Die Version 3.0.23 des VLC Media Player bessert diverse Schwachstellen aus, die möglicherweise Unterschieben von Schadcode erlauben.
Das VideoLAN-Projekt hat mit den Versionen 3.0.22 und 3.0.23 des VLC Player diverse Sicherheitslücken beim Verarbeiten von unterschiedlichen Medienformaten ausgebessert. Wer die Software zum Streamen und zur Medienwiedergabe einsetzt, sollte auf die jüngste Version aktualisieren.
In einer Sicherheitsmitteilung erörtert das VideoLAN-Projekt [1] die Sicherheitslücken, die VLC 3.0.22 bereits schließt. Die Schwachstellen können VLC [2] abstürzen lassen, die Entwickler schließen jedoch nicht aus, dass sie sich verknüpfen lassen, um Schadcode auszuführen oder Nutzerinformationen preiszugeben. Immerhin haben sie keine Hinweise darauf, dass die Lücken bereits missbraucht würden.
Die Schwachstellen betreffen die Verarbeitung der Formate und Verarbeitungsmodule MMS, OggSpots, CEA-708-Untertitel, ty, CVD-Untertitel, Ogg-Demuxer, WebVTT, NSV-Demuxer, SRT-Untertitel, ASF, MP4-Demuxer, SPU-Decoder, SVCD-Untertitel-Decoder, tx3g-Untertitel-Decoder und schließlich den Audio-Ausgabe-Puffer auf dem Stack. In den News [3] listen die Programmierer in den Änderungen zwischen VLC 3.0.22 und 3.0.21 unter „Security“ noch weitere Schwachstellen auf und merken an, dass auch diese Liste nicht erschöpfend ist.
Noch neuere Version mit nur wenigen Korrekturen
Die jüngere Version VLC 3.0.23 ist laut Release-Notes [4] nur ein kleines nachgeschobenes Fix-Release. Allerdings korrigiert auch sie einige weitere Sicherheitslücken, wie in den VLC-News nachzulesen [5] ist. Etwas stakkatoartig listen die Entwickler dort auf, dass sie eine „Null Deref“ in libass behoben haben, was vermutlich eine Null-Pointer-Dereferenzierung meint. In den Modulen zur Verarbeitung von Theora und CC-708 gab es offenbar undefinierte Shifts, in Daala hingegen einen Integer-Überlauf. Der h264-Parser konnte in eine Endlosschleife geraten. Zudem korrigierten sie darin einen Pufferüberlauf in PNG sowie mehrere „Format-Überläufe“.
Auf der Download-Seite von VLC [6] steht die Software vorkompiliert für diverse Plattformen zum Herunterladen bereit. Inzwischen wurde die Software 6 Milliarden Mal heruntergeladen [7]; die Entwickler planen zudem die Ergänzung von lokalen KI-Funktionen.
URL dieses Artikels: https://www.heise.de/-11135921
Microsoft bestätigt: Telefonische Windows-Aktivierung ist passé
Von Heise — 09. Januar 2026 um 11:26
(Bild: heise medien)
Die Telefonaktivierung von Windows ist laut Bandansage „derzeit“ nicht verfügbar. Microsoft bestätigt nun: Sie ist Geschichte.
Seit Kurzem gibt es Diskussionen und Mutmaßungen dazu, dass Windows [1] nicht telefonisch aktivierbar ist. Beim Versuch erhält man den Hinweis, dass das „derzeit“ nicht möglich sei. Microsoft bestätigt, dass das so gewollt ist. Das Unternehmen macht die Zwangsaktivierung des Betriebssystems damit noch komplizierter.
Am Wochenende ließ sich verifizieren [2], dass Windows sich nicht telefonisch aktivieren lässt. Beim Versuch ertönt lediglich eine Bandansage. Die verkündet, dass der Anruf „derzeit“ nicht bearbeitet werden kann, und verweist lediglich auf support.microsoft.com – also Microsofts allgemeine Support-Startseite. Zu dem Zeitpunkt war jedoch unklar, ob es sich um eine (längere) Störung handelt oder ob Microsoft die Möglichkeit dauerhaft eingestampft hat. Auch zum Meldungszeitpunkt steht die Anleitung zum Aufruf der telefonischen Aktivierung weiterhin auf Microsofts Webseiten [3] online.
Auf der englischen Webseite hat Microsoft die Telefonaktivierung bereits aus der Anleitung entfernt.
(Bild: heise medien)
„Ab dem 3. Dezember 2025 wird der traditionelle automatisierte Produktaktivierungsprozess mittels Telefon ins Internet verlagert. Kunden müssen stattdessen das Produktaktivierungsportal nutzen“, erklärt Microsoft weiter. „Der neue digitale Workflow bietet eine sicherere, zuverlässigere und benutzerfreundlichere Aktivierungserfahrung und hilft, Betrug zu verhindern. Obwohl der Prozess aktualisiert wurde, werden Offline-Aktivierungsfunktionen weiterhin unterstützt. Kunden, die sich auf die herkömmliche Offline-Aktivierung verlassen, können diese ohne Änderungen an ihrer Umgebung weiterhin nutzen.“
Microsoft [5] erklärt, dass das Portal zur Produktaktivierung [6] einen Log-in erfordert. Das dafür genutzte Konto wird jedoch nicht automatisch mit den zu aktivierenden Lizenzen verknüpft. Im Portal lässt sich aussuchen, welches Produkt man aktivieren möchte – Windows, Office, Windows Server und so weiter. An Windows-Versionen geht die Liste dann von aktuellem Windows 11 bis zum eigentlich nicht mehr unterstützten Windows XP zurück. Damit soll eine Aktivierung von Software auch ohne Internetverbindung des Zielgerätes möglich sein. Es ist jedoch ein zweites Gerät mit Internetanbindung dazu nötig, um auf das Aktivierungsportal zuzugreifen, etwa ein Smartphone, Tablet oder Computer.
URL dieses Artikels: https://www.heise.de/-11135717
Links in diesem Artikel: [1] https://www.heise.de/thema/Windows [2] https://www.heise.de/news/Windows-momentan-nicht-telefonisch-aktivierbar-11128240.html [3] https://support.microsoft.com/de-de/windows/produktaktivierung-f%C3%BCr-windows-online-microsoft-support-produktaktivierungsportal-35f6a805-1259-88b4-f5e9-b52cccef91a0 [4] https://support.microsoft.com/en-us/windows/activate-microsoft-perpetual-products-using-the-product-activation-portal-64fdc7f5-ce38-42a9-aea8-393020149983 [5] https://www.heise.de/thema/Microsoft [6] https://visualsupport.microsoft.com/ [7] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner [8] mailto:dmk@heise.de
Kein Patch im BMW: ”Pwn My Ride“-Lücke in CarPlay und AirPlay bleibt bestehen
Von Heise — 09. Januar 2026 um 10:39
Apple CarPlay: Autohersteller sehen keinen Patch-Bedarf.
(Bild: Apple)
Letzten Herbst wurden Lücken in der AirPlay-Implementierung diverser Geräte entdeckt – auch in CarPlay. Daran wird sich bei einigen Marken wohl nichts ändern.
