt für Schritt in diese toxische Welt hineingezogen wurde, welche Lektionen er über Opsec und Vertrauen im Netz gelernt hat, und warum er diese Szene heute dokumentieren und offenlegen will. Jetzt in Teil 2 wird es konkreter – denn Drew fängt an, Namen zu nennen und Methoden zu enthüllen, mit denen in diesen Communities richtig viel Geld gemacht wird.
Das Geschäft mit dem SIM-Swapping
DREW: Lass mal überlegen. Was habe ich Kids in letzter Zeit tun sehen?
JACK: Lass uns doch beim SIM-Swapping einsteigen.
DREW: Wir können über SIM-Swapping sprechen.
JACK: Okay, also ihr wisst vielleicht, was SIM-Swapping ist, aber falls nicht, erkläre ich es ganz schnell. SIM-Swapping ist, wenn du die Telefongesellschaft austrickst, damit sie eine fremde Handynummer auf dein Telefon beziehungsweise Deine SIM-Karte überträgt. Wenn man zum Beispiel sein Handy verliert und ein neues bekommt, muss man der Telefongesellschaft sagen, dass man ein neues Telefon hat und dass die Nummer darauf funktionieren soll. Eigentlich sollte es nicht möglich sein, dass jemand einfach deine Telefonnummer übernimmt, aber es gibt Wege, wie das gemacht werden kann. Der erste Weg ist ziemlich offensichtlich.
DREW: Man sucht sich einen Insider in diesen Unternehmen, normalerweise einen – wie wir ihn nennen – „Manny“ oder Manager, der einem seine Zugangsdaten gibt oder einfach SIM-Swaps durchführt, wenn niemand hinschaut, als wäre es ein imaginärer Kunde. Diese Insider werden häufig mit etwa 10.000 Dollar pro Swap bezahlt. So hat das SIM-Swapping angefangen.
JACK: Okay, das ist also eine Möglichkeit, einen SIM-Swap durchzuführen. Wenn man Filialleiter eines Handyladens ist, hat man natürlich die Möglichkeit dazu. Wenn man das für eines dieser Kids macht, kann man richtig viel Geld verdienen, locker über 1.000 Dollar pro Nummer. Vielleicht sogar 10.000 Dollar pro Nummer. Aber es gibt eine neue Methode, wie diese Kidsr das machen, und die ist irrsinig, geradezu brutal.
DREW: Da ist es nicht so, dass man nicht die Telefongesellschaft anruft; die neue Methode nennt sich Remo-Snatching. Remo ist die Abkürzung für Remote-Tablet. Man geht also zum Beispiel zu T-Mobile. T-Mobile ist derzeit das einfachste Ziel. Man geht in einen T-Mobile-Laden, rennt rein, reißt dem Filialleiter das Tablet aus den Händen und rennt wieder raus.
JACK: Alles klar. Wenn man das Tablet des Filialleiters hat, ist das das Gerät, das autorisiert ist, Telefonnummern zu übertragen. Es macht also Sinn, dass man durch den Diebstahl einen SIM-Swap bei jemandem durchführen kann. Aber halt, ganz so einfach ist es nicht. Gehen wir einen Schritt zurück und zwar einen großen Schritt zurück. Zuerst muss man wissen, bei wem es sich lohnt, einen SIM-Swap durchzuführen. Das Ziel zu identifizieren, kann lange dauern, und dafür sind viele Schritte nötig, und die möchte ich hier aufschlüsseln. SIM-Swapping war schon ein paar Mal Thema in den US-Darknet Diaries, zum Beispiel in den Episoden The Pizza Problem und Tennessee. Das sind zwei Geschichten, in denen Leute ins Visier genommen wurden, einfach weil sie wertvolle Benutzernamen auf Instagram und Twitter hatten. Okay, das wäre also ein Grund, jemanden ins Visier zu nehmen: um die Kontrolle über seinen Benutzernamen zu erlangen und ihn auf OGUsers für ein paar tausend Dollar zu verkaufen. Aber ich habe das Gefühl, das ist mittlerweile ein alter Hut. Es gibt eine ganz neue Verbrechenswelle, die da über uns rollt.
DREW: Die Leute führen einen SIM-Swap für Bankzugänge durch – also Bank-Logins –, über die sie Geld überweisen oder eine Überweisung vornehmen.
JACK: Okay, also Bank-Daten; obwohl das in dieser Community ein großes Ding ist, ist es wirklich schwer, sowas tatsächlich durchzuziehen. Zuerst muss man ein gültiges Login für den Benutzer herausfinden, und woher man Passwörter bekommt, darauf kommen wir später. Aber nehmt für den Moment einfach an, dass wir einen funktionierenden Benutzernamen und ein Passwort für ein Bankkonto haben. Wir loggen uns also in das Konto ein.
DREW: Aber es gäbe keine Möglichkeit, das Geld abzuheben, denn dafür müsste man ein Einmalpasswort oder eine Einmal-PIN erhalten. Also versuchen sie, die SIM-Karte der Person zu tauschen, um an den Einmal-Code zu kommen. SIM-Swapping bei Banken ist eigentlich ein verrücktes Unterfangen, denn es liegt zwar eine Menge Geld auf Bankkonten, aber man braucht auch praktisches Wissen über Geldwäsche, da man buchstäblich das Geld der Person stiehlt und einen Weg finden muss, damit es nicht zu einem zurückverfolgt werden kann. Das ist natürlich extrem schwierig.
JACK: Richtig, während es also einige wirklich clevere Leute gibt, die in diesem Bereich mitmischen, ist das einfachere Ziel, es auf Leute abzusehen, die Kryptowährungen haben. Denn mit Kryptowährungen ist es kinderleicht, das ganze Geld in einer Wallet zu schnappen und es einfach an einen Anonymisierungsdienst wie Tornado Cash zu senden und auszahlen zu lassen. Da das aber so ein lohnendes Ziel ist, sind allerhand Leute hinter Kryptowährungen her. Wie auch immer, es ist für diese Kids sinnvoll, Leute mit prall gefüllten Krypto-Wallets ins Visier zu nehmen, aber wie findet man jemanden mit einer fetten Krypto-Wallet? Nun, das erfordert eine ganze Reihe von Schritten.
DREW: Es handelt sich also um einen riesigen Markt, der ziemlich im Verborgenen stattfindet. Die Leute nutzen sogenannte „Combo-Listen“, also im Grunde durchgesickerte Datenbanken mit Passwörtern und E-Mail-Adressen, wobei die Passwörter natürlich entschlüsselt wurden, etwa mit RainbowCrack oder John the Ripper. Sie lassen diese Daten durchlaufen und suchen nach sogenannten „Commons“, also Passwörtern, die auf mehreren Websites verwendet werden.
JACK: Okay, ihr habt hier ja schon öfter von großen Websites gehört, die von Datenlecks betroffen sind, wo die gesamte Benutzerdatenbank gestohlen wird. Wenn man Kunde auf einer dieser Seiten ist, zuckt man vielleicht einfach mit den Schultern, ändert vielleicht sein Passwort und macht weiter, in der Hoffnung, dass nichts auf einen zurückfällt, oder? Nun, solche Daten sind in diesen Kreisen Gold wert. Zuerst kann man auf eine Seite wie raidforums.com oder nulled.2 oder cracked.2 gehen. Seiten, die Tonnen von kompletten Datenbank-Leaks posten. Es kostet vielleicht ein paar Dollar, um ranzukommen, aber man kann sich die dann direkt dort herunterladen. Wir sprechen von großen Websites, die gehackt wurden; und deren Datenbanken liegen genau dort, leicht zu schnappen, Seiten wie Adobe, die Alaska-Wählerdatenbank. Es gibt dort anscheinend eine Apple-Datenbank. Adult Friend Finder, die Android-Foren, und das ist nur ein kleiner Auszug aus den A's. In diesen Datenbank-Dumps können eine Menge Infos sein, enthalten typischerweise enthalten sie aber den Namen einer Person, ihren Benutzernamen, ihre E-Mail, vielleicht ihre Telefonnummer, vielleicht ihre Adresse und ihr Passwort. Aber ihr Passwort ist in der Datenbank typischerweise gehasht, was bedeutet, dass man nicht wirklich sehen kann, wie es lautet.
Datenlecks als Schatzkarte für Hacker
Ab hier kommen Tools ins Spiel, die Passwort-Hashes knacken können. Es ist schwer, einen einzelnen Hash zu knacken, aber wenn es das ist, was man haben will und man gleichzeitig also hundert Millionen Datensätze in der Adobe-Datenbank hat, dann wird man wahrscheinlich einige Hashes finden können, die nicht besonders stark sind. Für diese Leute hat man dann gültige Benutzernamen und Passwörter. Jetzt nimmt man diesen Benutzernamen oder diese E-Mail-Adresse und gleicht sie mit anderen Datenlecks ab. Verwendet diese Person Passwörter wieder? Gibt es Benutzernamen und Passwörter im Adobe-Leak, die auch bei Netflix funktionieren? Die Antwort ist immer: Leider ja. Viele Leute suchen sich einfach ein Passwort aus und verwenden das dann auf allen Seiten, auf denen sie Konten haben. Nur durch das Knacken eines Datenbank-Dumps hat man nun also Zugriff auf das Netflix-Konto von jemandem, und schon das eröffnet einen völlig neuen, riesigen Markt in den Untergrund-Communitys. Die Leute kaufen Netflix-Konten für jeweils 2,50 Dollar, weil das offensichtlich viel billiger ist, als die 18 Dollar im Monat für ein Premium-Abonnement zu bezahlen.
DREW: Okay, übertragen wir das mal auf Walmart, Chipotle, Nordstrom, OnlyFans, Surfshark, NordVPN, Macy’s Credit, Buffalo Wild Wings und Papa Johns.
JACK: Es gibt Seiten, auf die man gehen kann, um Benutzerkonten für jede dieser Websites zu kaufen. Man bekommt vielleicht sogar ein Kombipaket für einen Haufen Logins, sagen wir 10 Dollar für das ganze Paket. Aber Moment, ihr fragt euch vielleicht, warum jemand ein Login für eine Restaurantkette wie Chipotle kaufen wollen würde? Nun, willkommen beim Fall der mysteriösen Burrito-Bestellungen, von dem Leute im Chipotle-Subreddit berichten. Man kann eine Chipotle-App auf sein Telefon herunterladen und sie nutzen, um Essen zu bestellen, aber die App ist oft mit der Kreditkarte verbunden. Man kann also das Chipotle-Konto von jemand anderem nutzen, um einen Burrito für sich selbst zu bestellen, und dann bezahlen die anderen dafür. Das Gleiche gilt für Papa Johns; kostenlose Pizza, wenn man ein gültiges Login für das Konto von jemand anderem hat. Das führt uns in die Welt der Pizza-Plugs, die ich schon eine Weile genau beobachte.
Es ist fast schon ein Mythos. Es gibt diese Chatrooms, in die man gehen und eine Essensbestellung aufgeben kann, wie zum Beispiel drei große Pizzen, und jemand im Chatroom nimmt die Bestellung an und verlangt vielleicht 5 Dollar von dir. Dann nutzen sie das gestohlene Pizza-Konto, um sich einzuloggen, die Bestellung aufzugeben und dir dann die Pizza zu schicken. Es hat sie 2 oder 3 Dollar gekostet, das Konto zu kaufen; sie verdienen 5 Dollar damit. Du bekommst drei Pizzen für 5 Dollar, und oh, der Kontoinhaber ist derjenige, der dafür bezahlt. Ich sage euch, das geht so viel tiefer, als ich Zeit dafür habe. Oh, und der Slang für den Kauf und Verkauf dieser gültigen Logins ist einfach Logs. Es gibt also einen Haufen Leute da draußen, die Datenbank-Dumps durchsuchen und versuchen, gültige Logs für so viele Orte wie möglich zu finden, damit sie diese Logs mit Gewinn verkaufen können.
DREW: Apple-Logs kannst du für bis zu 50 Dollar verkaufen, denn die Leute können mit deiner verknüpften Apple-Kreditkarte ein paar MacBook-Bestellungen aufgeben. Wenn du davon zehn Bestellungen pro Tag bekommst, sind das 500 Dollar am Tag.
JACK: Ein wirklich beliebtes Login im Moment sind Hilton Honors Logins, weil dir diese Logs ein paar kostenlose Übernachtungen in einem schicken Hotel bescheren können. Okay, also gibt es zwei Arten von Konten, die man bekommen kann; FA und NFA. Das heißt, Full Access (Vollzugriff) und Non-Full Access (kein Vollzugriff). Alle Konten, die wir gerade aufgelistet haben, sind im Grunde NFA, kein Vollzugriff. Ein Konto mit Vollzugriff ist eines, das all diese gültigen Logins hat, plus ein gültiges E-Mail-Konto-Login. Das bedeutet also, wenn man in das Outlook oder Gmail von jemandem hineinkommt, dann kann man ganz einfach das Passwort für jedes dieser anderen Konten zurücksetzen, in das man hinein will. Es gibt einem wirklich vollen Zugriff auf das digitale Leben von jemandem, und es gibt ein kleines Tool, das Leute benutzen, mit dem sie, sobald sie im E-Mail-Konto von jemandem sind, schnell alle E-Mails durchsuchen können, um zu sehen, ob es in diesen E-Mails wertvolle Informationen gibt.
DREW: Das Programm, das das macht, heißt Yahoo Arranger. Es sucht automatisch nach Schlüsselbegriffen innerhalb von Yahoo oder den Websites, von denen man wissen will, ob sie dort angemeldet sind. Wenn man also sehen will, ob sie bei Amex oder Bank of America oder Chipotle angemeldet sind, nutzt man einfach Yahoo Arranger und schaut nach.
JACK: Verrückt, oder? Aber es ist wirklich nicht so komplex, wenn man auch keine FA-Konten hat. Man kann einfach einen Datenbank-Dump nehmen und ihn in eine Combo-Liste umwandeln; das ist nur eine formatierte Liste, die Benutzername und Passwort anzeigt, und man könnte diese Combo-Liste nehmen und hätte ein Tool bauen, das einfach automatisch versucht, sich bei unzähligen Seiten einzuloggen, um zu prüfen, ob das Passwort irgendwo funktioniert.
DREW: Dann nutzen sie Software wie Sentry NBA, OpenBullet oder SilverBullet, um damit automatisch all diese Combo-Listen zu überprüfen. Das ist also kein manueller Prozess, und er läuft mit wahrscheinlich 5.000 CPM, was bedeutet, dass er oft mit 5.000 Versuchen pro Sekunde läuft. Die Leute verkaufen schätzungsweise bis zu 5.000 Logs am Tag in ihren Shops. Ich persönlich kann sehen wie viel Bestand ein Shop hat, also kann man erkennen, wie viele Verkäufe man pro Tag erzielt. Ich habe gesehen, wie Leute bis zu 10.000 Konten pro Tag für 3,50 Dollar pro Konto verkauft haben; 35.000 Dollar.
JACK: Okay, jetzt sollte klar sein, wie jemand an einen Haufen gültiger Logins für verschiedene Seiten kommen kann. Aber eigentlich wollte ich das alles nur sagen, weil das euch helfen wird zu verstehen, wie wir jemanden finden, der eine Menge Kryptowährung hat, um ihn ins Visier zu nehmen.