Kein Patch trotz teurem Schlitten: BMW [1] hat sich offenbar dazu entschlossen, für seine Car-Entertainment-Systeme keine Fehlerbehebungen für die sogenannte Pwn-My-Ride-Lücke [2] an die Kundschaft zu geben. Das im Frühjahr 2025 entdeckte Problem ist massiv, betrifft Apples Streamingprotokoll AirPlay sowie bei Fahrzeugen auch CarPlay – und kann zur Übernahme ganzer Geräte genutzt werden. Apple hatte seine eigene Hardware verhältnismäßig schnell gepatcht, doch viele Anbieter von Unterhaltungselektronik mit AirPlay- und CarPlay-Fähigkeit zogen entweder nicht nach oder brauchten Monate. Im September hieß es etwa, dass noch zahlreiche Autohersteller betroffen [3] sind. Unklar war zum damaligen Zeitpunkt, welche Marken Patches ganz unterlassen. Das wird nun langsam deutlich.
BMW-Experten sehen „äußerst geringes“ Risiko
Ein Mac & i-Leser, der einen BMW i3s besitzt, der im Februar 2024 übernommen wurde, versuchte seit vielen Monaten, eine Antwort vom Hersteller zu bekommen. Nachdem bei Werkstatt und Kundenservice wenig auszurichten war, wendete er sich an das BMW-Beschwerdemanagement. Das Ergebnis war ernüchternd. Zwar räumte BMW ein, dass das Fahrzeug von der grundsätzlichen Lücke [4] (CVE-2025-24132) betroffen ist. Allerdings sieht der Konzern keine Gefahr.
Man habe das Leck „kurz nach Veröffentlichung“ von „unseren Experten“ prüfen lassen. Dabei ergab sich dann Folgendes: „Die gemeldete Sicherheitslücke erfordert, dass ein Angreifer mit einem böswilligen Gerät aktiv eine Kopplung mit der Headunit des Fahrzeugs via Bluetooth durchführt.“ Dieser Kopplungsprozess setzte sowohl eine direkte Initiierung aus dem Kopplungsmenü des Fahrzeugs als auch eine PIN-basierte Validierung voraus. „Dieser mehrstufige Prozess stellt sicher, dass eine unbeabsichtigte oder unautorisierte Kopplung praktisch ausgeschlossen [ist].“ Angesichts dieser „strengen Voraussetzungen“ wird „das Sicherheitsrisiko für unsere Kunden als äußerst gering“ eingeschätzt.
„Klarheit und Sicherheit“ ohne Patch
Und da das Ausnutzen der Sicherheitslücke „von unseren Security-Experten als äußerst gering eingeschätzt“ wurde, sei eben „kein weiteres Software-Update für Ihr Fahrzeugmodell geplant“. Er hoffe, „dass diese Erklärung Klarheit und Sicherheit in Bezug auf die bestehenden Maßnahmen zum Schutz der Kundensicherheit bietet“, so der Bearbeiter weiter. Der Mac & i-Leser ist mit der Entscheidung nicht einverstanden: „Für meine Wenigkeit trägt das Verhalten von BMW nicht zur Kundenbindung bei.“
Tatsächlich lässt sich die Entscheidung BMWs nur schwer nachvollziehen. Zur Anwendung eines potenziellen Exploits – also der Übernahme des Car-Entertainment-Systems mit möglicherweise schweren Folgen – reicht es aus, physischen Zugriff (also samt Schlüssel) auf das Fahrzeug zu haben. Die Kopplung ist weder durch ein Nutzerpasswort geschützt noch auf andere Art – das kennt man etwa aus Mietfahrzeugen, in denen zig Bluetooth-Profile zu finden sind. BMW reagierte auf eine Anfrage an die Pressestelle zunächst nicht. Mit „Pwn My Ride“ ist ein Root-Zugriff auf das Unterhaltungssystem samt aller sich daraus ergebender Möglichkeiten verbunden: Von der Manipulation des Systems über das Abgreifen von Daten bis zu Spionage. Die Firma Oligo, die das Problem entdeckt hat, veröffentlichte dazu mehrere recht beeindruckende Beispiele [5], die auch über CarPlay laufen.
URL dieses Artikels: https://www.heise.de/-11134596
Links in diesem Artikel: [1] https://www.heise.de/thema/BMW [2] https://www.heise.de/news/Schwere-Luecken-in-AirPlay-Apple-patcht-andere-Geraete-wohl-weiter-angreifbar-10366898.html [3] https://www.heise.de/news/AirPlay-Luecke-steckt-noch-in-zahllosen-CarPlay-Autos-10652715.html [4] https://nvd.nist.gov/vuln/detail/cve-2025-24132 [5] https://www.oligo.security/blog/pwn-my-ride-exploring-the-carplay-attack-surface [6] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html [7] https://www.heise.de/mac-and-i [8] mailto:bsc@heise.de
Bisher haften Plattformen nicht für fremde Inhalte, sofern sie Rechtsverletzendes nach Hinweis löschen. Der Europäische Gerichtshof dies nun infrage.
Ein EuGH-Urteil, das sich auf den Datenschutz stützt, könnte paradoxerweise dazu führen, dass Portale aus Haftungsgründen noch mehr Daten ihrer Nutzer speichern müssen. Mit Urteil vom 2. Dezember 2025 (Az. C-492/23) hat der Europäische Gerichtshof (EuGH) das bisherige Haftungsregime der EU-Plattformregulierung ins Wanken gebracht. Für Anbieter, die Inhalte ihrer Nutzer veröffentlichen, galt bislang das Prinzip „Notice and Takedown“. Danach haften Betreiber von Social-Media-Plattformen, Foren oder Kleinanzeigenportalen nur dann für rechtswidrige Inhalte, wenn sie davon Kenntnis haben und sie nicht unverzüglich entfernen. Seit der E-Commerce-Richtlinie aus dem Jahr 2000 gilt das als eherner Grundsatz, der 2022 auch in den Digital Service Act (DSA) übernommen wurde.
Im konkreten Fall hatte ein anonymer Nutzer 2018 eine Anzeige auf einem rumänischen Onlinemarktplatz veröffentlicht, die eine Frau fälschlicherweise als Anbieterin sexueller Dienstleistungen präsentiert hatte. Neben echten Fotos war darin auch die private Telefonnummer der Betroffenen enthalten. Juristisch lassen sich diese Informationen als personenbezogene Daten im Sinne der DSGVO klassifizieren. Zudem sind sie als besonders schützenswert im Sinne von Art. 9 DSGVO einzustufen, da sie das Sexualleben betreffen. Zwar löschte der Plattformbetreiber Russmedia die Anzeige nach Kenntnis der Sachlage binnen einer Stunde, aber das reichte der Betroffenen nicht. Sie erhob Klage und verlangte unter anderem Schadenersatz in Höhe von 7000 Euro.
Der Fall landete beim rumänischen Berufungsgericht Cluj. Dieses sah sich mit einem Normenkonflikt konfrontiert: Wie verhält sich das Haftungsprivileg für Anbieter von fremdem Content zur strengen Verantwortlichkeit für die Datenverarbeitung in der Datenschutz-Grundverordnung (DSGVO)? Um diese Frage zu klären, setzte das Gericht das Verfahren aus und legte dem EuGH mehrere Fragen zur Entscheidung vor.
URL dieses Artikels: https://www.heise.de/-11124320
Home-Key-fähiges Schloss mit UWB: Aqara U400 öffnet bei Annäherung
Von Heise — 09. Januar 2026 um 10:48
UWB-Schloss von Aqara: Gut bei Regen oder ohne freie Hände.
(Bild: Aqara)
Der chinesische Smart-Home-Anbieter erweitert seine Türschlossserie über ein Gerät mit interessanten Fähigkeiten.
Türschlösser mit Bluetooth-basierter Annäherungsöffnung gibt es im HomeKit-Universum und seinen Ausläufern bereits – der österreichische Spezialist Nuki bietet so etwas an [1]. Für Mehrfamilienhäuser ist dies allerdings eher ungeeignet, weil sich die Tür bereits auf etwa zehn Meter Entfernung öffnet, was man dort womöglich nicht will. Eine Lösung ist das Ultra-Wideband-Protokoll, das mittlerweile eine ganze Reihe von iPhones [2] sowie Apple-Watch-Modellen unterstützen. Damit erkennen sich Geräte deutlich genauer auf geringere Entfernungen. Nachdem es erste Ansätze für Autos gab (CarKey [3] mit UWB), nutzt der chinesische Smart-Home-Spezialist Aqara die Technik nun auch für seine Türschlösser. Allerdings hat das derzeit noch einen wichtigen Pferdefuß.
Matter, Aliro und mehr
Das erste Schloss mit UWB ist das gerade vorgestellte Smart Lock U400 [4]. Die Idee: „Entsperrt sich beim Annähern. Kein Kontakt, keine Biometrie.“ Regnet oder schneit es oder ist man gut bepackt, muss man also weder sein iPhone herausholen noch die Apple Watch ans Schloss halten. Das U400 soll sowohl HomeKit als auch den neuen Schlossstandard Aliro [5] unterstützen, sobald dieser endlich weitläufig(er) ausgerollt wird.
Dank Matter und Thread ist auch kein Aqara-Hub notwendig, ein Thread-Border-Router wie HomePod (mini) oder Apple TV 4K reicht aus. Neben UWB-Unlock, was hoffentlich über Apples Home Key [6] möglich sein wird, hat das U400 auch noch einen Fingerabdrucksensor sowie ein PIN-Pad als weitere Möglichkeit zur Authentifizierung.
Nur für amerikanische Türen
Aqara beginnt derzeit mit dem Verkauf des U400, es wird in den USA bei Amazon für 270 US-Dollar in den Farben Schwarz und Silber offeriert. Das Gerät ist wiederaufladbar (4800 mAh) mit entnehmbarem Akku. Ein Außengerät, das an der Außenseite der Tür anzubringen ist, liegt bei.
Das Problem: Die Hardware ist derzeit nur für nordamerikanische Türen vorgesehen, eine EU-Version wurde noch nicht veröffentlicht. Dort bleibt das U200 mit Home Key via NFC die aktuelle Generation. Wann Aqara das U400 entsprechend anpasst, ist noch unklar.
URL dieses Artikels: https://www.heise.de/-11133517
Kein Patch im BMW: ”Pwn My Ride“-Lücke in CarPlay und AirPlay bleibt bestehen
Von Heise — 09. Januar 2026 um 10:39
Apple CarPlay: Autohersteller sehen keinen Patch-Bedarf.
(Bild: Apple)
Letzten Herbst wurden Lücken in der AirPlay-Implementierung diverser Geräte entdeckt – auch in CarPlay. Daran wird sich bei einigen Marken wohl nichts ändern.
Kein Patch trotz teurem Schlitten: BMW [1] hat sich offenbar dazu entschlossen, für seine Car-Entertainment-Systeme keine Fehlerbehebungen für die sogenannte Pwn-My-Ride-Lücke [2] an die Kundschaft zu geben. Das im Frühjahr 2025 entdeckte Problem ist massiv, betrifft Apples Streamingprotokoll AirPlay sowie bei Fahrzeugen auch CarPlay – und kann zur Übernahme ganzer Geräte genutzt werden. Apple hatte seine eigene Hardware verhältnismäßig schnell gepatcht, doch viele Anbieter von Unterhaltungselektronik mit AirPlay- und CarPlay-Fähigkeit zogen entweder nicht nach oder brauchten Monate. Im September hieß es etwa, dass noch zahlreiche Autohersteller betroffen [3] sind. Unklar war zum damaligen Zeitpunkt, welche Marken Patches ganz unterlassen. Das wird nun langsam deutlich.
BMW-Experten sehen „äußerst geringes“ Risiko
Ein Mac & i-Leser, der einen BMW i3s besitzt, der im Februar 2024 übernommen wurde, versuchte seit vielen Monaten, eine Antwort vom Hersteller zu bekommen. Nachdem bei Werkstatt und Kundenservice wenig auszurichten war, wendete er sich an das BMW-Beschwerdemanagement. Das Ergebnis war ernüchternd. Zwar räumte BMW ein, dass das Fahrzeug von der grundsätzlichen Lücke [4] (CVE-2025-24132) betroffen ist. Allerdings sieht der Konzern keine Gefahr.
Man habe das Leck „kurz nach Veröffentlichung“ von „unseren Experten“ prüfen lassen. Dabei ergab sich dann Folgendes: „Die gemeldete Sicherheitslücke erfordert, dass ein Angreifer mit einem böswilligen Gerät aktiv eine Kopplung mit der Headunit des Fahrzeugs via Bluetooth durchführt.“ Dieser Kopplungsprozess setzte sowohl eine direkte Initiierung aus dem Kopplungsmenü des Fahrzeugs als auch eine PIN-basierte Validierung voraus. „Dieser mehrstufige Prozess stellt sicher, dass eine unbeabsichtigte oder unautorisierte Kopplung praktisch ausgeschlossen [ist].“ Angesichts dieser „strengen Voraussetzungen“ wird „das Sicherheitsrisiko für unsere Kunden als äußerst gering“ eingeschätzt.
„Klarheit und Sicherheit“ ohne Patch
Und da das Ausnutzen der Sicherheitslücke „von unseren Security-Experten als äußerst gering eingeschätzt“ wurde, sei eben „kein weiteres Software-Update für Ihr Fahrzeugmodell geplant“. Er hoffe, „dass diese Erklärung Klarheit und Sicherheit in Bezug auf die bestehenden Maßnahmen zum Schutz der Kundensicherheit bietet“, so der Bearbeiter weiter. Der Mac & i-Leser ist mit der Entscheidung nicht einverstanden: „Für meine Wenigkeit trägt das Verhalten von BMW nicht zur Kundenbindung bei.“
Tatsächlich lässt sich die Entscheidung BMWs nur schwer nachvollziehen. Zur Anwendung eines potenziellen Exploits – also der Übernahme des Car-Entertainment-Systems mit möglicherweise schweren Folgen – reicht es aus, physischen Zugriff (also samt Schlüssel) auf das Fahrzeug zu haben. Die Kopplung ist weder durch ein Nutzerpasswort geschützt noch auf andere Art – das kennt man etwa aus Mietfahrzeugen, in denen zig Bluetooth-Profile zu finden sind. BMW reagierte auf eine Anfrage an die Pressestelle zunächst nicht. Mit „Pwn My Ride“ ist ein Root-Zugriff auf das Unterhaltungssystem samt aller sich daraus ergebender Möglichkeiten verbunden: Von der Manipulation des Systems über das Abgreifen von Daten bis zu Spionage. Die Firma Oligo, die das Problem entdeckt hat, veröffentlichte dazu mehrere recht beeindruckende Beispiele [5], die auch über CarPlay laufen.