DREW: Die beliebteste Datenbank, die ich in meinen Jahren hier je gesehen habe, ist die Ledger-Datenbank. Ledger ist ein Unternehmen, das physische Cold-Wallet-Speicher für Bitcoin anbietet. Denn, was sagt es über jemanden aus, wenn er eine Ledger-Wallet kauft? Es bedeutet, dass er oder sie Bitcoin hat. Das macht diese Personen zu deiner perfekten Zielgruppe für Kryptowährungen.
JACK: Oh, sehr interessant. Ledger ist eine physische Krypto-Wallet, und im Jahr 2020 wurde deren Benutzerdatenbank gehackt. Fünf Monate später wurde die Datenbank in Raid-Foren gepostet. In der Datenbank befinden sich E-Mail, Name, physische Adresse und Telefonnummer. Es waren aber keine Passwörter oder Krypto-Schlüssel dabei. Aber man kann natürlich die E-Mail-Adresse aus der Ledger-Datenbank nehmen und abgleichen, ob sie mit E-Mails in einer anderen Datenbank übereinstimmt, und dort kann man dann nachschauen, ob es bekannte Passwörter für diese E-Mail-Adresse gibt. Dann kann man versuchen, diese E-Mail-Adresse und das Passwort bei Coinbase oder Binance oder Kraken oder FTX oder Gemini oder irgendeiner Krypto-Börse einzugeben, um zu sehen, ob es ein gültiges Login ist. Das sind alles Krypto-Börsen, wo Leute ihre Kryptowährung aufbewahren. Wenn man den Benutzernamen und das Passwort von jemandem bei einer Krypto-Börse kennt, bedeutet das natürlich echten Ärger für ihn. Aber es gibt ein paar Sicherheitsprüfungen, die diese Börsen eingerichtet haben, um Kids wie diese zu bremsen. Erstens ist es schon sehr viel wert, nur zu wissen, ob die Person zum Beispiel bei Coinbase registriert ist. Vergesst das Passwort für eine Sekunde; einfach nur, ist diese E-Mail hier überhaupt registriert?
Wenn man die E-Mail-Adresse von jemandem und ein falsches Passwort eingibt, gibt es keinen Hinweis darauf, ob diese E-Mail dort registriert ist oder nicht. Wenn man jedoch versucht, sich für ein neues Konto mit einer E-Mail-Adresse anzumelden, die bereits existiert, dann Bingo. Coinbase lässt sich in die Karten schauen und sagt, dass diese E-Mail hier bereits registriert ist. So kann jemand den Ledger-Datenbank-Dump nehmen und herausfinden, wer Konten bei Coinbase oder Gemini oder Kraken oder Binance oder wo auch immer hat, und das dann mit anderen Datenbank-Dumps abgleichen, um herauszufinden, wie das Passwort für diese Konten lautet.
Wenn nun ein Dieb eine gültige E-Mail und ein Passwort für dein Krypto-Konto hat, steht ihm immer noch eine große Hürde im Weg; 2FA. Alle Krypto-Börsen verlangen, dass man die Zwei-Faktor-Authentifizierung aktiviert. Sie empfehlen, sich so etwas wie Google Authenticator oder Authy zu besorgen. Das sind Apps auf deinem Handy, die eine sechsstellige Nummer generieren, die du brauchst, um dich einzuloggen. Aber als absolutes Minimum schicken sie dir zur 2 Faktor Authentifizierung eine SMS mit einem sechs- oder siebenstelligen Code zum Einloggen. Ein Benutzername und ein Passwort allein reichen also nicht aus, um in das Krypto-Konto von jemandem zu gelangen. Man braucht auch diesen 2FA-Code. Die große Mehrheit der Coinbase-Nutzer verwendet solche SMS-Codes. Und Ihr ahnt, wo wir jetzt angekommen sind?
DREW: Viele Leute auf Coinbase besitzen Millionen von Dollar, daher diese Welle von SIM-Swapping. Dafür nutzen sie allgemeine Daten aus Datenbanken, verschaffen sich Zugang zu Coinbase – das läuft alles automatisiert ab – und erhalten dann Zugriff auf das Guthaben; sie haben einen SIM-Swap durchgeführt. Das ist enorm profitabel - profitabler geht's derzeit wahrscheinlich nicht.
JACK: Zu diesem Zeitpunkt haben wir genug Informationen, um das Ziel per SIM-Swap anzugreifen. Wir wissen, dass sie eine Ledger-Wallet haben und wir wissen, dass sie ein Coinbase-Konto haben, und wir haben ihren Benutzernamen und ihr Passwort. Alles, was jetzt noch nötig ist, ist, die Kontrolle über ihre Telefonnummer zu übernehmen, damit wir die SMS empfangen können, um uns einzuloggen. Aber obwohl das vielleicht ausreicht, um jemanden per SIM-Swap anzugreifen, gehen die Diebe noch einen Schritt weiter und versuchen herauszufinden, wie viel auf dem Konto ist, bevor sie jemanden per SIM-Swap angreifen.
DREW: Ob du's glaubst oder nicht, aber es gab etwa einen Monat lang eine Sicherheitslücke bei Coinbase, durch die man den Kontostand jedes beliebigen gültigen Benutzernamens und Passworts abrufen konnte. Das ging einfach – egal wie. Man brauchte keinerlei Zugriff außer Benutzername und Passwort. Man musste also keine SIM-Karte nachahmen, um den Kontostand zu sehen. Also haben die Leute einfach Millionen und Abermillionen von Kombinationen durchgespielt, eine Kombinationsliste bei Coinbase, und haben einfach die Millionäre von Coinbase gefunden. Und von diesen gibt es offensichtlich Millionen.
JACK: Das heißt, wenn man nur einen gültigen Benutzernamen und ein Passwort hatte, konnte man sehen, wie viel auf dem Coinbase-Konto des Benutzers war. Dadurch ist es dann sonnenklar, wen genau man für einen saftigen SIM-Swap ins Visier nehmen sollte. Aber man braucht immer noch diesen 2FA-Code, um reinzukommen und das Geld zu holen. Es war nur so, dass man ihn eine Zeit lang nicht brauchte, um das Guthaben zu sehen. Bleeping Computer veröffentlichte im Oktober 2021 einen Artikel, in dem stand, dass die Krypto-Wallets von 6.000 Coinbase-Kunden aufgrund einer Schwachstelle im 2FA-System leergeräumt wurden. Ich bin mir ziemlich sicher, dass es um diesen Bug geht, den Drew gerade erwähnt hat. Genau zu wissen, wie viel Geld jemand auf seinem Konto hat, ist entscheidend, um so einen SIM-Swap wirklich erfolgreich zu machen.
Es gibt noch ein letztes Detail zu Coinbase; wenn man einen gültigen Benutzernamen und ein Passwort hat und sich einloggt, sieht man, ob dieser Nutzer SMS-2FA nutzt oder so etwas wie Google Authenticator hat, weil die Seite einem sagt, nach welchem Code sie sucht. Die große Mehrheit der Coinbase-Nutzerinnen und Nutzer verwendet textbasierte 2FA, also SMS. Es kann jetzt immer noch das eine Problem geben, dass der Angreifer die Telefonnummer nicht kennt. Manchmal haben die die einfach noch nicht, und wenn man jemanden per SIM-Swap angreifen will, braucht man genau diese Telefonnummer, nicht wahr? Aber da steht direkt auf der Seite ein Hinweis, und der zeigt die letzten beiden Ziffern der Telefonnummer an, und da steht ausdrücklich: Gib den siebenstelligen Code ein, den wir gerade an sowas wie xxx-xxx-xx37 gesendet haben. Dieser kleine Hinweis, nur zu wissen, was die letzten beiden Ziffern der Telefonnummer sind, reicht diesen Dieben schon aus, um die vollständige Telefonnummer zu bekommen.
DREW: Also, normalerweise geht das so: Finde ihren Namen, ihren ungefähren Standort, ihre Telefonnummer. Es gibt eine Million Möglichkeiten, das zu tun. Mein Rat wäre: entschlüssle die E-Mail, die Sicherheitsvorkehrungen waren wahrscheinlich nicht besonders gut, sonst wären ihre Passwörter nicht durchgesickert. Darin findest du ihre IP-Adresse oder etwas anderes, mit dem du ihren Standort ungefähr bestimmen kannst. Führe dann eine Personensuche auf White Pages oder BeenVerified in diesem Gebiet mit ihrem Namen durch, und du wirst ihre Telefonnummer finden, die mit den letzten beiden Ziffern des Hinweises übereinstimmt.
JACK: Okay, so wählen diese SIM-Swapper also ihre Ziele aus. Zu diesem Zeitpunkt kennen sie den Benutzernamen, das Passwort, die Telefonnummer und den Kontostand, um zu wissen, ob sie einen dicken Fisch an der Angel haben. Oh, und man kann schnell nachschauen, zu welcher Art von Anbieter die Telefonnummer gehört, damit man den SIM-Swap beim richtigen Anbieter durchführen kann. Aber das ist ein großer Vorbereitungsprozess, nur um herauszufinden, wer unser SIM-Swapping-Ziel sein wird. Es ist sogar so viel Arbeit, dass dies, zumindest in den USA, ein ganz eigener Markt ist. Allein eine Liste von Zielen zu identifizieren und diese Informationen zu verkaufen, ist ein eigenes Geschäft. Obwohl es also nach viel Arbeit aussieht, könnte jemand einfach hier einsteigen, die Daten kaufen und einen SIM-Swap durchziehen. Okay, jetzt sind wir bereit für das große SIM-Swap-Event. Ihr erinnert euch, wie der Prozess anfing, oder?
Physischer Angriff für digitalen Profit
JACK: Jemand rannte in einen T-Mobile-Laden, riss dem Filialleiter das Tablet aus den Händen und rannte wieder raus. Das nennt sich hier ein Remo, Remote-Tablet-Grab. Aber wir sind immer noch nicht bereit für diesen Teil. Bevor man nämlich das Tablet des Managers stiehlt, braucht man das Passwort des Managers, das auf dem Tablet ist, richtig? Man muss also den Laden auskundschaften, alles über den Manager herausfinden, was man kann, um Social Engineering bei ihm anzuwenden.
DREW: Einfach den Manager anrufen und eine Rolle einnehmen: Hey, hier ist John vom Help Desk bei T-Mobile. Kannst du dich bitte um dieses Ticket kümmern? Dann schicken sie schicken eine gefälschte URL, und er gibt sein Manager-Login ein.
JACK: Okay, jetzt hat man also das Passwort des Managers, um sich in das Tablet einzuloggen, und wir wissen, wie man an das Tablet kommt. Und das ist tatsächlich ein großes Problem, das T-Mobile zu bekämpfen versucht, und es kursieren derzeit interne Memos mit Anweisungen, was zu tun ist, wenn das in deinem Laden passiert. Eine Anweisung ist, sofort das IT Help Desk anzurufen, um das Tablet und das Manager-Konto deaktivieren zu lassen. Das dauert insgesamt typischerweise etwa zehn Minuten. Wir müssen also wieder einen Schritt zurückgehen, denn wir haben nur dieses Zehn-Minuten-Fenster, und wir müssen alles in diesem Zeitraum erledigen. Wir müssen also vorbereitet sein, und wir haben unsere Vorbereitungen noch nicht getroffen. Was ihr hier wissen müsst, ist, dass das nicht von einer Person gemacht wird; der Dieb, der in den Laden rennt, ist nur ein Bauer in diesem Spiel.
DREW: Die auf Telegram sie nicht die Art von Leuten, die in einen Laden rennen. Sie bezahlen irgendjemanden, den sie im echten Leben kennen, damit er für sie in den Laden rennt.
JACK: Die Person, die reinrennt, das Tablet schnappt und wieder rausrennt, wird auf der Liste hier wirklich am schlechtesten bezahlt.
DREW: Verdient wahrscheinlich 200 Dollar, Bro. Ich hab's gesehen, dass das so ist.
JACK: Sie zahlen also 200 Dollar dafür, dass jemand reingeht, das Tablet schnappt und es ihnen wieder rausbringt. Sie müssen in der Nähe sein, denn ihr erinnert euch, sie haben nur zehn Minuten Zeit dafür. Die Person, die das Tablet am Ende in den Händen hält, ist also besonders geschickt darin, durch die T-Mobile-Software zu navigieren, um den SIM-Swap durchzuführen. Das liegt vielleicht daran, dass sie vorher im Laden gearbeitet hat oder ein Video gesehen hat, wie es gemacht wird. Aber trotzdem ist die Person, die tatsächlich auf dem Tablet tippt und den SIM-Swap durchführt, noch immer nicht dieselbe Person, die die Kryptowährung von den Coinbase-Nutzern stehlen wird. Das ist eine ganz andere Gruppe von Leuten, die all diese Coinbase-Logs gesammelt haben und darauf warten, dass jemand einen Remo macht. Sie organisieren sich alle in einem Telegram-Chatroom, und sie sind bereit, einer Person für einen Remo-Swap manchmal 10.000 Dollar pro Nummer zu zahlen.
Nur um noch mal sicher zu gehen, diese Leute sind in diesem Telegram-Kanal und sagen: Okay, ich hoffe, jemand zieht heute Abend einen Remo durch ich habe drei Konten, die ich knacken will. Dann ist alles, was man tun muss, diese Telefonnummer an die Person weiterzugeben, die den Remo durchführt, richtig?
DREW: Perfekt, Mann. Du klingst jetzt wie ein echter Swapper. Du benutzt unseren Slang.
JACK: Die Leute sind also auf Telegram und es ist Freitagabend, Samstagabend, und jemand sagt: Okay, ich glaube, wir versuchen es. Sie sagen der Gruppe: Ich fahre da runter, ich versuche, das Tablet zu schnappen. Ich bin bereit.
DREW: Es ist echt intensiv.
JACK: Ja, da sind all diese Leute, sie schließen ihre Zimmertüren ab. So nach dem Motto: Komm nicht rein, Dad, ich bin heute Abend beschäftigt. Komm nicht ins Zimmer, was auch immer du tust. Und dann sagen die Eltern so: Okay, wir geben dir etwas Zeit. [LACHT].
DREW: Oh, definitiv. Ich weiß, wovon du sprichst. Das passiert; Leute sagen wirklich: Oh, ich kann jetzt nicht. Ich muss Abendessen.
JACK: Ja.
DREW: Da denkt man sich: Mann, wir haben buchstäblich zehn Minuten Zeit, um das zu tun. Da ist keine Zeit fürs Abendessen. Es ist entweder Abendessen oder 100.000 Dollar. Du entscheidest.
JACK: Ja.
DREW: Das ist wirklich – das ist keine Übertreibung – so ist es wirklich manchmal. Unsere Remos sind so kurz.
JACK: Das ist es, was ich mir so gerne vorstelle, die tatsächliche Person hinter dem Bildschirm, und wenn das ein Teenager ist, dann ja, dann besteht diese Möglichkeit, dass alles in jeder Sekunde schiefgeht, weil der bei seinen Eltern wohnt und sein Zimmer aufräumen muss. Aber gut, zurück zur Geschichte, sie sind bei Telegram, sie bekommen die Nachricht: Okay, ich habe den Remo. Was hast du gesagt, 10.000 Dollar pro Nummer?