URL dieses Artikels: https://www.heise.de/-11134596
Links in diesem Artikel: [1] https://www.heise.de/thema/BMW [2] https://www.heise.de/news/Schwere-Luecken-in-AirPlay-Apple-patcht-andere-Geraete-wohl-weiter-angreifbar-10366898.html [3] https://www.heise.de/news/AirPlay-Luecke-steckt-noch-in-zahllosen-CarPlay-Autos-10652715.html [4] https://nvd.nist.gov/vuln/detail/cve-2025-24132 [5] https://www.oligo.security/blog/pwn-my-ride-exploring-the-carplay-attack-surface [6] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html [7] https://www.heise.de/mac-and-i [8] mailto:bsc@heise.de
eHealth: iOS‑App zeigt Störungen in der Telematikinfrastruktur
Von Heise — 09. Januar 2026 um 10:28
(Bild: TI-Monitoring)
Wenn E‑Rezept oder ePA streiken: Eine iOS‑App informiert über Störungen der Telematikinfrastruktur, aber auch, wenn sie oder einzelne Anwendungen wieder laufen.
Wenn das E‑Rezept nicht abrufbar ist oder die elektronische Patientenakte (ePA) [1] zeitweise nicht funktioniert, betrifft das nicht nur Arztpraxen und Apotheken, sondern auch Versicherte. Für sie bleibt häufig unklar, ob gerade eine größere Störung der Telematikinfrastruktur [2] (TI) vorliegt oder ob das Problem lokal begrenzt ist. Eine kürzlich veröffentlichte iOS‑App soll mehr Transparenz schaffen.
Native App mit SwiftUI
Nach der Veröffentlichung von „TI-Monitoring.de“ – unter anderem auf GitHub – [3] steht jetzt auch eine native App für iPhone, iPad und Macs zur Verfügung, die den aktuellen Status zentraler TI‑Dienste übersichtlich darstellt. Die Anwendung basiert auf öffentlich zugänglichen Statusdaten der Gematik und bereitet diese in einer mobil nutzbaren Form auf. Die Daten werden automatisch alle 5 Minuten aktualisiert.
Die iOS‑App entstand laut Angaben des Entwicklers, Lukas Schmidt-Russnak, unter anderem aus dem Wunsch heraus, ergänzend zu der Open-Source-Web-Anwendung (ti-monitoring.de [4]) eine native Anwendung mit SwiftUI zu entwickeln und die bestehende Funktionalität auf die Apple‑Plattform zu übertragen.
Auf der Startseite der App, die heise online vorab getestet hat, werden sämtliche relevanten TI‑Komponenten nach Produkttyp gruppiert angezeigt, jeweils mit ihrem aktuellen Verfügbarkeitsstatus. Dazu zählen unter anderem Verzeichnisdienste, VPN-Zugangsdienste, der E-Mail-Dienst KIM, ePA‑Aktensysteme oder Dienste rund um das E‑Rezept. Einzelne Gruppen können aufgeklappt werden, um Details zu den jeweiligen Komponenten einzusehen. Die Darstellung ist dabei bewusst reduziert gehalten und auch ohne tiefere technische Vorkenntnisse nachvollziehbar.
App zeigt TI-Status an
Ergänzend bietet die App eine Übersicht auf Ebene konkreter TI‑Anwendungen. Dort wird zusammengefasst, wie sich der aktuelle Zustand der Infrastruktur auf bekannte Anwendungen wie E‑Rezept, ePA oder KIM auswirkt. Bei gemeldeten Störungen lassen sich zusätzliche Informationen abrufen, etwa ob es sich um einen Teil‑ oder Totalausfall handelt, ob Wartungsarbeiten laufen und welche Funktionen konkret betroffen sind.
Für Nutzerinnen und Nutzer mit höherem Informationsbedarf, etwa in medizinischen Einrichtungen oder IT‑Abteilungen, lassen sich Benachrichtigungen individuell konfigurieren. So können Statusänderungen gezielt für ausgewählte Komponenten oder Anbieter gemeldet werden, ohne dass alle Meldungen pauschal ausgelöst werden. Wie bei vergleichbaren Monitoring‑Diensten gilt, dass die Daten ohne Gewähr bereitgestellt werden und aufgrund komplexer Abhängigkeiten innerhalb der TI nicht jede Einschränkung eindeutig abgebildet werden kann.
Die Basisversion der App ist kostenlos. Eine erweiterte Pro‑Version mit zusätzlichen Detailansichten und konfigurierbaren Benachrichtigungen ist als Einmalkauf für 4,99 Euro erhältlich.
URL dieses Artikels: https://www.heise.de/-11135333
Links in diesem Artikel: [1] https://www.heise.de/thema/elektronische-Patientenakte [2] https://www.heise.de/thema/Telematikinfrastruktur [3] https://www.heise.de/hintergrund/eHealth-TI-Monitoring-Alternative-zeigt-Live-Status-Historie-von-TI-Stoerungen-10625281.html [4] http://ti-monitoring.de/ [5] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner [6] mailto:mack@heise.de
Visual Studio Code 1.108: Profile importieren per Drag & Drop
Von Heise — 09. Januar 2026 um 10:47
(Bild: Proxima Studio/Shutterstock.com)
Das erste Release des Jahres experimentiert mit Agent Skills, vereinfacht das Importieren von Profilen und räumt mit Tausenden offener Issues auf.
Microsoft hat Visual Studio Code 1.108 veröffentlicht. Traditionell nutzt Microsoft den Dezember für Aufräumarbeiten statt für ein reguläres Release, doch in diesem Jahr gibt es offenbar zwölf statt elf Releases. Dabei haben die VS-Code-Entwickler die Tradition beibehalten, im Dezember Issues und Pull Requests aufzuräumen: Rund 6000 davon wurden geschlossen, und darüber hinaus sind einige Feature-Updates in das Dezember-Update eingeflossen.
Profile importieren per Drag & Drop
Es ist nun möglich, Einstellungsprofile per Drag & Drop einer .code-profile-Datei in VS Code zu ziehen, ähnlich wie bei einer .code-workspace-Datei zum Öffnen eines Workspace. Dann öffnet sich der Profile-Editor, der eine Vorschau zeigt und das Importieren des Profils ermöglicht. Das soll es vereinfachen, Profile mit Teammitgliedern zu teilen oder schnell eine neue Umgebung aufzusetzen.
Spezialisierte Skills für den KI-Agenten
Als experimentelles Feature lassen sich Agent Skills in GitHub [1] Copilot verwenden. Entwicklerinnen und Entwickler können dem KI-Agenten dadurch neue Fähigkeiten beibringen und ihn beispielsweise mit domänenspezifischem Wissen füttern. Agent Skills bestehen aus Ordnern mit Anweisungen, Skripte und Ressourcen, die GitHub Copilot bei Bedarf laden kann. Sie sind ein offener Standard [2] und wurden ursprünglich vom Unternehmen Anthropic entwickelt.
Zu den Vorteilen zählen laut Microsoft die Kombinierbarkeit mehrerer Skills für das Erstellen komplexer Workflows, die Spezialisierungsmöglichkeit für domänenspezifische Aufgaben ohne wiederholenden Kontext und das effiziente Laden ausschließlich relevanter Inhalte. Die Skills können zudem Wiederholungen vermeiden, da sie sich über alle Unterhaltungen hinweg verwenden lassen.
Das Erstellen und Verwenden von Agent Skills behandelt die VS-Code-Dokumentation im Detail [3]. Dort kommen auch die Unterschiede zwischen den Agent Skills und den VS-Code-spezifischen benutzerdefinierten Anweisungen (Custom Instructions) zur Sprache.
Neuerungen in Agent-Sessions- und Chat-Ansicht
Die Agent-Sessions-Ansicht wurde überarbeitet: Sie bietet nun Keyboard-Zugang zu Aktionen wie „Archivieren“, „State lesen“ und „Session öffnen“, zeigt Informationen zu geänderten Dateien sowie zugehörigen Pull Requests für eine Session und kann aus den neuen Gruppenabschnitten heraus mehrere Sessions auf einmal archivieren.
Die Agent Sessions View bietet neue Funktionen.
(Bild: Microsoft)
Neuerungen gibt es auch im Chat. Unter anderem werden nun vorherige Chat-Sessions nicht automatisch wiederhergestellt, wenn VS Code neu gestartet wird. Allerdings lassen sich aus der Agent-Sessions-Steuerung frühere Chat-Sessions aufrufen. Dieses neue Verhalten lässt sich in der Einstellung chat.viewRestorePreviousSession anpassen.
Hausputz im Dezember
Im Rahmen des jährlichen Dezember-Housekeeping hat das VS-Code-Entwicklungsteam dieses Mal 5951 offene Issues und Pull Requests geschlossen. Für weitere 1203 Issues wurde eine Triage durchgeführt, sodass diese nicht länger unter „Unknown Type“ laufen.
Das VS-Code-Team hat aufgeräumt: 5951 offene Issues und PRs wurden im Dezember 2025 geschlossen.
(Bild: Microsoft)
Alle weiteren Informationen zu den Neuerungen in VS Code 1.108 teilt das Entwicklungsteam in der Ankündigung mit [4].
URL dieses Artikels: https://www.heise.de/-11135584
Links in diesem Artikel: [1] https://www.heise.de/thema/GitHub [2] https://agentskills.io/home [3] https://code.visualstudio.com/docs/copilot/customization/agent-skills [4] https://code.visualstudio.com/updates/v1_108 [5] mailto:mai@heise.de
iOS: Apps können Mitteilungen geräuschlos ausliefern – ohne User-Kontrolle
Von Heise — 09. Januar 2026 um 09:54
iOS-Benachrichtigungen: Gmail, Instagram und Facebook melden sich nur auf Wunsch leise – was letztlich positiv ist.
(Bild: PixieMe / Shutterstock)
Eigentlich sollten Nutzer die Möglichkeit haben, selbst zu entscheiden, ob sie über Notifications informiert werden. Doch das steuern App-Entwickler.
Das Topangebot von Too Good to Go [1] für leckere Donuts, die immer so schnell weg sind, oder die Information aus der Airthings-App [2], dass mit der Luft etwas nicht stimmt: Manche iOS-Mitteilungen (Notifications) scheinen wie verhext zu sein. Sie tauchen trotz der Tatsache, dass sie ganz normal in den Systemeinstellungen aktiviert [3] sind, nur dann auf, wenn man das iPhone gerade aktiv bedient. Es gibt weder einen Auslieferungston noch, bei lautlosem Gerät, eine Vibration. In der Übersicht auf dem Sperrbildschirm sind sie ebenfalls zu sehen – nur eben erst dann, wenn man aktiv nachschaut. Das hat zur Folge, dass selbst vom Nutzer als wichtig angesehene Mitteilungen untergehen. Des Rätsels Lösung: Apple ermöglicht es Entwicklern, Mitteilungen auch „heimlich“ auszuliefern, eine Funktion im Code, die diese aktiv wählen müssen. Der Nutzer hat darüber dann allerdings keinerlei Kontrolle mehr, was viele nicht wissen.
Eine Konstante sorgt für Nerv
Seit iOS 15 können Developer für Mitteilungen nämlich auswählen, welchen "Interruption Level" diese haben. Das Feature nennt sich UNNotificationInterruptionLevel [4], eine Konstante, die darlegt, wie wichtig eine Notification sein soll. Hier kann der Entwickler sie auf „Active“ stellen und damit ganz normal ausliefern – mit Aufleuchten des Bildschirms und Sound/Vibration. „Critical“ gibt die Mitteilung auch mit Ton aus, wenn das Gerät lautlos gestellt wurde. „TimeSensitive“ macht aus der Mitteilung eine "dringliche Mitteilung", die auch einen Fokus [5] durchbrechen kann.
Und dann gibt es noch „Passive“, also passiv. Und genau das ist die nervigste Variante für User, die informiert bleiben wollen: "Das System fügt die Benachrichtigung zur Benachrichtigungsliste hinzu, ohne den Bildschirm hell zu machen [falls das Gerät nicht verwendet wird] oder einen Ton abzuspielen." Das Problem betrifft auch die Apple Watch: Auch dort werden solche Mitteilungen lautlos ausgeliefert und landen nur in der Mitteilungsübersicht.
Entwickler nehmen Nutzern Einstellmöglichkeiten
Warum Developer für ihre Mitteilungen manchmal „Passive“ wählen, lässt sich schwer sagen. Eventuell denken diese, dass sie die Kunden nicht mit Mitteilungen überfrachten sollten. Manchmal ändert sich die Einstellung auch von App-Version zu App-Version – so geschehen bei erwähnter Airthings-App, die früher alle Warnungen sichtbar auslieferte. Dass damit dann möglicherweise wichtige Informationen schlicht verpasst werden, nehmen die Developer hin. User können wenig tun, sich nur bei den Entwicklern / App-Herstellern melden und diese bitten, doch wieder eine Änderung durchzuführen, damit Mitteilungen normal (UNNotificationInterruptionLevel auf „Active“) ausgeliefert werden.
Normal heißt dann, dass sich wie gewohnt über die Systemeinstellungen auswählen lässt, ob die Mitteilung einer App einen Benachrichtigungston und/oder eine Vibration hat – eine Sache von wenigen Sekunden. Entwickler, die fürchten, User mit zu vielen Mitteilungen zu überfrachten, können diesen erklären, wie sie hier gegebenenfalls vorgehen, statt ihnen die Entscheidung einfach abzunehmen. Und Apple sollte darüber nachdenken, ob sich die heimliche Auslieferung nicht über einen zentralen Knopf einfach abdrehen lassen könnte, wenn Nutzer dies wünschen. Hinzu kommt: Potenziell nervige Apps – von der Uber-Werbung bis zu Facebook – liefern ihre Mitteilungen natürlich niemals lautlos aus.