DREW: Also, nach nach Anbieter aufgeschlüsselt sieht es so aus: Bei T-Mobile kostet ein Swap etwa 5.000 Dollar. Wenn es sich um ein Betrugsopfer handelt, kostet es dich 7.500 Dollar. Ein Betrugsopfer verfügt über spezielle Schutzmaßnahmen für sein Konto, die jedoch immer noch umgangen werden können. Verizon wird dich wahrscheinlich mehr als 50.000 $ kosten. Verizon ist extrem gut gesichert, aber mit der richtigen Ausrüstung ist es trotzdem möglich. Du brauchst zum Beispiel den Login eines Filialleiters, was eine sehr hohe Position ist. Du musst also in der Lage sein, diesen Verizon-Manager ordentlich zu bezahlen, und du kannst das System nicht hacken. Das geht nicht – so sieht es zumindest derzeit aus. Man braucht einen Insider. Man darf ihn natürlich nicht verraten oder so. Bei AT&T sinken die Preise auf 2.000 bis 3.000 $, weil ihr Opus-Tool nicht allzu sicher ist.
JACK: Okay, diese Person, die den Remo-Snatch durchführt, lässt also alle Stunden vorher wissen, dass sie plant, an diesem Abend einen Remo zu machen.
DREW: Der Activator ist die Person, die den Remo-Snatch koordiniert.
JACK: Der Activator teilt also allen im Discord-Kanal mit, dass sie den Remo haben und bereit für Aufträge sind. Die Leute auf Telegram fangen sofort an, ihm Informationen zu geben; Telefonnummer und ICC-ID. Das ist alles, was sie brauchen, um den Prozess zu starten, bei dem die Telefonnummer vom Telefon des Kunden auf das Telefon des Diebes in Telegram zu übertragen. Es sind intensive zehn Minuten. Die Zeit tickt und jeden Moment kann dieses Tablet deaktiviert werden, also müssen sie so schnell wie möglich arbeiten und in diesem Zeitraum so viele Nummern wie möglich austauschen. An einem guten Abend kann ein Activator damit über 100.000 Dollar verdienen.
DREW: Ja, an diesem Punkt gehst du einfach hin und machst deinen Lick.
JACK: Mehr Slang.
DREW: Ein „Lick“ ist, wenn man jemanden ausnimmt, das ist also einfach ein „erfolgreicher Log“ – in unserem Slang bedeutet „Log“ also „Login“. Wenn man also einen „Lick“ landet, bedeutet das, dass man das Guthaben der anderen Person abgehoben hat. Es gehört dir; du hast gewonnen. Es gibt also mehrere Möglichkeiten, diesen Slang zu verwenden. Man könnte sagen: „Diese Person sieht nach einem Lick aus.“ Mit anderen Worten: Diese Person sieht nach einem leichten Ziel aus. Man könnte sagen: „Ich habe heute einen Lick gelandet“, was bedeutet, dass ich eine erfolgreiche Abhebung von einem Coinbase-Konto durchgeführt habe.
JACK: Nun haben diese Jungs also die Kontrolle über die Telefonnummern ihrer Ziele, und müssen ab jetzt schnell wie möglich zu arbeiten.
DREW: Du schwitzt wie irre. Du gehst hin und setzt das Yahoo-Passwort zurück. Du bist über einen Proxy in ihrer Nähe verbunden, nutzt einen Residential-Proxy in der Nähe des Zielortes, loggst dich in ihr Yahoo-Konto ein und setzt das Passwort zurück, da es meistens nicht dasselbe ist wie das für Coinbase. Wir erhalten den Link zur Geräteauthentifizierung von Coinbase, während du immer noch am schwitzen bist. Dein Holder sollte die ganze Zeit über Codes erhalten; du schreist deinen Holder an, dir den Code sofort zu schicken, sonst wirst du ihn nicht bezahlen.
JACK: Was? Sorry, ein Holder ist was genau?
DREW: Ein „Holder“ ist jemand, der das Telefon, auf dem das Einmalpasswort eingeht, tatsächlich in der Hand hält. Meistens machen die Personen, die die Zieldaten und das Guthaben besitzen, das nicht selbst, da das die operative Sicherheit gefährden würde.
JACK: Heilige Scheiße.
DREW: Es gibt dafür spezielle Personen, die die Handys nur halten, damit die Person, die die Hinweise oder Ziele hat, nicht erwischt wird.
JACK: Oh Mann, da ist also auch noch ein Holder in die ganze Sache involviert. Ja, Holder werden einfach dafür bezahlt, dass sie diejenigen sind, die das Telefon gekauft haben und die Nummer darauf übertragen lassen. Okay, die Person, die den Lick machen will, fängt also vielleicht zuerst damit an, in die E-Mail des Opfers zu gehen und das Passwort zurückzusetzen. Bei vielen E-Mail-Anbietern wird dir eine SMS geschickt, um das Passwort zurückzusetzen. Der E-Mail-Anbieter schickt also die SMS und der Holder sagt der Person, wie die SMS lautet, und sie bekommen den Zugang zum E-Mail-Konto, und von dort aus versuchen sie, sich bei Coinbase einzuloggen. Nach Eingabe des Benutzernamens und Passworts wird eine SMS an das Telefon geschickt, das der Holder hat, und der Holder muss den Code an den eigentlichen Angreifer weitergeben. Der loggt sich nun bei Coinbase ein. Aber bei Coinbase gibt es typischerweise eine Prüfung, und dann steht da sowas wie: Wir erkennen dieses Gerät nicht. Wir senden dir eine E-Mail, um zu überprüfen, ob du es bist. Aber der Angreifer ist ja bereits in dem E-Mail-Konto des Opfers, also muss er nur auf die E-Mail warten und auf "Ja, ich bin's" klicken, und Coinbase lässt ihn rein. Jetzt ist er im Coinbase-Konto von jemandem, und dort liegen vielleicht 30.000, 100.000 oder manchmal sogar mehr als eine Million Dollar.
DREW: Anschließend überträgst du das Guthaben auf Coinbase Pro, damit du das Geld abheben kannst, und transferierst es dann in deine Exodus-, MetaMask- oder Electrum-Wallet.
JACK: Der Grund, warum sie es zu Coinbase Pro transferieren, ist, weil es dort ein höheres tägliches Abhebungslimit gibt. Aber dort gibt es auch eine Sicherheitsprüfung, bevor man da Geld abheben kann, eine weitere 2FA-Prüfung. Also muss man eine weitere SMS vom Holder bekommen, um die Überweisung einzuleiten. Aber da ist immer noch eine weitere Sicherheitshürde; Coinbase hat ein maximales tägliches Abhebungslimit, und manchmal haben die Leute mehr als das. Aber Drew sagt, das sei kein Problem.
DREW: Ja, es gibt ein paar Tricks. Die Leute nutzen Sicherheitslücken, über die ich nicht sprechen darf, aber ja, es gibt da Wege, 250.000 Dollar oder eine Million Dollar abzuheben. Man kann riesige Geldsummen abheben. Es gibt eine Methode, die jeder kennt und die ich dir verraten kann, ist, ein bestimmter Bot in einem Forum, der in der Lage ist, gleichzeitig eine Flut von Anfragen zu senden, um das System zu überlasten, sodass man eine Reihe kleinerer Transaktionen abwickeln kann. Aber es gibt auch andere Methoden, die direktere Sicherheitslücken ausnutzen.
JACK: Meine Güte, diese Kids haben echt gnadenlos entschlossen. Warum sollten sie das auch nicht sein, wenn es einen potenziellen Eine-Million-Dollar-Lick gibt, den sie damit abstauben können?
DREW: Die neue Generation der Krypto-Swapper – ich kenne da persönlich wahrscheinlich mindestens zehn Millionäre, die alle unter sechzehn sind und von denen ich mit Sicherheit weiß, dass sie nicht lügen; ich habe live gesehen, wie sie Transaktionen getätigt haben, und live miterlebt, wie sie Millionen-Dollar-Gewinne eingefahren haben. Was die ältere Generation angeht, diejenigen, die extrem früh dabei waren mit den verrückten 20-Millionen-Dollar-Zielen von Michael Turpin: Die haben 15 Millionen Dollar, 10 Millionen Dollar und sind in neuen Geschäften wie NFTs und Phishing tätig. Also wirklich high-level Sachen.
JACK: Okay, Michael Turpin ist ein Kryptowährungs-Investor, aber er hat auch ein paar Startups in diesem Bereich, wie Transform Group und BitAngels. Im Januar 2018 hat jemand die Schritte durchgeführt, die wir hier gerade erklärt haben, um sich in Turpins Krypto-Wallet zu hacken und Kryptowährungen im Wert von 23 Millionen Dollar daraus zu stehlen. 23 Millionen Dollar, in einer Nacht gestohlen. Und ihr wisst, sobald die Person das Geld hatte, musste sie all die Leute in der Kette bezahlen, die ihr geholfen haben, dorthin zu gelangen. In diesem Fall waren es Insider, die bei AT&T arbeiteten, die dabei halfen. Nun, einer der Typen, die 23 Millionen Dollar gestohlen hatten, war immer noch nicht glücklich. Er twitterte: Habe 23 Millionen Dollar gestohlen und kann mich trotzdem nicht von Drogen fernhalten. Habe 23 Millionen Dollar gestohlen und kriege mein Leben nicht auf die Reihe. Turpin ging natürlich zur Polizei, die anfing zu ermitteln und einige ziemlich handfeste Beweise finden konnte, die sie zu dem Urheber der Tweets namens Nicholas Truglia führten, der einundzwanzig war. Mastermind der Aktion war aber der erst 15-jährige Ellis Pinsky.
Weil er noch minderjährig war, konnte Ellis eine Verurteilung umgehen und das meiste Geld zurückgeben. Bei Nicholas war das anders: Gerichtsakten zeigen, dass er zum Zeitpunkt seiner Verhaftung über 70 Millionen Dollar an Vermögenswerten hatte. Er hatte sich schuldig bekannt und sollte zunächst nur 18 Monate absitzen und 20 Millionen Entschädigung an die Opfer zahlen. Weil er das nicht in der vorgegebenen Zeit tat, wurde er zu 12 Jahren Haft verurteilt. Was Michael Turpin betrifft, so war der richtig wütend, dass er 23 Millionen Dollar verloren hatte. Natürlich war er das, aber er hatte auch fünfzig andere Krypto-Konten und die waren alle in Ordnung, also bin ich mir nicht sicher, welcher Prozentsatz seiner Krypto-Gelder gestohlen wurde, aber er war auf jeden Fall so wütend, dass er sowohl Nicholas als auch AT&T verklagte. Er verklagte AT&T auf 200 Millionen Dollar und behauptete, die Person, mit der er am Telefon gesprochen hatte, habe gesagt, seine Telefonnummer sei sicher und könne nicht per SIM-Swap übernommen werden, und dennoch wurde sie es. Er wollte, dass AT&T zugibt, dass sie der Hauptgrund dafür sind, dass sein Geld gestohlen wurde. Der Richter wies den Fall jedoch ab. Aber Turpin verklagte auch den Hacker, Nicholas, und diese Klage gewann er. Der Richter sprach Turpin 75 Millionen Dollar zu. Während Turpin also 24 Millionen Dollar verlor, wurden ihm letztendlich 75 Millionen Dollar als Entschädigung zugesprochen. Wilde Sache.
Ellis Pinsky hat später übrigens Computer Wissenschaften und Philosophie an der NYU studiert und will mit seinen Jugendsünden nichts mehr zu tun haben.
DREW: Ein wichtiger Tipp für alle Krypto-Anleger da draußen oder alle, die Coinbase-Konten haben: Nutzt für verschiedene Zwecke jeweils eigene E-Mail-Adressen. Trennt eure private E-Mail-Adresse von der für eure Krypto-Investitionen.
JACK: Alles klar, das ist sinnvoll. Wir sind jetzt von "Verwendet keine Passwörter mehrmals" bei "Verwendet keine E-Mails auf hochkarätigen Konten wieder" gelandet. Wenn man eine E-Mail-Adresse hätte, die nur für die Krypto-Börse da wäre und man sie nirgendwo sonst nutzen würde, dann wäre es wirklich schwer, diese E-Mail-Adresse zu finden und sie zu knacken, denn schließlich braucht man einen Benutzernamen und ein Passwort, um in diese Börsen zu gelangen, also warum nicht den Benutzernamen wirklich schwer auffindbar machen? Wenn dein Benutzername Deine E-Mail-Adresse ist, die du für alles benutzt, dann ist das so, als würdest du jedem, mit dem du chattest, die Hälfte deines Logins geben. Wir sind jetzt die 100 Schritte durchgegangen, die es braucht, um jemanden per SIM-Swap anzugreifen und sein ganzes Geld zu stehlen. Das war alles andere als eine schnelle und einfache Methode, um reich zu werden. Es brauchte eine ganze Menge Recherche, um nur ein gutes Ziel zu finden, und das ist wichtig zu wissen, denn die Leute stellen mir ständig Fragen wie: Oh, wie gefährlich kann das sein, wenn ich mein Geburtsdatum auf meinem Facebook-Profil angebe? Sie erwarten irgendeine schnelle und einfache Möglichkeit, wie ein Hacker das gegen sie verwenden kann, aber es ist nicht immer schnell und einfach. Wenn diese Art von Kriminellen Wind davon bekommen, dass du etwas hast, was sie wollen, werden sie dein Leben auskundschaften und ein massives Dossier über dich anlegen, damit sie dein digitales Leben komplett übernehmen und zu dir werden können.
Jeder kleine Fetzen zusätzlicher Information, den sie über dich bekommen können, kann für sie potenziell zum massiven Zahltag werden. Wenn irgendeine obskure Website, bei der du ein Konto hattest, gehackt wird und sie das Passwort bekommen, das du benutzt hast, und du dieses Passwort woanders wiederverwendest, öffnet ihnen das einfach Tür und Tor. Offensichtlich hat es für sie einen Wert, in deine E-Mail und an deine Telefonnummer zu kommen, also sind sie begeistert davon, wenn du das einfach öffentlich postest. Aber dann gibt es noch die kleinen Dinge; in welcher Stadt du bist, welchen Browser du benutzt, welche Dinge du magst, wo du gerne Kaffee trinkst und wer deine Familienmitglieder sind. All diese Dinge können genutzt werden, um dich weiter auszunutzen. Wenn sie wissen, in welcher Stadt du bist, können sie einen Proxy an deinem Standort nutzen, um ihren Datenverkehr so aussehen zu lassen, als käme er von irgendwo in deiner Nähe. Wenn sie wissen, welchen Browser du benutzt, hilft ihnen das, mehr wie du auszusehen, wenn sie versuchen, auf deine Konten zuzugreifen, und wenn sie wissen, welche Dinge du magst, könnte ihnen das etwas über andere Bereiche deines Lebens verraten, die sie sich ansehen sollten. Und wenn sie wissen, wo du gerne Kaffee trinkst, könnte das dazu führen, dass sie dir dort auflauern und dir die Taschen ausräumen, während du in der Schlange für deinen Latte stehst.