URL dieses Artikels: https://www.heise.de/-11135253
Links in diesem Artikel: [1] https://www.heise.de/select/ct/2023/29/2330309174370404905 [2] https://www.heise.de/tests/CO-und-Radongehalt-messen-mit-dem-Raumluftsensor-Airthings-Wave-Plus-4670915.html [3] https://support.apple.com/de-de/guide/iphone/iph7c3d96bab/ios [4] https://developer.apple.com/documentation/usernotifications/unnotificationinterruptionlevel [5] https://support.apple.com/de-de/guide/iphone/iph21d43af5b/ios [6] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html [7] https://www.heise.de/mac-and-i [8] mailto:bsc@heise.de
Mein Scrum ist kaputt #143: Das große Icebreaker-Schrottwichteln
Von Heise — 09. Januar 2026 um 08:16
(Bild: heise online)
In ihrem Podcast sprechen Ina Einemann, Dominik Ehrenberg und Sebastian Bauer über geeignete Icebreaker für die Retrospektive im Team.
Der Einstieg in eine Retrospektive oder auch in einen Workshop gelingt einfacher, wenn man die Aufmerksamkeit aller Teilnehmenden mit einem geeigneten Icebreaker gewinnt. Ideen und Anregungen dafür lassen sich in Online-Archiven, irgendwelchen Online-Blogs und -Artikeln finden, oder man fragt vielleicht ChatGPT, Gemini und andere KI-Assistenten.
Doch was taugen Icebreaker aus solchen Quellen? Dieser Frage gehen Sebastian Bauer, Ina Einemann und Dominik Ehrenberg in ihrem agilen Podcast nach und begutachten eine Reihe von Vorschlägen.
Hinweis: Die ersten beiden Icebreaker beinhalten für manche Leute möglicherweise unangenehme Geräusche. Wer diese vermeiden möchte, sollte direkt zum Kapitel „Kühlschrankbeichte“ (ca. bei Minute 17) springen.
URL dieses Artikels: https://www.heise.de/-11128941
Links in diesem Artikel: [1] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html [2] mailto:map@ix.de
Bei Stromausfall: Die Gasheizung läuft auch ohne Netzstrom
Von Mario Petzold — 09. Januar 2026 um 10:30
Ohne Strom bleibt auch die Heizung ohne Funktion, obwohl das Gas meist weiter fließt. Es gibt eine Lösung, aber nicht mit jeder Stromquelle.
Alles dunkel, aber in einigen Fenstern geht auch bei Stromausfall das Licht nicht komplett aus.Bild:
Reuters/Lisi Niesner
Als am 3. Januar 2026 in Berlin eine Kabelbrücke brennt, kommen zahlreiche unglückliche Umstände zusammen: Die Stromverbindung ließ sich nicht überbrücken, musste aufwendig ersetzt werden und der Winter zeigte sich zudem von seiner kälteren Seite.
Es wurde der längste Stromausfall in Berlin seit 80 Jahren mit knapp 100.000 betroffenen Menschen, die nicht nur kein Licht, sondern meist auch keine Heizung hatten – abgesehen zum Beispiel von einigen Glücklichen, deren alter Gasherd noch ohne Strom funktionierte.
Denn die Gasversorgung erfolgt über ein anderes Netz und das blieb während des Stromausfalls in Berlin in Funktion. Also hätte eigentlich auch die moderne Gasheizung weiter betrieben werden können, hätte sie Strom bekommen.
Der Elektriker sollte es wissen
Die meisten Forendiskussionen zu dem Thema verlaufen so:
"Das geht." "Das geht nicht." "Das geht, ich bin Elektriker." "Frag am besten einen Elektriker!"
Also: Anruf bei Elektro Böttger aus Burgstädt bei Chemnitz. Hier fällt die Antwort kurz und eindeutig aus. Selbstverständlich könnte man die Gasheizung auch über eine separate Stromquelle betreiben. Dafür müsste sie lediglich über eine Notstromfunktion verfügen. Das sei in der Regel dann der Fall, wenn sie auch über einen separaten Stromstecker verfügt.
Richtige Elektronik entscheidet
Ganz ohne Risiko bleibe dieser Umweg aber nicht. Die Platine in der Gasheizung reagiert auch bei Schwankungen im normalen Stromnetz empfindlich. Geht sie kaputt, dürfte allein das Ersatzteil 500 Euro kosten und die Heizung bleibt länger außer Betrieb, als ein eventueller Stromausfall andauert.
Hinzu käme, dass der Gasfluss ebenfalls von der korrekten Stromzufuhr abhängt. Nur bei der richtigen Frequenz arbeite das System so zusammen, dass es auch mit einer externen Stromquelle weiter heizen kann.
Finger weg von Notstromaggregaten
Genau diese präzise Stromversorgung könne zum Beispiel ein typisches Notstromaggregat mit Dieselmotor gar nicht leisten. Eine Powerbank mit Wechselrichter dagegen besäße nicht nur die passende Elektronik, um die Frequenz jederzeit stabil zu halten. Sie liefert in der Regel auch aus dem Stand die entsprechend hohe Leistung, um eine Gasheizung jederzeit versorgen zu können.
Wie lang das funktioniert, hängt von der Größe der Heizung und der Powerstation ab. Mit mehr als 1 Kilowattstunde am Tag sollte man planen, bei Einfamilienhäusern noch mehr.
Ein wichtiger Ratschlag fehlt noch: Am besten vorher den Elektriker fragen.
DNS-Fehler: Unzählige Cisco-Switches plötzlich in Bootschleife gefangen
Von Marc Stöckel — 09. Januar 2026 um 10:14
Switches von Cisco starten sich alle paar Minuten neu und beeinträchtigen damit Unternehmensnetze. Verzweifelte Admins suchen online nach Hilfe.
Wenn die Switches ständig neu starten, geht im Netzwerk nicht mehr viel.Bild:
pixabay.com / frabre
Zahlreiche Kunden des Netzwerkausrüsters Cisco haben offenbar derzeit Probleme mit mehreren Switch-Modellen des Herstellers. Wie Bleeping Computer unter Verweis auf Beschwerden auf Reddit und in der Cisco Community berichtet, werden betroffene Geräte unerwartet in eine Bootschleife versetzt und protokollieren wiederholt schwerwiegende DNS-Fehler bei dem Versuch, die Domain www.cisco.com aufzulösen.
Ein betroffener Admin schreibt etwa auf Reddit , die Cisco-Switches des Typs SG550X, die in seinem Unternehmen im Einsatz seien, starteten sich alle paar Minuten neu. "Das ist natürlich ziemlich störend, und ich werde den Betrieb so nicht lange aufrechterhalten können" , erklärt er weiter. Ein Blick in die Kommentare zeigt, dass viele andere Admins das gleiche Problem haben.
Den Beschwerden zufolge sind neben den SG550X mindestens auch noch die Switch-Modellreihen Cisco CBS250, CBS350, Catalyst C1200, SG350 und SG350X betroffen. Das Fehlverhalten scheint überall in etwa zur gleichen Zeit begonnen zu haben. Die genaue Ursache ist jedoch noch unklar. Bleeping Computer nimmt an, dass es sich um einen Firmware-Bug im internen DNS-Client der Geräte handeln könnte.
Mögliche Workarounds
Cisco scheint sich bisher noch nicht offiziell zu dem Problemen geäußert zu haben. Ein betroffener Kunde soll allerdings vom Support die Information erhalten haben, dass der Fehler dem Hersteller bekannt sei und verschiedene Switch-Modelle betreffe. Es ist also davon auszugehen, dass Cisco das Problem bereits untersucht und in Kürze eine Lösung bereitstellt.
Bis dahin können sich Administratoren aber womöglich auch anderweitig behelfen. Einige Betroffene berichten, die Deaktivierung von SNTP und der DNS-Auflösung habe die wiederholten Neustarts gestoppt – eine Maßnahme, die aber wohl nicht bei allen Switches erfolgreich war. Andere hatten dafür Erfolg durch das Blockieren des ausgehenden Traffics von der Verwaltungsschnittstelle betroffener Geräte durch eine Firewall.
Ins neue Jahr starten wir mit einem Katergefühl, das nichts mit der Silvesterparty zu tun hat. Hinter uns liegt ein Epochenwechsel, vor uns eine völlig veränderte Welt.
Sonnenaufgang über der ErdeBild:
NASA/Jasmin Moghbeli
Hatten Sie an Neujahr auch das Gefühl, in einer Welt aufzuwachen, die ganz anders ist als zwölf Monate zuvor? Sie meinen, das erleben wir jedes Jahr? Stimmt. Aber seit dem 1. Januar 2025 hat sich mehr und Grundlegenderes verändert als in anderen Jahren – und als wir erwartet haben.
Wir wussten zwar, dass Donald Trump neuer Präsident der USA werden, aber nicht, wie korrupt und disruptiv er seine Herrschaft ausüben würde. Wir ahnten nicht, dass er mit Venezuela einen souveränen Staat überfallen und dessen Staatspräsidenten entführen würde. Auch nicht, dass er damit drohen würde, Grönland militärisch einzunehmen. Vor einem Jahr war noch kaum vorstellbar, wie schnell in Europa die Bereitschaft entstehen würde, aufzurüsten, um sich gegen Russland verteidigen zu können.
Künstliche Intelligenz war noch ein Hoffnungsträger, der eine glorreiche Zukunft versprach. Heute ist sie das flaue Gefühl im Magen von Anlegern. Die Bundestagswahlen standen uns noch bevor. CDU und CSU galten vielen noch als Partei der Wirtschaftskompetenz. Diese Hoffnung wurde enttäuscht. Die Union hat ihre Reformversprechen nicht erfüllt. Deshalb stehen Alice und ihr Gefolge nun ante portas: Die AfD hat bessere Chancen, aus den nächsten Wahlen als stärkste Partei hervorzugehen, als jemals zuvor.
Kleptokraten übernehmen das Weiße Haus
Doch fassen wir mal zusammen, was seit dem 1. Januar 2025 genau passiert ist. Am 20. Januar wird in Washington eine Person Präsident der Vereinigten Staaten, die wegen Finanzbetrugs und Verleumdung verurteilt wurde. In Deutschland sind das Straftaten.
Trump umgibt sich zudem mit Beratern und einem Vizepräsidenten, die wohl Peter Thiel mit ins Weiße Haus gebracht hat . Die Unternehmerlegende finanzierte Trump in seinem Wahlkampf 2016 und ist heute Berater für künstliche Intelligenz und Kryptowährungen im Weißen Haus. Thiel stellt alles infrage, worauf sich Europa und die USA seit der Aufklärung in Fragen des sozialen und politischen Zusammenlebens geeinigt hatten.
Widerspruch zwischen Anspruch und Realität
Bereits wenige Tage nach Amtsantritt der neuen Regierung gab Thiels Adlatus JD Vance auf der Münchner Sicherheitskonferenz (PDF) einem schockierten Publikum zu verstehen, dass Hassrede, Sexismus, Rassismus und die Verächtlichmachung politischer Gegner in den USA durch das Grundrecht der Redefreiheit geschützt würden.
Da Europa diese "Werte" nicht teile, würden seine Regierungen "demokratische Prozesse untergraben" . Da sie "die Opposition unterdrücken" , bestehe hierzulande die Gefahr einer "Auslöschung der Zivilisation" , legten Trump und seine Freunde in ihrer Anfang Dezember 2025 vorgestellten neuen Nationalen Sicherheitsstrategie (PDF) nach.
Für jemanden, der wie Donald Trump als Wertmaßstab nur den eigenen Profit kennt und einst mit Sexualstraftäter Jeffrey Epstein befreundet war , sind das große Worte. Über den Widerspruch zwischen Trumps Anspruch und der Realität, in der er lebt, ließe sich noch hinwegsehen.
USA wollen "westliche Identität wiederherstellen"
Was wirklich ein nie gekanntes Unwohlsein auslöst, ist die Tatsache, dass US-Milliardäre in dieser Sicherheitsstrategie damit drohen, sich in die inneren Angelegenheiten Europas einzumischen, um "patriotische Parteien" zu unterstützen und den alten Kontinent ihren Interessen entsprechend zu gestalten. Die USA würden sich künftig engagieren, um die "westliche Identität" Europas wiederherzustellen, versprechen der US-Präsident und seine Vertrauten.
Doch warum veröffentlichte Trump seine Sicherheitsstrategie ausgerechnet, als die Verhandlungen seines Sonderbeauftragten Steve Witkoff mit Wladimir Putin über einen Frieden in der Ukraine Anfang Dezember ins Stocken gerieten? Bereiten die USA damit den Tag vor, an dem sie Europa den Beistand, den sie ihren Nato-Partnern schulden, in einem zukünftigen Konflikt mit Russland verweigern werden?
In der Politik bestimmt das Sagbare das Machbare. Wenn Trump und seine Oligarchen feststellen, "dass spätestens innerhalb weniger Jahrzehnte bestimmte Nato-Mitglieder mehrheitlich nicht europäisch sein werden" , weil ihre von den USA definierten "Werte" und damit ihre "europäische Zivilisation" erloschen sein werden, wenn sie Europa "Technologiediebstahl, Cyberspionage und andere feindliche Wirtschaftspraktiken" vorwerfen, dann können sie diese Partner eines Tages auch ohne Gesichtsverlust fallen lassen.
"Dieses Papier gibt Europa an Russland preis"
Denn das "feindliche" und "undemokratische" Europa hätte den Beistand des Mutterlands der Demokratie dann in dessen Logik ja nicht mehr verdient. Bereiten Trump und seine Oligarchen dieses Narrativ derzeit vor? Der ehemalige Chef der US-Streitkräfte in Europa, Ben Hodges, meint: Ja! "Dieses Papier gibt Europa an Russland preis" , erklärte Hodges im ZDF .
Wenn es das ist, was Trump mit seiner Sicherheitsstrategie vorbereitet, macht das Angst. Es bricht grundlegend mit der seit dem Ende des Zweiten Weltkriegs etablierten Weltordnung. Weil diese lange Jahre auf einem Gleichgewicht zwischen den Mächten beruhte und von diesen lange Zeit keine uns nahestehenden Länder angriff, fühlten wir uns in dieser Welt sicher.
Im vergangenen Jahr haben wir nicht nur diese Sicherheit verloren. Auch eine derart herablassende Willkür, wie jene, mit der der US-Präsident und seine Freunde die alte Ordnung für tot erklärten, haben wir vor 2025 noch nicht erlebt.