Wenn sie Informationen darüber haben, wer deine Familienmitglieder sind, könnten diese Familienmitglieder ins Visier genommen werden. Drew hier hat mir eine Geschichte darüber erzählt, wie die Kids einmal, als sie in das Konto eines Typen kommen wollten, der Ehefrau eine SMS schrieben und sich als der Ehemann ausgaben, um sie dazu zu bringen, die 2-Faktor-Authentifizierungscodes über SMS vorzulesen. Je mehr Informationen sie über dich haben, desto einfacher macht es ihre Arbeit. Stell dir vor, sie hätten vollen Zugriff auf dein Bankkonto und beschließen, das gesamte Geld abzuheben, aber deine Bank entscheidet: Moment, da stimmt etwas nicht, und sie hinterfragen die Überweisung und sagen: Hm, nur um sicherzugehen, dass Sie es sind, wie lautet Ihr Geburtstag? Nun, dieses eine Datum, das du für so harmlos hieltest, um es einfach öffentlich zu teilen, hätte deine Rettung sein können, wenn du es nicht auf Facebook gepostet hättest. Ich hoffe, du bist jetzt überzeugt, deine privaten und persönlichen Daten niemals auf einer öffentlichen Website zu teilen.
Wie nennst du das, diese Gruppe?
DREW: Es gibt da ein paar verschiedene Begriffe. Wir nennen es vor allem „Com“.
JACK: Com, geschrieben C-O-M; das ist die Abkürzung für Community, und das ist neu für mich. Zu meiner Zeit nannten wir es die Szene. Jetzt ist es wohl die Community.
DREW: Ja, wir nennen es aber einfach „Com“. Dann gibt es noch „Simming Com“ und es gibt „Cracking Com“, „Roblox Com“, „Twitch Com“. Da geht's um Twitchzugänge. Es gibt ein „Vanilla Com“. Es gibt „Infosec Com“.
JACK: Huh, die Infosec-Com war mir nicht geläufig, aber Drew hat es mir erklärt. So wie er es sagt, gibt es einige Leute im IT-Sicherheitsbereich, die Teil des Infosec-Twitters seien und als gute Sicherheitsforscher respektiert werden wollen, aber gleichzeitig auch Dinge tun wollen, die illegal oder unethisch sind, und sich quasi gleichzeitig als unschuldiger White Hat und als zwielichtiger Black Hat verhalten, so wie Ryan Phobia Stevenson. Das ist der Typ, der ein paar Bugs meldete, die er bei Telekommunikationsunternehmen gefunden hatte, und dafür belohnt wurde. Aber dann nutzte er diese Bugs, um Kundendaten von Telekommunikationsunternehmen abzugreifen und sie auf Untergrundmärkten zu verkaufen. Der Typ hat doppelt kassiert. Es hört sich so an, als gäbe es Coms für jeden kleinen Schwerpunktbereich, in dem Leute online Geld verdienen können. Aber der rote Faden bei all dem ist, dass sie alle unethische Coms sind, und deshalb nenne ich sie schmutzige Coms. Das sind fiese Communitys.
Der Goldrausch im NFT-Markt
JACK: Lass uns über NFTs sprechen. Also, jeden Tag in den Nachrichten sehe ich einen weiteren Angriff auf NFTs, wie zum Beispiel, dass jemand um seinen Bored Ape betrogen wird oder...
DREW: Ja, natürlich.
JACK: Oder...
DREW: Der Klassiker...
JACK: Okay, fahr fort. Du hast das gesehen. Ist es jemand aus deinen Coms, der diese Dinge durchführt?
DREW: Okay, also, es geht um die ersten, wirklich, wirklich reichen SIM-Com-Nutzer, die ich erwähnt hatte. Also, diese ersten reichen Simmers, die nicht in der aktuellen Version sind, stehlen NFTs. Es gibt eine Gruppe von Leuten, die ich kenne – ich werde sie nicht namentlich nennen, aber im Grunde sind es einfach Leute, die buchstäblich auf Discord gehen; jemand sagt, er brauche Hilfe mit einem NFT. Sie schreiben ihnen eine Nachricht, sie posten ihre Links.
JACK: Huh, ich habe das selbst während des großen NFT-Hypes aus erster Hand miterlebt. Ich war in einem NFT-Discord. Und falls ihr nicht wisst, was ein NFT ist, in diesem Fall ist es einfach digitale Kunst, die man kaufen und verkaufen kann, und diese digitalen Kunstwerke gingen für Tausende von Dollar pro Stück weg, und manchmal sogar für Hunderttausende von Dollar pro Stück. In Discord bekam ich eine Direktnachricht, in der stand, ich sei ausgewählt worden, auf einer Vorverkaufsliste für einen dieser NFT-Drops zu stehen, und ich müsse ihn jetzt kaufen. Aber natürlich habe ich nicht auf den Link geklickt. Aber jemand im Kanal hat es getan, und die Seite sagte, um das NFT zu prägen, müsse man nur sein MetaMask-Krypto-Wallet verbinden und seine 24-Wort-Seed-Phrase eingeben. Nun, diese 24-Wörter sind absolut nichts, was man jemals teilen sollte. Das ist im Grunde das private Passwort zu deiner Krypto-Wallet, und wenn du das jemandem gibst, hast du ihm im Grunde die Kontrolle über deine gesamte Krypto-Wallet übergeben. Nun, diese Person gab ihre Seed-Phrase auf der gefälschten Website ein, und sobald sie das tat, gelangte der Dieb in ihre Krypto-Wallet und nahm all ihre wertvollen NFTs und verkaufte sie für etwa den halben Preis. Der Dieb machte etwa 40.000 Dollar in Ethereum in vielleicht fünf Minuten. Es war absolut verrückt, mitanzusehen, wie dieser Person direkt vor meinen Augen das Konto leergeräumt wurde, und es gab nichts, was irgendjemand tun konnte, um es zu stoppen.
Es gibt echt keinen Mangel an Geschichten von Leuten, die digital ausgeraubt werden und denen die Krypto-Wallet gestohlen wird, und ich glaube, der Grund ist der, dass diese Krypto-Wallets Unmengen an Geld beinhalten und sie genau wie Browser-Add-ons sind. Wenn du deine Krypto-Wallet mit der falschen Seite verbindest, ist das Spiel vorbei, und es ist so einfach, sie mit der falschen Seite zu verbinden. Es ist ein bisschen, als hätte man sein Bankkonto direkt im Browser als Plug-in zugänglich, und alle Seiten, die man besucht, wollen alle einen Blick darauf werfen. Aber das ist erst der Anfang; fast jeden Tag passiert das. Es gibt so viele Betrüger, die versuchen, Zugang zu den Krypto-Wallets von Leuten zu bekommen, in denen sich Kryptowährung oder ein NFT befinden könnte. Die Betrügereien sind riesig und schnell, sie kommen aus jedem Winkel auf dich zu, wenn du dich in diesem Bereich bewegst. Zum Beispiel war ein anderer großer Betrug, den ich gesehen habe, als ein NFT-Projekt kurz vor dem Start stand. Und der Starttag ist ein großer Tag. Jeder, der dabei sein will, will sich beeilen, um seine Token zu prägen und zu hoffen, dass der Preis steigt. In diesen Momenten herrscht also ein Rausch, weil es ein begrenztes Angebot gibt und man nicht leer ausgehen will. Wenn Leute es also eilig haben, etwas zu kaufen, sind sie bereits anfällig dafür, Fehler zu machen, und typischerweise werden eifrige Käufer im Discord-Chatroom für dieses NFT sein, um zu beobachten, was vor sich geht. Aber es gibt eine ganze Reihe von Dingen, die dabei schiefgehen können. Erstens kann der Besitzer des Discords gehackt werden, und Drew erklärt, wie das passiert.
DREW: Sie haben ihre Glaubwürdigkeit über einen Freund aufgebaut; so läuft das immer. „Hey, mein Freund meint, ich soll mal mit dir reden.“ Irgendwann schleicht er sich dann langsam heran, indem er eine Art Datei schickt, mit der sie ihn tatsächlich über das Discord-Token-Protokoll identifizieren können.
JACK: Wenn ihr Discord benutzt, stehen die Chancen gut, dass ihr nicht jedes Mal euren Benutzernamen und euer Passwort eingebt, wenn ihr die Seite besucht oder die App öffnet. Das liegt daran, dass, sobald man sich authentifiziert hat, ein kleines Authentifizierungs-Token auf dem Computer existiert, das einen eingeloggt hält. Aber wenn man einfach das Authentifizierungs-Token nehmen kann, dann kann man sich als diese Person einloggen, ohne ein Passwort zu benötigen. Das Authentifizierungs-Token hat all das Zeug da drin, und ja, wenn man jemanden dazu bringen kann, seine Malware zu installieren, kann die Malware das Token stehlen. Okay, wenn man also Zugang zum Konto eines Moderators auf einem beliebten Discord-Kanal bekommt, der kurz davor steht, ein NFT zu starten, dann kann man eine Menge Geld verdienen. Alles, was man tun muss, ist, die offizielle Website dieses NFTs zu kopieren, was super einfach ist, und eine ähnlich aussehende URL mit einem anderen Buchstaben zu erstellen, und zu ändern, wohin das Geld geht, wenn jemand das NFT kauft. Anstatt dass das Geld an den NFT-Macher geht, geht es jetzt in deine Wallet. Alles, was man jetzt noch tun muss, ist, die Leute auf seine Seite zu leiten, und da man ein Moderator ist, kann man das.
DREW: Poste eine Hauptnachricht, Feuer frei.
JACK: Die Nachricht könnte lauten: "Minting ist jetzt live, offen für alle, aber beeilt euch; wir schließen in zehn Minuten". Einige dieser Discord-Kanäle haben über 50.000 Leute da drin, alle bereit zum Kauf. Ihr könnt euch vorstellen, dass, wenn 50.000 Leute eine Nachricht wie diese sehen, dass das Projekt live gegangen ist und sie bereit zum Prägen sind, dass sie auf die Seite strömen werden, um ihre NFTs zu kaufen. Ich habe das immer und immer wieder gesehen. Betrüger infizieren Discord und verdienen damit in zehn Minuten über 100.000 Dollar. Aber es gibt auch andere Betrügereien, die auf Discord ablaufen.
DREW: Es gibt Leute, die tatsächlich NFT-Discords kaufen und sie dann künstlich anwachsen zu lassen. Das machen sie, um einen Exit-Scam durchzuziehen oder einfach um sie an jemanden zu verkaufen, der einen Exit-Scam durchziehen wird.
JACK: Oh ja, das habe ich auch gesehen. Wenn man ein NFT-Projekt findet, das 100.000 Follower auf Twitter und 80.000 Mitglieder auf Discord hat, wird man denken, dass das ein heißes NFT-Projekt ist, und sich mehr dafür begeistern. Aber die Zahlen sind alle gefälscht. Es ist ein Discord-Kanal, der erst letzte Woche gekauft wurde, und er kam schon mit 80.000 Mitgliedern, aber das sind alles Bots. Es erzeugt also einen falschen Hype darum, und sie starten ein Projekt und die Leute bezahlen sie, und sie bekommen nichts dafür außer irgendein billiges Kunstwerk, das von jemandem auf Fiverr gemacht wurde. Die Macher schnappen sich einfach das Geld und verschwinden. Auch hier kann ein Betrug wie dieser jemandem über 100.000 Dollar einbringen, wenn er richtig gemacht wird. Aber das sind sicherlich ziemlich aufwendige und komplexe Betrügereien. Es dauert lange; man muss eine Website bauen, einen NFT-Server kaufen, die ganzen Kunstwerke erstellen. Es ist nicht einfach und erfordert echtes Fingerspitzengefühl. Aber dann, als gäbe es nicht schon genug NFT-Betrügereien, passieren auch noch Influencer-Betrügereien.
DREW: Sie engagieren eine seriös wirkende Person als Strohmann. Es handelt sich um wohlhabende Leute, die als Krypto-Influencer auftreten und andere dazu bringen, auf diese Tricks hereinzufallen – zum Beispiel ihre Freunde. Sie überreden ihre Freunde, auf NFT-Betrügereien hereinzufallen, und hinter all dem stecken diese millionenschweren SIM-Swapper. Das ist schrecklich.
JACK: Yikes, Mann, man kann in NFT-Land nicht einmal seinen Freunden vertrauen. Sie könnten von den Betrügern dafür bezahlt werden, dich zu betrügen. Ich habe mich ein bisschen mit diesen NFTs beschäftigt und ich sage euch, das ist nichts für Anfänger. Es ist gespickt mit Landminen, Hackern, Dieben, Betrügern, Kriminellen und so vielem mehr, was für mich ein Spaß ist, den ganzen Wahnsinn zu beobachten.
Vom Kinderzimmer ins Gefängnis
JACK: Es ist aber nicht jedermanns Sache, und diese Leute versuchen hart, an deine Krypto-Wallet zu kommen und deine Vermögenswerte zu plündern. Sie können es ungestraft tun, weil es so schwer ist, Krypto-Raubüberfälle zurückzuverfolgen.
DREW: Die machen das aus reiner Profitgier, Leute wie Joel Ortiz, Nicholas Truglia, Xavier Clemente.
JACK: Warum nennst du hier diese Namen?
DREW: Die Namen sind ja bekannt, die wurden verhaftet.
JACK: Oh, okay. Oh, die – die wurden alle verhaftet?
DREW: Die berühmtesten SIM-Swapper, die verhaftet wurden sind; PlugWalkJoe, AKA Joseph, James O’Connor.
JACK: Okay, ich muss nachschauen, was diese Leute getan haben. Okay, Joel Ortiz wurde wegen SIM-Swapping verhaftet. Tatsächlich war er die allererste Person, die wegen SIM-Swapping verurteilt wurde. Das ist wild; 2019 ist das erste Mal, dass ein SIM-Swapper jemals verurteilt wurde. Das ist wirklich die Definition eines modernen Verbrechens, wenn erst vor ein paar Jahren das erste Mal überhaupt jemand dafür verurteilt wurde. Joel Ortiz war also einundzwanzig, aus Boston, und laut Polizei hat er vierzig Personenbetrogen und insgesamt 7 Millionen Dollar durch die Durchführung von SIM-Swaps gestohlen. Er wurde verhaftet und bekam dafür zehn Jahre Gefängnis. Wir haben bereits über Nicholas Truglia gesprochen, aber Drew erwähnte auch Xavier Clemente. Dieser Typ war neunzehn Jahre alt, als er wegen SIM-Swapping verhaftet wurde. Die Polizei sagt, er habe über eine Million Dollar in Kryptowährungen gestohlen. Ellis Pinsky bekam den Spitznamen Baby Al Capone, weil er erst fünfzehn Jahre alt war, als er verhaftet wurde. Oh, und übrigens, die von der Polizei beschlagnahmten Gegenstände sind unglaublich; Luxusuhren, Luxusautos, Penthouse-Wohnungen. Diese Kinder verpulvern es so schnell, wie sie es bekommen, und fast alle von ihnen haben eine Spielsucht, bei der sie etwas Geld in ein Online-Casino stecken und am Rad drehen und versuchen, den noch größeren Gewinn zu erzielen. Sie mögen es irgendwie, in Livestreams und so damit anzugeben, wieviel sie bereit sind zu setzen, damit andere sehen können, wie viel Geld sie haben. Es ist verrückt.
DREW: Auf ihren Telegram-Kanälen posten sie regelmäßig Screenshots ihrer Opfer, zeigen, wie viel Geld die auf ihren Konten haben, und erzählen, dass sie ihnen gerade Millionen von Dollar abgezockt haben. Das lässt sich leicht überprüfen, denn sie zeigen einem buchstäblich die Transaktions-IDs und ihre Bitcoin-Wallets, die mit Millionen von Dollar gefüllt sind. Jeden Tag verschenken sie Tausende von Dollar. Sie machen einfach total verrückte Sachen mit ihrem Geld, sind halt noch Kinder.
JACK: Diese Liste geht weiter und weiter. Viele Leute werden verhaftet, die unter achtzehn Jahre alt sind, und deshalb sehen wir ihre Namen einfach nie in den Nachrichten. Einige von ihnen werden erwischt und müssen einfach die Kryptowährung oder NFTs zurückgeben, die sie gestohlen haben, und sie bekommen nur eine strenge Verwarnung. Ich weiß nicht, wie es euch geht, aber all das haut mich einfach um. Ich hatte vorher keine Ahnung, wie diese Untergrund-Community aussah. Aber jetzt habe ich das Gefühl, dass sich meine Augen angepasst haben und ich im Dunkeln sehen kann. Geht es euch auch so? Ich habe das Gefühl, das Internet ist im Moment ein absolutes Kriegsgebiet. Jeden Tag hören wir von einem weiteren Unternehmen, das von Ransomware oder einem Datenleck getroffen wird, aber all das ist weit weg. Das passiert nicht in meiner Nachbarschaft. Aber das hier ist mein Hinterhof. Das sind Teenager, die ganz normale Leute ins Visier nehmen, und ihre Spitznamen sind kein Zufall. Baby Al Capone oder Billy the Kid. Billy the Kid hat früher Züge überfallen. Er hat einfach wahllos Leute überfallen und Geld von ihnen gefordert, im Grunde passiert hier das Gleiche. Wenn man öffentlich erwähnt, dass man eine Menge Kryptowährung hat, kann man wahrscheinlich damit rechnen, dass jemand das von einem stehlen will. Es ist nicht einfach, das sicher aufzubewahren. Es ist wirklich knifflig.
Wenn ihr also Krypto habt, dann rate ich euch dringend, nicht all euer Zeug auf eine Adresse zu legen. Teilt es auf verschiedene Wallets auf, denn wenn etwas kompromittiert wird, wollt ihr nicht, dass sie das ganze Sparschwein mitnehmen. Die Telefongesellschaften sollten wahrscheinlich ihre Sicherheit erhöhen. Es macht den Eindruck, als würden sie versuchen, es schwieriger zu machen, und deshalb zahlen die Leute heute auch 10.000 Dollar pro SIM-Swap. Aber wie können sie es eliminieren, wenn es Insider gibt, die als Regionalmanager arbeiten und an dem Betrug beteiligt sind? Sie könnten das Äquivalent eines ganzen Jahresgehalts bekommen, indem sie einem SIM-Swapper helfen, einen Millionen-Dollar-Lick zu landen. Das könnte schwer abzulehnen sein für jemanden, der das Geld wirklich braucht. Vielleicht ist die Antwort, keine SIM-Karten mehr zu verwenden und einfach immer einen WLAN-Hotspot in der Tasche zu haben und das Telefon darüber laufen zu lassen, wenn man jemanden anrufen muss. Ich weiß es nicht. Börsen wie Coinbase machen einen ziemlich guten Job dabei, es Kriminellen schwer zu machen, in das Konto von jemandem zu gelangen. Tatsächlich glaube ich, dass Coinbase beim Exploit, von dem Drew sprach und der es jemandem ermöglichte, das Guthaben eines Kontos ohne 2FA zu überprüfen, alle Leute entschädigt hat, die von diesem Exploit betroffen waren.
Aber vielleicht sollten sie jeden dazu zwingen, Google Authenticator zu nutzen. Das würde es für diese Leute schwieriger machen, oder vielleicht die Option geben, ein zweites Passwort auf der Seite zu haben, das nur für Überweisungen ist. Das Problem ist, je schwerer sie es Kriminellen machen, Dinge zu stehlen, desto schwerer machen sie es den Nutzern, die Seite zu bedienen. Es wird also zu einer schwierigen Balance. Obendrein bin ich mir sicher, dass Nordkorea Coinbase die ganze Zeit angreift und versucht, irgendwo eine Hot Wallet zu finden, um da reinzugreifen. Sie haben also wirklich ein ziemliches Päckchen, gegen das sie sich verteidigen müssen. No pressure? Aber mir scheint zumindest offensichtlich, dass, selbst wenn man ein paar dieser Probleme behebt, die Leute in diesen schmutzigen Coms einfach einen anderen Weg finden, es zu tun. Da das Internet sich mit der Geschwindigkeit bewegt, mit der es sich bewegt, stellen Software und Websites die Sicherheit nicht immer an erste Stelle. Das sind einige der Konsequenzen, wenn man das nicht tut. Wie ich am Anfang sagte, wird nicht viel Weisheit von Generation zu Generation darüber weitergegeben, was die Gefahren des Internets sind, sei es für die Nutzer der Seite oder die Teenager, die versuchen, sich in sie zu hacken. Ich glaube, es wird noch schlimmer werden, bevor es besser wird.
Es könnte sogar noch vierzig Jahre dauern, bis wir eine Welt sehen, in der die Leute auf sichere, verantwortungsvolle Weise online gehen, in der die Nutzer ihre Privatsphäre und Sicherheit über alles schätzen und wissen, dass sie keine Apps installieren oder Geräte kaufen sollten, die ihre Privatsphäre gefährden, und ein starkes Verständnis für die digitalen Gefahren da draußen haben und Dinge tun, um sich selbst zu schützen. Deshalb habe ich diese Episode für euch gemacht, jetzt habt ihr einen viel klareren Blick darauf, warum euch jemand ins Visier nehmen würde und wie sie es tun, wenn ihr vielleicht vorher nie gedacht hättet, dass ihr das Ziel wärt.
Deshalb gibt es Dinge wie die Defcon. Das ist eine Konferenz, zu der Hacker gehen, um all die neuen Wege zu zeigen, die sie gelernt haben, um sich in Dinge zu hacken. Der Hauptfokus dort liegt darauf, offensive Hacking-Techniken zu teilen, und das Teilen dieser Techniken hat die Sicherheit wohl besser gemacht, denn wenn die Leute sie nicht teilen, dann wissen wir nicht, dass das Problem existiert, und man kann nichts unternehmen, um sich dagegen zu verteidigen.
Die echten Kriminellen und staatlichen Akteure teilen ihre Techniken nicht öffentlich, weil sie nicht wollen, dass sie behoben werden. Wir können das nicht einfach ignorieren und hoffen, dass Sicherheitsprobleme sich irgendwie von alleine beheben. Meine Hoffnung ist, dass ihr, nachdem ihr von all diesen Techniken gehört habt, euer digitales Leben nun ernster nehmt als zuvor. Ich stelle mir eine Welt vor, in der die Nutzer so gut über Sicherheit aufgeklärt sind, dass sie es auf sich nehmen, ihre Umgebungen extrem abzusichern, weil sie zu oft von bösen Akteuren getroffen wurden oder einfach gelernt haben, wie man das Internet sicher nutzt. Aber es wird lange dauern, bis wir dort ankommen. Manchmal müssen Dinge zusammenbrechen, bevor sie durchbrechen können. Es ist ein Kriegsgebiet da draußen. Seid vorsichtig, aber seid mutig. Haltet durch. Ihr schafft das. Nehmt eure eigene digitale Sicherheit ernst. Praktiziert gute digitale Hygiene. Viel Glück beim Ausweichen vor den Kugeln.
JACK: (OUTRO): Ein großes Dankeschön an Drew für das Teilen dieses Einblicks in die verschiedenen Coms und was dort vor sich geht.
Diese Episode wurde im englischen Original von Jack Rhysider erstellt. Den Text haben Marko Pauli und Isabel Grünewald übersetzt und gesprochen.
Produktion: Marko Pauli
Titelmusik: Breakmaster Cylinder
Dies sind die Darknet Diaries auf Deutsch von Heise Online.
URL dieses Artikels: https://www.heise.de/-11269283
DoS- und Schadcode-Attacken auf NGINX-Webserver vorstellbar
Von Heise — 26. Mai 2026 um 14:00
(Bild: Tatiana Popova/Shutterstock.com)
In aktuellen Versionen von NGINX Open Source und NGINX Plus haben die Entwickler eine Sicherheitslücke geschlossen.
Angreifer können Webserver auf NGINX-Open-Source- und NGINX-Plus-Basis attackieren. Ansatzpunkt ist eine nun geschlossene Softwareschwachstelle. Im schlimmsten Fall kann Schadcode Systeme kompromittieren.
DoS und Schadcode
In einer Warnmeldung geben die Entwickler an [1], die Sicherheitslücke (CVE-2026-9256 „hoch“) in NGINX Open Source 1.30.2 und 1.31.1 und NGINX Plus 37.0.11, R32 P7 und R36 P5 geschlossen zu haben. Bislang gibt es seitens F5 keine Berichte, dass Angreifer die Schwachstelle bereits ausnutzen.
Ansatzpunkt ist abermals das ngx_http_rewrite_module. Aufgrund der Schwachstelle kommt es in diesem Kontext zu Fehlern bei der Verarbeitung, was zu einem Speicherfehler führt. Daran können Angreifer mit präparierten HTTP-Anfragen ansetzen, um DoS-Zustände auszulösen. Es kann aber auch zur Ausführung von Schadcode kommen.
Apple-Inhaltechef wird zum Unterhaltungsmann des Jahres in Cannes
Von Heise — 26. Mai 2026 um 13:03
Cue bei einer Apple-Vorstellung: Dienstegeschäft wächst weiter.
(Bild: Apple)
Eddy Cue verantwortet Apple TV, Apple Music und andere Dienste. Dafür bekam er nun eine Auszeichnung beim Werbefest in Cannes.
Zwar gelingt es Apple zunächst nicht, sich für Apple TV die Weltrechte für die Formel 1 [1] zu sichern. Der Inhalte- und Dienstechef Eddy Cue des iPhone-Herstellers hat aktuell dennoch Grund zu feiern: Der bereits seit 1989 für Cupertino tätige Manager wurde nun bei den Cannes Lions zur „Entertainment Person of the Year“ erklärt. Die Auszeichnung des 61-Jährigen findet offiziell im kommenden Monat [2] statt. Die Cannes Lions sind ein internationales Kreativfestival, das anfangs von der Reklamebranche ausgerichtet wurde, mittlerweile aber deutlich darüber hinausgeht. So gibt es Auszeichnungen für Medien, Design, Film und Social. In den vergangenen Jahren bekamen etwa der Comedian Kevin Hart, der Mattel-Chef Ynon Kreiz oder der „Saturday Night Live“-Chef Lorne Michaels die Auszeichnung als „Entertainment Person of the Year“. Damit soll zum Teil auch das bisherige Lebenswerk geehrt werden. Der Preis gehört zu den wichtigsten Auszeichnungen bei den Cannes Lions.
Dienstegeschäft bei 30 Milliarden US-Dollar Umsatz
Cue, der mit vollem Namen Eduardo H. Cue heißt, wurde in Miami geboren, er hat kubanische und spanische Wurzeln. Seine aktuelle Position bei Apple lautet Senior Vice President für den Bereich Services (Dienste) und Health (Gesundheit). Im Bereich Services sind praktisch alle Abo- und Diensteprodukte enthalten, die Apple vermarktet – von den iCloud-Diensten über Apple Music, Apple TV, Apple Maps bis zu Apple Pay und die Produktivitäts- und Kreativ-Apps, die Apple nun auch als Abonnement verkauft.
Bei der Einführung von App Store und iTunes Store spielte Cue ebenso eine zentrale Rolle wie bei der Schaffung von Apples erstem E-Commerce-Angebot (heute Apple Online Store ). Zuletzt bekam er auch noch die Gesundheitsangebote in sein Portfolio [3], hier hat Apple mit Fitness+ ebenfalls einen Abodienst. Das Dienstegeschäft wächst jedes Jahr. Zuletzt überstieg der Umsatz im Quartal [4] 30 Milliarden US-Dollar.
Lob für Apples Inhalte bei Apple TV
Die Cannes Lions ehren Cue insbesondere für seine Arbeit an Apple TV samt Apples hauseigener Studioabteilung. Apple TV habe sich als Heimat für einige der von der Kritik am stärksten gefeierten Serien und Filme etabliert. „Apple TV hat gezeigt, dass Ambitionen und Integrität beim Geschichtenerzählen nicht im Widerspruch zum kommerziellen Erfolg stehen“, sagten die Preisrichter.
Cue wird in Cannes unter anderem bei einem „Fireside Chat“ dabei sein. Regisseur und Produzent Jerry Bruckheimer dürfte ebenfalls auf die Bühne kommen, mit dem Apple zuletzt seinen erfolgreichen „F1“-Streifen [5] umgesetzt hatte.
URL dieses Artikels: https://www.heise.de/-11304407
„Genauen Standort beschränken“: Was Apples Mobilfunksicherheitsfunktion kann
Von Heise — 26. Mai 2026 um 11:44
Funkmast in Bremen: Apple-Modems spielen „Verstecken“.
(Bild: Andreas Wilkens / heise medien)
Mit iPhone 16e, 17e und Air hat Apple mit den eigenen C1- und C1X-Modems neue Datenschutzfeatures eingeführt. Das steckt dahinter.
Viele Jahre hat Apple an seinen eigenen Modemchips [1] gebastelt, nun stecken C1 [2] respektive C1X [3] in immerhin fünf verschiedenen Geräten: iPhone 16e (C1), 17e und Air (jeweils C1X) sowie iPad Pro M5 und iPad Air M4 (jeweils C1X). Mit den Mobilfunkkomponenten hat Apple auch mehr Kontrolle darüber, welche Daten an die Provider fließen. Erstes Beispiel dafür ist eine neue Funktion, die sich „genauen Standort für Mobilfunknetze beschränken“ nennt. Allerdings äußerte sich Apple bislang nur zurückhaltend zu dem Feature.
Für alle Carrier, Default bei der Telekom
In einem Supportdokument [4] heißt es, „genauen Standort beschränken“ verbessere „deinen Standortdatenschutz, indem sie die Präzision der Standortdaten verringert, die Mobilfunknetzen zur Verfügung stehen“. Dabei sollen die Carrier etwa statt Straße und Hausnummer nur noch den Bezirk, in dem sich der Nutzer befindet, feststellen können. Die Einstellung habe „keinen Einfluss auf die Signalqualität oder dein Benutzererlebnis“, so Apple weiter. Bei Notrufen sollen die genauen Standortdaten übermittelt werden. Der iPhone-Hersteller schreibt weiter, dass die Funktion nichts mit den üblichen Ortungsdiensten via GPS und WLAN [5] zu tun hat.
Interessant an „genauen Standort beschränken“ ist schließlich, dass Apple die Funktion nur bei einzelnen Mobilfunkanbietern standardmäßig aktiviert, bei anderen nicht – in Deutschland ist sie bei der Telekom direkt am Start, aus bislang unbekannten Gründen. Zunächst waren Beobachter daher davon ausgegangen, dass die Funktion möglicherweise nicht für alle Netze bereitsteht. Das ist aber nicht so: Sie wird vollständig vom C1 und C1X gesteuert, die Carrier haben keinen Einfluss, wie die Telekom gegenüber Mac & i bestätigte. Mittlerweile schreibt Apple zudem, dass innerhalb der ganzen EU sowie Großbritannien die Funktion„genauen Standort beschränken“ bereitsteht, sofern eine SIM oder eSIM eingelegt ist. Weitere von Apple genannte Länder sind Thailand und die USA. Wie es in der Schweiz aussieht, blieb zunächst unklar.
Signalveränderungen erlauben Ortungsbeschränkung
Laut Telekom handelt es sich bei dem von Apple verwendeten Verfahren um die sogenannte Timing Advance Randomization [6], kurz TAR. Dabei werden über Signalveränderungen Versuche der genauen Ortstriangulation über die vorhandenen Mobilfunkmasten unterbunden. Da Netzbetreiber mit solchen Daten in vielen Regionen einen schwunghaften Handel betreiben, ist Apples Ansatz lobenswert.
Die Funktion steht seit iOS 26.3 mit den erwähnten Geräten bereit. Ob sie auch bei Nicht-Apple-Modems freigeschaltet werden könnte, bleibt offen. Beobachter hoffen, dass Apple C1 und C1X (oder deren Nachfolger) endlich auch in Macs einbauen.
URL dieses Artikels: https://www.heise.de/-11304486
Ferrari Luce: Luxus-Elektroauto für über 500.000 Euro
Von Heise — 26. Mai 2026 um 11:29
Ferrari Luce
(Bild: Ferrari)
Ferraris erstes batterieelektrisches Modell ist ein geräumiger, 772 kW leistender GT-Crossover. Mit einem Preis von über 500.000 Euro ist es ziemlich teuer.
Der Name ist schon mal eine Ansage: „Luce“ ist italienisch für Strom, abgeleitet natürlich von der Ursprungsbedeutung „Licht“. Für Ferrari ist ein Elektroauto nicht einfach ein weiteres Angebot, es ist natürlich auch ein Wagnis angesichts der Tifosi, die sich schon immer und ganz mehrheitlich über die vielzylindrigen Verbrenner begeisterten – mehr als viele Anwohner selbstredend. Aber die Zeiten sind nun mal so, dass sich ein Hersteller ohne Elektroauto schmerzhaften Strafzahlungen [1] stellen oder – weniger teuer – einen Geschäftspartner mit Elektroautos [2] suchen muss. Doch nun einfach einen elektrischen Ferrari Purosangue zu kreieren, würde dem Selbstverständnis der Marke aus Maranello widersprechen. „Der Ferrari Luce bringt zusammen, was wir sind und was wir sein wollen“, sagt John Elkann, der Aufsichtsratsvorsitzende von Ferrari.
Ein bisschen Apple-Design-DNS
Der Ferrari Luce ist sicher nicht zufällig kein flacher Zweisitzer, kein SUV und auch kein klassischer Gran Turismo. Das fünfsitzige, viertürige Crossover mit vier Elektromotoren, 772 kW, einer Batterie mit einer Kapazität von 122 kWh, 800-Volt-Architektur, aktivem Fahrwerk, Hinterachslenkung und einem Design, das man so bei Ferrari noch nicht gesehen hat. Nicht Flavio Manzoni und das Centro Stile allein prägten die Form, sondern LoveFrom, das Kreativkollektiv um Jony Ive und Marc Newson. Jony Ive war maßgeblich am Design des iMac G3 mit dem bunten, transparenten All-in-One-Design, das Apple rettete, beteiligt und am Entwurf des iPod mit dem Click-Wheel-Design.
Der Luce setzt nicht auf die aggressive Supersportwagen-Formensprache, sondern auf eine schalenartige Linie. Ganz im Sinne der Geräte aus Cupertino mit dem angebissenen Obst. Gegenläufig öffnende Türen erleichtern den Zugang. Mit 0,254 erreicht der Luce den niedrigsten cW-Wert aller Ferraris, soll aber dennoch viel Abtrieb generieren. Dazu kommt die Tatsache, dass der Schwerpunkt des Luce um 9,5 Zentimeter tiefer liegt als der des Purosangue. Der Luce ist 5,026 Meter lang, 1,999 Meter breit, 1,544 Meter hoch und hat mit 2,961 Metern exakt den Radstand eines 296 GTB.
Beinahe schlank
Die Kabine sitzt weit vorn, die „Module-to-Pack”-Batterie tief im Fahrzeugboden. So können die Pouchzellen bei Bedarf gewechselt werden, beispielsweise wenn leistungsfähigere Energiespeicher verfügbar sind. Geladen wird mit bis zu 350 kW. Der Luce soll mit einer Batterieladung rund 530 Kilometer weit kommen. Überragend ist das nicht, trotz einer maximalen Rekuperation von 500 kW. Die Hinterachsmotoren leisten je 310 kW, die vorderen je 105. Mit der Systemleistung von 772 kW ist der Luce ähnlich leistungsfähig wie ein Porsche Taycan Turbo GT mit 760 kW, der Lotus Emeya R mit 675 kW oder der Mercedes-AMG GT mit bis zu 860 kW. Der Luce sprintet in 2,5 Sekunden auf 100 km/h, in 6,8 Sekunden auf 200 km/h und erreicht eine Höchstgeschwindigkeit von 310 km/h. Das Leergewicht liegt bei 2260 Kilogramm, für ein fünfsitziges Elektroauto mit 122-kWh-Batterie ist das beinahe schlank.
Vier Permanentmagnet-Synchronmotoren erlauben Torque Vectoring über die Längs- und Querachse. So soll sich der Luce leichter anfühlen als er ist. Der Dynamik hilft die Achslastverteilung von 48 zu 52 Prozent (vorne / hinten). Hinzu kommt eine unabhängige Hinterachslenkung, die die Räder mit maximal 2,15 Grad einschlagen lässt und das vom F80 abgeleitete aktive Fahrwerk. Die nötige Traktion sollen Räder in den fast monströsen Dimensionen 265/35-23 (vorn) und 315/30-24 (hinten) sicherstellen.
Beim ersten Blick in den Innenraum erkennt man, dass hier Apple-Designer am Werk waren. Und das ist gut so. Statt die Bedienung in einem Zentralbildschirm zu bündeln, kombinieren die Italiener mechanische Tasten, Drehregler, Kippschalter und OLED-Anzeigen. Das Smartphone kann per Apple CarPlay oder Android Auto eingebunden werden, eine eigene Navigation hat der Luce nicht. Over-the-Air-Updates sind ebenfalls nicht möglich. So viel Purismus in einem 550.000 Euro teuren Wagen kann man sich erlauben, wenn man Ferrari heißt. Das Risiko für die Marke ist aber wahrscheinlich weniger der Preis als der komplette Umstieg, für den die Traditionsmarke aus Maranello ganz sicher auf ganz neue Kunden hoffen wird.
URL dieses Artikels: https://www.heise.de/-11306144
Aus für Ubuntu Pastebin: Abschaltung Ende Juni 2026
Von Heise — 26. Mai 2026 um 17:36
(Bild: Canonical)
Ende Juni 2026 ist Schluss für Ubuntu Pastebin. Zahllose Links könnten ins Leere laufen – ein Ersatzdienst ist bislang nicht angekündigt.
Canonical schaltet den Dienst Ubuntu Pastebin Ende Juni 2026 ab. Die Maßnahme gehört laut dem Canonical-IS-Team zu einem größeren Projekt, mit dem das Unternehmen seine Infrastruktur modernisiert. Nach der Abschaltung sind die Inhalte des Dienstes nicht mehr erreichbar. Wer auf paste.ubuntu.com oder pastebin.ubuntu.com verlinkt, sollte die URLs rechtzeitig anpassen.
Ubuntu Pastebin dient seit Jahren dazu, Textschnipsel unkompliziert zu teilen – etwa Terminalausgaben, Logs, Konfigurationsdateien oder Fehlermeldungen. Genutzt wird der Dienst vor allem in Support-Foren, IRC-Channels, Bugreports und Community-Diskussionen. Statt umfangreiche Ausgaben von journalctl, dmesg oder apt direkt in einen Chat oder Forenbeitrag zu kopieren, verweisen Nutzer auf einen Pastebin-Link.
Kritik an kurzer Vorlaufzeit und fehlender Archivierung
Ursprünglich wollte Canonical den Dienst bereits Ende Mai 2026 abschalten – mit nur acht Tagen zwischen Ankündigung und endgültigem Aus. Nach Kritik aus der Community [1] verschob das Unternehmen den Termin um einen Monat. Im Ubuntu-Forum bemängelten mehrere Nutzer vor allem die kurze Vorlaufzeit und das Fehlen einer Migrations- oder Archivierungsstrategie. Canonical erklärte, die Rückmeldungen intern weitergegeben zu haben; kurz darauf folgte die Fristverlängerung.
Die Abschaltung dürfte zahlreiche Support- und Dokumentationsinhalte betreffen. Pastebin-Links finden sich seit Jahren in Wikis, Blogbeiträgen, Bugtrackern und Forendiskussionen rund um Ubuntu und Linux allgemein. In der Diskussion kritisieren Nutzer zudem, dass einige Ubuntu-Pakete und Skripte weiterhin paste.ubuntu.com ansprechen.
Technische Details und Alternativen
In der Diskussion im Ubuntu-Forum weisen Nutzer darauf hin, dass paste.ubuntu.com und pastebin.ubuntu.com offenbar denselben Dienst bereitstellen. Beide Domains liefern derzeit identische Inhalte aus und verwenden dieselben Paste-IDs. Auch ältere Support-Beiträge und Bugreports nutzen die Adressen weitgehend austauschbar. Eine offizielle technische Einordnung durch Canonical gibt es bislang nicht.
Canonical machte bislang keine Angaben dazu, ob Inhalte archiviert, weitergeleitet oder migriert werden sollen. Ebenso unklar bleibt, ob ein offizieller Ersatzdienst folgt. Als Alternativen haben sich in den vergangenen Jahren unter anderem GitHub Gist, selbst gehostete Software wie PrivateBin [2] sowie Sharing-Funktionen in Kollaborationsplattformen etabliert.
URL dieses Artikels: https://www.heise.de/-11306893
Redis 8.8: Neuer Array-Datentyp und Rate Limiting per Befehl
Von Heise — 26. Mai 2026 um 16:39
(Bild: heise medien)
Mit dem neuen Array-Datentyp, dem Rate-Limiting-Befehl INCREX und Erweiterungen für Streams und Vektorsuche richtet sich Redis 8.8 verstärkt an KI-Workloads.
Redis 8.8 ist erschienen: Die neue Version des In-Memory-Datenbanksystems bringt unter anderem einen nativen Array-Datentyp, neue Befehle für Streams und Rate Limiting sowie Verbesserungen für Such-, Zeitreihen- und KI-Workloads.
Entwickler nutzen Redis vor allem als Key-Value-Store für Caching, Session-Management, Echtzeitanalysen und Messaging. Seit Redis 8.0 integriert Redis Open Source auch Volltext- und Vektorsuche, JSON-Dokumente sowie Zeitreihenfunktionen; ein separater Redis Stack entfällt.
Neuer Datentyp und neuer Rate-Limiting-Befehl
Wichtigste Neuerung ist der native Datentyp Array. Bislang mussten Entwickler strukturierte Sequenzen meist über Listen oder serialisierte JSON-Strukturen abbilden. Arrays speichern homogene Daten kompakter und erlauben den direkten Zugriff per Index – etwa auf numerische Sensordaten oder Embedding-Vektoren für KI-Anwendungen.
Mit INCREX führt Redis einen neuen Befehl für Rate Limiting ein. Er vereint Zähler, Ablaufzeiten und Grenzwerte in einem Schritt – ohne zusätzliche Lua-Skripte oder mehrere Redis-Kommandos. Damit lassen sich typische API-Limits wie „100 Anfragen pro Minute“ direkt umsetzen.
Streams und feingranulare Benachrichtigungen
Auch Redis Streams erhalten neue Funktionen: Der Befehl XNACK erlaubt es Consumern, ausstehende Nachrichten gezielt wieder freizugeben. Bislang konnten fehlerhafte oder hängende Worker Nachrichten in den Pending-Listen festhalten und so die weitere Verarbeitung blockieren. Der neue Befehl soll die Fehlerbehandlung in Event-Streaming- und Queue-Szenarien vereinfachen.
Für eine feinere Ereignissteuerung unterstützt Redis 8.8 nun feldgenaue Benachrichtigungen bei Hashes. Anwendungen können damit auf Änderungen einzelner Felder reagieren statt nur auf Änderungen am gesamten Schlüssel. Das reduziert unnötige Trigger und erlaubt feiner granulierte Event-Architekturen.
Erweiterungen für Suche und Zeitreihen
Für Such- und Analyse-Szenarien – etwa Vektorsuchen oder hybride Abfragen – bringt Redis 8.8 mehrere Neuerungen: Die hybride KNN-Suche über FT.HYBRID erhält eine Option, mit der sich die Zahl der Kandidaten pro Shard begrenzen lässt. Zusätzlich lassen sich hybride Suchabfragen nun per FT.PROFILE analysieren.
RedisTimeSeries baut die Range-Abfragen aus: Sie können nun mehrere Aggregationen in einem Aufruf kombinieren, etwa Mittelwert, Maximum und Summe. Das reduziert laut den Release Notes [1] zusätzliche Abfragen und die Netzwerklast in Monitoring- und Analyseumgebungen.
Zudem nennt das Projekt allgemeine Performance-Verbesserungen sowie Bugfixes, unter anderem bei Cluster-Topologien und in der Speicherverwaltung. Redis erweitert außerdem die Sorted-Set-Befehle ZUNION, ZINTER, ZUNIONSTORE und ZINTERSTORE um einen neuen COUNT-Aggregator. Redis 8.6 [2] erschien Mitte Februar 2026 und bietet seitdem deutlich mehr Performance auf ARM-Systemen.
URL dieses Artikels: https://www.heise.de/-11306539
AdminLTE 4.0: Neustart für das Dashboard-Framework
Von Heise — 26. Mai 2026 um 13:30
(Bild: Screenshot / AdminLTE)
AdminLTE erscheint in Version 4.0 – mit komplettem Umbau auf Bootstrap 5.3, ohne jQuery und mit 18 neuen Demo-Seiten.
Mit AdminLTE 4.0.0 ist eine neue Hauptversion des Open-Source-Dashboard-Frameworks erschienen. Das Projekt hat dafür seine Architektur grundlegend umgebaut: AdminLTE basiert nun auf Bootstrap 5.3, verzichtet vollständig auf jQuery und setzt stattdessen auf TypeScript. Neben der modernisierten technischen Basis bringt die Version zahlreiche neue Beispielseiten, eine erweiterte Dokumentation und eine überarbeitete Dark-Mode-Unterstützung.
AdminLTE ist ein UI-Template für Web-Adminoberflächen und Dashboards. Entwickler nutzen es als Grundlage für SaaS-Backends, CRM- und E-Commerce-Systeme, Monitoring-Dashboards oder interne Tools. Das Projekt liefert dafür vorgefertigte Layouts, Navigationsstrukturen, Formulare, Tabellen und Dashboard-Komponenten, die sich in eigene Webanwendungen einbinden lassen.
Abkehr von jQuery und Wechsel auf Bootstrap 5.3
Die wichtigste technische Neuerung ist die vollständige Abkehr von jQuery [1]. Ältere Admin-Templates setzen oft stark auf jQuery-Plugins und direkte DOM-Manipulation. Moderne Frontend-Stacks bevorzugen dagegen komponentenbasierte Architekturen und native Browser-APIs. AdminLTE ersetzt seine bisherigen jQuery-Komponenten deshalb durch TypeScript-Plugins.
Parallel dazu wechselt das Projekt auf Bootstrap 5.3. Damit übernimmt AdminLTE unter anderem die native Dark-Mode-Unterstützung des Frameworks, modernisierte Utility-Klassen und die neuen Datenattribute aus Bootstrap 5. Für bestehende Projekte bedeutet das aber Breaking Changes: Die Maintainer haben mehrere zentrale CSS-Klassen umbenannt, etwa .main-sidebar zu .app-sidebar. Auch bisherige Attribute wie data-toggle heißen jetzt Bootstrap-5-konform data-bs-toggle.
18 neue Demo-Seiten und neue Tabellen-Bibliothek
Hinzu kommen 18 neue Demo- und Beispielseiten. Dazu zählen Vorlagen für Kalenderansichten auf Basis von FullCalendar, Kanban-Boards mit SortableJS, Chat-Oberflächen, Dateimanager, Projektübersichten, Mailbox-Ansichten sowie mehrstufige Formular-Wizards mit Validierung. Auch Profil- und Einstellungsseiten, Rechnungsansichten und Fehlerseiten für HTTP-Statuscodes wie 404 und 500 sind dabei. Die Beispielseiten sollen nicht nur als Showcase dienen, sondern direkt als Boilerplates für eigene Anwendungen.
Für Tabellen setzt AdminLTE 4 auf die Bibliothek Tabulator. Die neue Implementierung kommt ohne jQuery aus und bietet Sortierung, Filterung und virtuelle Tabellen für größere Datenmengen – Funktionen, die typischerweise in Reporting- oder Monitoring-Oberflächen zum Einsatz kommen.
Auch die Unterstützung für Farbmodi hat das Projekt erweitert. Die neue Version blendet standardmäßig einen Umschalter für Light- und Dark-Mode in der Topbar ein. Die Auswahl speichert AdminLTE im localStorage und kann sie automatisch an die Systemeinstellung des Browsers über prefers-color-scheme anpassen.
Überarbeitete Dokumentation und modernisierte Toolchain
Die Dokumentation wurde ebenfalls umfassend überarbeitet. Neu sind unter anderem Kapitel zur Migration von Version 3, zu Deployment-Szenarien, Theming, RTL-Unterstützung und empfohlenen Integrationen. Die FAQ erscheint nun als eigenständige Seite mit Live-Suche und thematischen Kategorien. Zudem trennt das Projekt die Navigation der Live-Demo von der eigentlichen Dokumentation, um die Vorschauseiten übersichtlicher zu halten.
Bei der Toolchain steht ebenfalls ein Update an. AdminLTE nutzt jetzt unter anderem TypeScript 6 [2], ESLint 10, Stylelint 17 und Astro 6.3. Die Maintainer haben außerdem mehrere ältere ESLint-Konfigurationen entfernt und auf das Flat-Config-Modell umgestellt. Nach Angaben der Entwickler soll die Abhängigkeitskette laut npm-Audit keine bekannten Schwachstellen mehr enthalten. Eine vollständige Übersicht aller Änderungen finden Interessierte in den Release Notes auf GitHub [3].
Hinweis zum Produktiveinsatz
Abschließend weist das Projekt erneut darauf hin, dass AdminLTE lediglich ein UI-Template und kein vollständiges Anwendungssystem ist. In Produktivumgebungen sollten Entwickler ausschließlich die kompilierten Produktionsassets bereitstellen, nicht jedoch die mitgelieferten Demo- und Beispielseiten. Die Maintainer verweisen dabei auf die ältere CVE-2021-36471 [4], die aus ihrer Sicht auf fehlerhafte Deployments von Beispielinhalten zurückgeht.
URL dieses Artikels: https://www.heise.de/-11306268
Jetzt patchen! Angreifer nutzen kritische Schadcode-Lücke in Drupal aus
Von Heise — 26. Mai 2026 um 10:16
(Bild: solarseven/Shutterstock.com)
Angreifer haben es derzeit auf mit dem CMS Drupal erstellte Websites abgesehen. Seiten sind aber nur verwundbar, wenn sie PostgreSQL nutzen.
Die Drupal-Entwickler warnen vor Attacken auf mit dem Content-Management-System (CMS) erstellte Internetseiten. Im Anschluss haben Angreifer Zugriff auf eigentlich abgeschottete Daten. Sie können sich aber auch höhere Rechte verschaffen oder sogar Schadcode aus der Ferne ausführen. Sicherheitsupdates stehen zum Download bereit.
Kritische Schadcode-Lücke
Wie aus einer mittlerweile um die Warnung vor laufenden Attacken aktualisierten Meldung des Softwareherstellers hervorgeht [1], ist die Sicherheitslücke (CVE-2026-9082) mit dem Bedrohungsgrad „kritisch“ eingestuft. Sie betrifft ausschließlich Websites, die PostgreSQL nutzen. Ist das der Fall, setzen Angreifer mit präparierten SQL-Injection-Attacken an der Schwachstelle an. Attacken sollen ohne Authentifizierung möglich sein. Wie Angriffe im Detail ablaufen, führen die Drupal-Entwickler derzeit nicht aus. Unklar ist zurzeit auch, in welchem Umfang die Attacken ablaufen.
Von der Lücke sind auch Drupal-Versionen betroffen, für die der Support ausgelaufen ist. Aufgrund der Dringlichkeit haben die Entwickler aber trotzdem Sicherheitsupdates veröffentlicht. Sie geben an, die folgenden Ausgaben gegen die laufenden Attacken gerüstet zu haben:
Drupal 8.9
Drupal 9.5
Drupal 10.4.10
Drupal 10.5.10
Drupal 10.6.9
Drupal 11.1.10
Drupal 11.2.12
Drupal 11.3.10
Die Entwickler weisen darauf hin, dass nicht mehr im Support befindliche Ausgaben zwar dieses Sicherheitsupdate bekommen, sie aber nach wie vor über ältere Schwachstellen angreifbar sind. Demzufolge sollten Webadmins ein Upgrade auf eine noch unterstützte Version durchführen.
URL dieses Artikels: https://www.heise.de/-11305870
Während Irans Unterhändler in Katar über ein Abkommen verhandeln, greifen US-Streitkräfte erneut an. Teheran schoss daraufhin eine US-Drohne ab. Ein Überblick.
Die USA haben erneut Angriffe auf den Süden Irans durchgeführt – zeitgleich zu laufenden Friedensverhandlungen in Katar. Das US-Zentralkommando erklärte, die Schläge hätten der "Selbstverteidigung" gedient und seien darauf ausgerichtet gewesen, "unsere Truppen vor Bedrohungen durch iranische Streitkräfte zu schützen".
Ziel der Angriffe waren nach Angaben [1] der New York Times Raketenstartanlagen sowie Boote, die dabei waren, Seeminen zu legen – alles in der Nähe von Bandar Abbas, einer strategisch bedeutsamen Hafenstadt am Persischen Golf, in der auch ein iranischer Marinestützpunkt liegt.
Die Stadt befindet sich unmittelbar an der Straße von Hormus [2], durch rund ein Fünftel des weltweiten Öl- und Gashandels fließt. Laut [3] dem katarischen Nachrichtensender Al Jazeera hatten iranische Staatsmedien hatten zunächst berichtet, lokale Behörden gingen nach gemeldeten Explosionen den Vorkommnissen nach. Später hieß es, die Lage in der Hafenstadt sei trotz der Angriffe unter Kontrolle
Irans Revolutionsgarden schießen US-Drohne ab
Als direkte Reaktion meldeten Irans Islamische Revolutionsgarden (IRGC), sie hätten eine unbemannte US-Drohne vom Typ MQ-9 Reaper [4] abgeschossen, nachdem diese in den iranischen Luftraum eingedrungen sei.
Darüber hinaus hätten die Streitkräfte nach eigenen Angaben Beschuss auf eine RQ-4-Drohne sowie auf ein F-35-Kampfflugzeug eröffnet. Wann genau diese Vorfälle stattfanden, ließ die Erklärung offen. Die Garden behielten sich das "legitime und unabdingbare" Recht auf Vergeltung für jegliche Verletzungen des Waffenstillstands durch die USA vor, heißt es darin.
Verhandlungen in Doha: Kein Durchbruch in Sicht
Parallel zu den Militäraktionen befinden sich hochrangige iranische Vertreter in Katar: Außenminister Abbas Araghchi, Parlamentspräsident und Chefunterhändler Mohammad Bagher Ghalibaf sowie Zentralbankgouverneur Abdolnaser Hemmati reisten nach Doha, um über ein mögliches Abkommen zur Beendigung des Krieges zu verhandeln.
Irans Außenamtssprecher Esmaeil Baghaei räumte Fortschritte ein, warnte aber vor überzogenen Erwartungen: "Es ist richtig zu sagen, dass wir bei einem Großteil der diskutierten Fragen zu einer Einigung gelangt sind. Aber zu sagen, dass dies bedeutet, dass die Unterzeichnung eines Abkommens unmittelbar bevorsteht – das kann niemand behaupten."
Berichten zufolge gilt das in Verhandlung befindliche Abkommen als "zu 95 Prozent fertig". Es soll eine 60-tägige Verlängerung des Waffenstillstands, die Wiedereröffnung der Straße von Hormus sowie einen Plan für weitere Gespräche über Irans Atomprogramm umfassen.
US-Außenminister Marco Rubio erklärte trotz der Angriffe, Gespräche seien weiterhin möglich. "Wir werden sehen, ob wir Fortschritte machen können. Ich denke, es gibt sehr viel Hin und Her über die genaue Formulierung im Ausgangsdokument, das wird noch einige Tage dauern", sagte Rubio während eines offiziellen Besuchs in Indien.
Präsident Donald Trump habe "seinen Wunsch geäußert, eine Einigung zu erzielen". Rubio fügte hinzu: "Er wird entweder einen guten Deal machen oder gar keinen." Zur Straße von Hormus sagte Rubio unmissverständlich: "Sie wird offen sein, so oder so."
Trump selbst signalisierte zuletzt eine gewisse Flexibilität in der Nuklearfrage: Er erklärte, er wäre bereit, dass Iran sein angereichertes Uran "an einem anderen akzeptablen Ort" vernichtet – eine Abkehr von der früheren US-Forderung, wonach Washington die direkte Kontrolle über Teherans Uranvorräte übernehmen solle.
URL dieses Artikels: https://www.heise.de/-11306218
In den USA schütten manche Fonds seit über 100 Jahren verlässlich Erträge aus – in Deutschland kennt sie kaum jemand.
Die Altersvorsorge wird in Deutschland zunehmend auf die privaten Schultern verlagert. Oder wie Bundeskanzler Friedrich Merz (CDU) erklärte, die gesetzliche Rentenversicherung wird künftig wohl nur noch eine Basisrente sein – und wer im Alter seinen Lebensstandard halten möchte, ist auf private Vorsorge angewiesen.
Private Altersvorsorge: Warum laufende Erträge wichtiger werden
Wer hierzulande aber nach Anlagen mit hohen laufenden Erträgen sucht, stößt fast automatisch auf Dividenden-ETFs und Anleihenfonds.
Andere Fonds verzichten wiederum ganz auf die Ausschüttung von Dividenden, um sie gleich wieder anzulegen. Sie haben den Vorteil, dass sie über den Zinseszinseffekt ein höheres Wachstum in Aussicht stellen.
Der Nachteil der thesaurierenden ETFs ist aber, dass im Alter die Anteile verkauft werden müssen, um etwas vom Angesparten zu haben; mit anderen Worten: Das Kapital muss aufgezehrt werden.
Closed-end Funds: Eine 100 Jahre alte Idee, die kaum jemand kennt
An dieser Stelle lohnt ein Blick über den Atlantik, denn dort existiert eine Fondsgattung, die mitunter seit über 100 Jahren Erträge ausschüttet und hierzulande nahezu unbekannt ist: Closed-End Funds, kurz CEFs.
Rechnet man noch andere CEF-Typen wie Interval Funds, Tender Offer Funds und Business Development Companies (BDCs) hinzu, dann summiert sich das gesamte CEF-Vermögen auf 791 Milliarden US-Dollar [2] (Stand: 2025).
Für Dividendenjäger dürften Ausschüttungen von teilweise 10 Prozent pro Jahr bei einem monatlichen Auszahlungsintervall sicher interessant sein. In den USA spielen die Closed-End Funds auch für Rentner eine erhebliche Rolle: Laut ICI hielten 2024 [3] rund 3,6 Millionen US-Haushalte Anteile an den CEFs und erzielten damit zusätzliche monatliche Einkünfte.
Feste Anteilszahl, freier Kurs: So funktionieren CEFs
Doch wie alles, was an der Börse gehandelt wird, bergen auch die CEFs gewisse Risiken, die aus der Anlageklasse selbst entspringen und die Anleger kennen sollten.
Ein Closed-End Fund sammelt sein Kapital in einem einmaligen Börsengang (Initial Public Offering, IPO) ein und gibt danach in der Regel keine neuen Anteile mehr aus. Wer nach dem IPO einsteigen will, muss Anteile an der Börse von anderen Anlegern kaufen – genau wie bei einer Aktie.
Das ist der entscheidende Unterschied zu offenen Fonds und ETFs, bei denen die Fondsgesellschaft fortlaufend neue Anteile schafft oder bestehende zurücknimmt.
Bei einem offenen Fonds entspricht der Preis stets annähernd dem Nettoinventarwert (Net Asset Value, NAV), also dem tatsächlichen Wert der gehaltenen Wertpapiere pro Anteil. Bei CEFs hingegen bestimmen Angebot und Nachfrage den Kurs [4] – und der kann erheblich vom NAV abweichen.
Discount als Einstiegschance – oder als Warnsignal
Genau diese Abweichung macht CEFs für Value-Investoren interessant. Handelt ein Fonds mit einem Abschlag (Discount) zum NAV, kauft der Anleger das zugrunde liegende Portfolio faktisch unter seinem rechnerischen Wert.
Schließt sich der Discount später, winkt neben den laufenden Ausschüttungen ein zusätzlicher Kursgewinn. Das klingt nach Schnäppchenjagd – und genau das ist es. Aktivistische Investoren wie der US-Hedgefonds Saba Capital haben daraus eine eigene Strategie gemacht und bieten sogar einen aktiv verwalteten ETF an, der gezielt in CEFs mit hohem Discount investiert.
Die Kehrseite: Ein dauerhafter Discount kann auch ein berechtigtes Warnsignal sein. Geringe Handelsliquidität, hohe Gebühren oder ein übermäßiger Einsatz von Fremdkapitalhebeln (Leverage) können Anleger dauerhaft vom inneren Wert fernhalten.
CEFs sind – was den Einsatz von Fremdkapital angeht – reguliert. Für jeden Dollar, den sie als Schulden aufnehmen und als Hebel einsetzen, müssen sie drei Dollar Fondsvermögen vorhalten. Das schreibt der Investment Company Act von 1940 vor. Bei Vorzugsaktien darf das Verhältnis auch nur 1:2 zugunsten des Fondsvermögens betragen. Diese Hebelwirkung steigert die Ausschüttungen in guten Zeiten, verstärkt aber Verluste, wenn die Märkte drehen.
Was CEFs von ETFs und offenen Fonds unterscheidet
Der Vergleich mit den hierzulande populären ETFs zeigt die strukturellen Unterschiede besonders deutlich.
Ein ETF nutzt einen sogenannten Creation-Redemption-Mechanismus: Spezialisierte Marktteilnehmer (Authorized Participants) können fortlaufend neue ETF-Anteile schaffen oder bestehende auflösen, sodass der Börsenkurs eng am NAV bleibt.
CEFs haben diesen Mechanismus nicht. Die Anzahl der Anteile bleibt nach dem IPO im Wesentlichen fix – neue Anteile entstehen nur in Ausnahmen wie Bezugsrechtsemissionen oder Dividenden-Reinvestmentprogrammen.
Wie der Finanzdienstleister Thrivent erläutert [5], ergibt sich daraus ein weiterer praktischer Unterschied: Während offene Fonds einmal täglich zum Schlusskurs des NAV gehandelt werden, laufen Transaktionen bei CEFs den ganzen Tag über die Börse – mit fortlaufender Preisbildung wie bei Einzelaktien.
Das kann ein Vorteil für aktive Händler sein, birgt aber auch die Gefahr, dass emotionale Marktbewegungen den Kurs stärker vom inneren Wert entfernen als bei einem ETF.
Gerade die Freiheit von täglichen Mittelzu- und -abflüssen verschafft CEF-Managern allerdings einen Spielraum, den ETF-Manager nicht haben. Da kein Anleger seine Anteile zum NAV zurückgeben kann, muss der Fondsmanager keine Liquiditätsreserven vorhalten.
Er kann deshalb stärker in illiquide Marktsegmente investieren – etwa wenig gehandelte Kommunalanleihen, Hochzinsanleihen oder alternative Anlagen –, die potenziell höhere Erträge abwerfen.
Zinswende als Katalysator
Die globale Zinswende seit 2022 hat die CEF-Landschaft spürbar verändert. Einerseits verursachten steigende Zinsen Kursverluste in bestehenden Anleiheportfolios und weiteten die Discounts vieler einkommensorientierter Fonds aus.
Andererseits können CEF-Manager neu eingesammeltes Kapital und fällig werdende Anleihen zu deutlich höheren Kupons reinvestieren. Mittelfristig steigen dadurch die laufenden Erträge – und damit die Ausschüttungen an die Anteilseigner.
Die ICI-Statistik zum vierten Quartal 2025 zeigt eine leichte Konsolidierung: Das Gesamtvermögen der traditionellen CEFs sank im Quartal um 370 Millionen auf 256,89 Milliarden US-Dollar.
Die Zahl der Fonds fiel von 370 auf 364. Gleichzeitig verzeichnete die Branche erstmals seit längerem wieder positive Nettoemissionen von 620 Millionen US-Dollar, nachdem im Vorquartal noch Nettorücknahmen von 808 Millionen US-Dollar angefallen waren.
Das Segment stabilisiert sich also – wächst aber nicht annähernd so dynamisch wie der globale ETF-Markt und bildet nach wie vor ein Nischenprodukt.
Steuerliche Fallstricke für deutsche Anleger
Für Investoren aus Deutschland stellt sich die entscheidende Frage: Lohnt sich der Griff über den Atlantik trotz der regulatorischen und steuerlichen Hürden?
US-CEFs sind keine UCITS-Produkte und unterliegen damit nicht der EU-Regulierung für Publikumsfonds. Sie sind über internationale Broker handelbar, genießen aber weder den Schutz der UCITS-Diversifikationsregeln noch die standardisierten Transparenzanforderungen des europäischen Fondsrechts.
Steuerlich wird es komplex: Auf Ausschüttungen fällt zunächst US-Quellensteuer an, die über das Doppelbesteuerungsabkommen teilweise auf die deutsche Abgeltungsteuer anrechenbar ist.
Die für heimische Publikumsfonds geltenden Teilfreistellungen nach dem Investmentsteuergesetz greifen nicht automatisch, wenn das Produkt nicht als entsprechender Investmentfonds im Sinne des InvStG anerkannt wird.
Dazu kommt das Währungsrisiko: Sämtliche Erträge fallen in US-Dollar an, und Schwankungen in den Wechselkursen können die nominell hohen Ausschüttungsrenditen von 6 bis 10 oder mehr Prozent für Euro-Anleger empfindlich schmälern – oder im günstigsten Fall zusätzlich aufwerten.
Die europäische Regulierung geht einen anderen Weg als die US-amerikanische.
Während CEFs unter dem Investment Company Act von 1940 vergleichsweise großzügig Leverage einsetzen und in illiquide Anlagen investieren dürfen, setzt die EU mit der AIFMD-II-Richtlinie strengere Maßstäbe: Kreditvergebende offene alternative Investmentfonds (sogenannte Loan-Originating AIFs) dürfen einen Hebel [6] von maximal 175 Prozent nutzen, kreditvergebende geschlossene AIFs von 300 Prozent.
Für deutsche Dividendenjäger, die ein steuerlich unkompliziertes, breit diversifiziertes Ausschüttungsdepot aufbauen wollen, bleiben UCITS-konforme ETFs und ausschüttende Rentenfonds wahrscheinlich die naheliegendere Wahl.
CEFs können für erfahrene Anleger mit höherer Risikotoleranz ein interessanter Portfoliobaustein sein – als Beimischung, nicht als tragende Säule. Wer den Schritt wagt, sollte die Discount-Entwicklung, den Leverage-Anteil und das Währungsrisiko eng im Blick behalten.
Dieser Artikel dient ausschließlich der Information und stellt keine Anlageberatung, Empfehlung oder Aufforderung zum Kauf oder Verkauf von Finanzprodukten dar. Jede Anlageentscheidung sollte auf Basis eigener Recherche und gegebenenfalls nach Rücksprache mit einem qualifizierten Finanzberater getroffen werden. Wertentwicklungen der Vergangenheit sind kein verlässlicher Indikator für künftige Erträge.
URL dieses Artikels: https://www.heise.de/-11306180
Da viele Wünsche nach Eingriffen in die Freiheit anderer allgegenwärtig sind, immer wieder auftreten und deshalb wohl irgendwie zum menschlichen Zusammenleben gehören, gibt es ein schier unüberschaubares Dickicht an normativen Regeln, also Gesetzen, Verordnungen, Satzungen und dergleichen.
Dagegen ist nichts einzuwenden - wenn zwei Voraussetzungen erfüllt sind. Ersten: Bei der grundsätzlichen Regelung waren "die Betroffenen" eingebunden und konnten ihre (abstrakte) Zustimmung unter den vereinbarten Bedingungen geben. Und zweitens: Individuell darf jeder von einer Grundsatzregel abweichen, soweit sich die Beteiligten eben auf etwas anderes verständigen können.
Betroffene Bürger an Gesetzgebung kaum beteiligt
Der erste Punkt wird in deutschen Gesetzgebungsverfahren zumeist durch Anhörungen in den jeweiligen Parlamentsausschüssen berücksichtigt. Potentiell Betroffene kommen dabei jedoch nicht persönlich, sondern durch Lobbyverbände zu Wort. Ob dabei alle relevanten Positionen berücksichtigt werden, ist im Einzelfall zu prüfen. Angehört werden aber auch regelmäßig Experten, die gerade nicht betroffen sind, sondern von außen auf die Regelung schauen.
In der Schweiz ist die Beteiligung wesentlich breiter angelegt, allerdings nur bei Regelungen, die für besonders wichtig erachtet werden. Im sogenannten "Vernehmlassungsverfahren" kann sich nach Artikel 4 VlG [4]jeder einbringen. Einen Anspruch auf Berücksichtigung gibt es freilich nicht.
Abweichung von der Norm unzulässig
Der zweite Punkt ist meist nicht vorgesehen. Wenn individuelle Abweichungen möglich sein sollen, wird dies wiederum explizit geregelt, wie beispielsweise eine mögliche "Grunddienstbarkeit" (§ 1018 BGB [5]). Ansonsten aber gelten staatlich oder kommunal aufgestellte Regeln abstrakt – ohne Vertragsfreiheit.
Denkt man einmal kurz außerhalb der Dichotomie Staat auf der einen Seite, Bürger auf der anderen Seite, dann sind alle Verkehrsregeln Vereinbarungen der Betroffenen untereinander. Um nicht bei jedem Aufeinandertreffen von zwei Verkehrsteilnehmern ein individuelles Aushandeln zu verlangen (mit der oft schwierigen Frage, wer gerade eigentlich von wem etwas will [6]), einigt man sich auf Grundlagen wie Rechts vor Links, Halt bei roter Ampel etc.
Abstrakte Regeln gelten ausnahmslos
Solche Regeln gelten auch, wenn niemand anwesend ist, der diese Regel für sich beanspruchen möchte. Beispiel Fußgängerampel: Zeigt sie dem Straßenverkehr Rot, muss ein Fahrzeug stehenbleiben, auch wenn weit und breit sonst niemand zugegen ist, wie das Bayerische Oberste Landesgericht (1 ObOWi 58/03) entschieden hat.
Die trotz aller Proklamationen zum Bürokratieabbau zunehmenden Regelungen führen nicht nur zu einer praktischen Unüberschaubarkeit mit der Folge, dass sich kaum jemand sicher sein kann, stets rechtskonform zu leben, sie sind letztlich auch ein Offenbarungseid der Politik.
Vom Speziellen zum Allgemeinen
Denn wo immer eine neue Spezialregel gesetzt wird, zeigt sich in Wahrheit, dass eine Grundfrage nicht geklärt ist. Der richtige, nämlich an individueller Freiheit orientierte und Willkür vermeidende Weg ist stets, von Detailregelungen zu Grundregeln zu kommen. Wo dies nicht gelingt, drücken sich Gesellschaft oder wenigstens Politiker davor, den Kern zu verhandeln.
Die zehn Gebote kamen noch mit dem einen Satz aus: Du sollst (bzw. nach dem Original eher "wirst") nicht töten. Vielleicht müsste man dem noch eine Ausnahme hinzufügen der Art: außer in Notwehr. Aber das deutsche Strafrecht unterscheidet hier zig Fallkonstellationen, und im Kriegsfalle ist ohnehin alles anders.
Die Weigerung, sich auf nachvollziehbare Grundregeln zu verständigen, zeigt aktuell die Diskussion um weitere Detailvorgaben im Sexualstrafrecht. Von Deepfake [9] bis "nur Ja heißt Ja [10]" werden immer neu "Strafbarkeitslücken" ausgemacht, die weitere Einzelnormen verlangen sollen.
Kein Ende neuer Regelungen in Sicht
Bei diesem Weg ist klar: Gut geregelt sein wird das Land nie. Es wird immer weitere Ge- und Verbote brauchen, niemals wird der Punkt kommen, an dem Politiker (und Bürger) sagen: nun ist alles klar, Danke, mehr ist nicht zu tun.
Was eben umgekehrt bedeuten muss: bisher sind unsere Regeln ungenügend, trotz bald 80 Jahren bundesrepublikanischem Geschraube an ihnen.
In einer "Demokratie der Freiheit" wären also dringend große Konsultationen angesagt. Bürokratieabbau ist kein Selbstzweck, sondern die logische Folge eindeutiger und konsensfähiger Regelungen.
Groß müssten diese Konsultationen sein, weil von Strafgesetzen alle betroffen sind. Nicht, dass sich jeder als potentiellen Straftäter sehen müsste, aber Urteile ergehen "im Namen des Volkes", mithin muss dieses Volk die entsprechenden Strafnormen grundsätzlich gefordert haben.
Im Zivilrecht sind hingegen längst nicht alle von jeder Regelung potentiell betroffen, doch die Kreise, die miteinander zu verhandeln hätten, wären immer noch sehr groß.
Volksentscheid nicht in Sicht
Doch solche Konsultationen sind bisher nicht vorgesehen. Die Versuche dazu mit Bürgerräten (Pro und Contra diskutiert in drei Teilen [11]) stoßen vor allem bei Konservativen auf Ablehnung. Das Instrument des Volksentscheids [12] gibt es auf Bundesebene in Deutschland nicht - und wird wohl auch nicht kommen (denn es stand schon in verschiedensten Wahlprogrammen).
Und eine große zivilgesellschaftliche Debatte ist auch nicht in Sicht, zumal jede Verständigung auf einfache Grundregeln immer auch den Verzicht auf Ausnahmen zu eigenen Gunsten einschließt. Ein übermächtiger Staat wird zwar gerne kritisiert; doch sobald es um die eigenen Pfründen geht, wollen sich viele doch lieber auf eine Detailregelung der Politik berufen, als eigenständig mit dem Nachbarn zu verhandeln.
Vorrang für lokale Regelungen
Einen Ausweg böte eine andere Normenhierarchie, die auf den ersten Blick als Widerspruch zum Vorrang von Grundregeln vor Detailregeln gesehen werden könnte, nämlich nicht von möglichst weit oben, sondern stets von so weit wie möglich unten her etwas zu regeln.
Aber vom Ansatz her, dass nur Anspruchsteller und Betroffene miteinander zu verhandeln haben, ist es einfacher und gerechter, lokale Unterschiede zu akzeptieren, als alles mindestens bundesweit, inzwischen ja oft EU-weit gleichermaßen vorzuschreiben.
Das bedeutet noch nicht, dass jedes Dorf, jeder Kiez, jeder Wohnblock machen kann, was er mag, solange er sich darauf geeinigt hat. Denn wo immer Externe Betroffen sind, sind sie eben in die Aushandlung einzubeziehen. Die Rauchgase aus dem heimischen Kamin verbleiben eben nicht vor Ort - der Lärm eines Straßenfestes aber schon.
Vielfalt ist keine Kleinstaaterei
Den Kommunen, vor allem aber auch den Einwohnern selbst hier deutlich mehr Selbstbestimmung zuzugestehen, wäre ein fundamentaler Schritt zu mehr Freiheit. Und auf diesen überschaubaren Ebenen lassen sich Aushandlungen der Betroffenen miteinander auch relativ einfach organisieren.
"Kleinstaaterei" wird es hier schallen. Dabei möchte doch fast jeder wenigstens hinter seiner Wohnungstür von Vorschriften, die irgendwelche Nicht-Betroffenen kraft ihres Amtes ersonnen haben oder gerade ersinnen [13], verschont bleiben.
Und eine "Opt-Out"-Erlaubnis wäre ja längst keine Pflicht, überall das Rad neu zu erfinden. Aber es wäre die Chance, Demokratie als Selbstbestimmung deutlich mehr Raum zu geben.
URL dieses Artikels: https://www.heise.de/-11305862
FreshRSS 