Zugleich arbeiten Trump, Thiel und ihre Freunde im eigenen Land mit Nachdruck daran, die Demokratie so weit zu schwächen, wie irgend möglich. Wer das medial verfolgt, stellt sich die berechtigte Frage, ob die USA jemals wieder zu einem belastbaren und zuverlässigen Partner für Europa werden. Diese Sorge hatten wir vor 2025 noch nicht.
Unter anderem drangsaliert und verfolgt Trumps Justizministerin Pam Bondi politische Gegner und Journalisten . Die US-Regierung verweist ausländische Studenten des Landes und versucht, die Freiheit der Lehre und der Wissenschaft an US-Universitäten einzuschränken. In von Demokraten regierten Städten wie Chicago, Los Angeles oder Washington D.C. lässt Trump die Nationalgarde aufmarschieren. Sie ist eine Reserveeinheit der US-Streitkräfte.
Deren Generälen und höchsten Offizieren befahl Verteidigungsminister Pete Hegseth Ende September , in den Städten der Vereinigten Staaten den Kampf gegen den "Feind im Inneren" zu trainieren. Zugleich ließ er erkennen, dass sich sein Ministerium künftig nicht mehr an das humanitäre internationale Völkerrecht in bewaffneten Konflikten gebunden sehen könnte. An dieses hielten sich die Vereinigten Staaten seit 80 Jahren.
In der Außenpolitik wiederum schließt Trump Freundschaften mit autokratischen Herrschern. Damit kehrte 2025 eine Menschenverachtung im Oval Office ein, wie wir sie bislang nicht kannten. Vor laufenden Fernsehkameras erklärt der Präsident der Vereinigten Staaten, dass Morde wie der am Journalisten Kamal Khashoggi "nun mal passieren" . Der Mitarbeiter der Washington Post war im Konsulat Saudi-Arabiens in Istanbul ermordet worden.
Trump hofiert Rechtspopulisten, Autokraten und religiöse Fanatiker immer, wenn das ihm und seiner Familie wirtschaftliche Vorteile bringt. In Saudi-Arabien machen der Präsident und sein Clan seit Jahren lukrative Immobilien-, Lizenz- und Kapitalbeteiligungsgeschäfte .
Grönland als Teil der USA?
Einen weiteren außenpolitischen Grundsatz trägt der 79-Jährige auf seiner roten Baseballkappe für alle lesbar vor sich her: Make America Great Again (Maga). Um diesen Anspruch umzusetzen, deutete er an, die Vereinigten Staaten könnten Kanada und Dänemark angreifen. Immerhin lagern auf dem zu Dänemark gehörenden Grönland große, noch weitgehend unerschlossene Rohstoffvorkommen. Diese könnten die USA gut für ihre Rüstungsindustrie brauchen.
Selbst wenn Trump die Drohung, Grönland militärisch einzunehmen , nicht ernst meint: Die territoriale Integrität der Nato-Partner hat Washington noch nie, auch nicht nur als theoretische Möglichkeit, zur Disposition gestellt. Dass ein US-Präsident Alliierten mit der vollständigen oder teilweisen Annexion ihres Territoriums droht, haben wir 2025 zum ersten Mal erlebt.
Die Außenpolitik ist auch das Feld, auf dem sich Trump selbst ein Denkmal setzen will. Da er unbedingt mit dem Friedensnobelpreis ausgezeichnet werden möchte, versuchte er sich 2025 darin, mehrere Friedensvereinbarungen auszuhandeln. Doch als Peacemaker scheitert der selbst ernannte Dealmaker.
Den am 9. Oktober vereinbarten und von Trump organisierten sogenannten Friedensplan für Gaza brach die israelische Regierung erstmals bereits nach nur drei Tagen . Das ist traurig, denn die Not in Gaza ist für sehr viele Menschen unerträglich.
Das gilt auch für die Ukraine. Und das war zugegeben auch 2024 schon so – sowohl in Gaza wie in der Ukraine. Je länger die Kriege in beiden Staaten andauern, desto mehr leiden wir beim Blick auf die Zerstörung in der Ukraine und in Gaza sowie das alltägliche Leiden der Menschen dort. Die Hilflosigkeit, die wir dabei empfinden, erschöpft uns jedes Jahr mehr.
Zugleich blickten wir 2025 resigniert nach Washington, Berlin, Lausanne und Mar-a-Lago in der Hoffnung, dass sich Trumps außenpolitisches Totalversagen in Gaza bei seinem Bemühen, Russland zu einem Friedensschluss mit der Ukraine zu bewegen, nicht wiederholt. Der US-Präsident ließ dazu zunächst seinen Sonderbeauftragten Steve Witkoff Anfang Dezember nach Moskau fliegen.
Sollte der Freund Putins ihm dabei die 37 Millionen ukrainischen Bürgerinnen und Bürger auf dem Silbertablett servieren? Sein erster, 28 Punkte umfassender "Friedensplan" ließ das Schlimmste befürchten. Doch das war Putin nicht genug.
Europa ergriff die Chance und brachte sich unter deutscher Führung intensiv in die Ausarbeitung einer Verhandlungsgrundlage ein, mit der auch die Ukraine sowie die europäischen Nato-Staaten leben können. Der EU missfiel am ursprünglichen Friedensplan vor allem die Forderung der USA, 100 Milliarden Euro aus den in Europa eingefrorenen russischen Vermögen in einen Fonds für den Wiederaufbau der Ukraine zu überführen.
Korruption als "neue Norm in der Geopolitik"
Die Hälfte der Gewinne aus Projekten, die mit diesem Geld finanziert werden sollten, wollte Trump in die USA abführen. Profitiert hätten davon voraussichtlich vor allem seine Familie und die Milliardärsfreunde des Präsidenten. Daraus wurde bislang zwar nichts.
Der Vorschlag steht zudem stellvertretend für Trumps Moral – einer Mischung aus Selbstgefälligkeit und dem vollkommenen Mangel an Respekt vor anderen und ihren legitimen Interessen. Sie ruft bei uns jedes Mal ein Gefühl des Gruselns hervor, wenn der US-Präsident der Weltöffentlichkeit seine Vorstellungen in seiner infantilen Diktion präsentiert.
Mischung aus Fremdschämen, Fassungslosigkeit und Wut
Dieses Gemisch aus Fremdschämen, Fassungslosigkeit und Wut kannte ich beim Blick in die Tageszeitung oder während der Abendnachrichten bis zum Januar 2025 nicht. Ich kann mich daran nicht mal aus Trumps erster Amtszeit erinnern.
Der Schulterschluss der Vereinigten Staaten mit Russland im Dezember 2025 ist zugleich die wohl tiefgreifendste Veränderung der Weltordnung seit 1945. Dazu kam es, nachdem Donald Trump gerade mal zehn Monate im Amt war. Ganz zu schweigen von Trumps jüngster Operation: dem völkerrechtswidrigen Angriff auf Venezuela und die gewaltsame Gefangennahme seines Staatspräsidenten.
Wen wundert es, wenn uns das am Neujahrsmorgen Kopfschmerzen bereitet und wir uns fragen: Was kommt da noch auf uns zu?
Europa stand diesem Zusammenbruch der internationalen Ordnung 2025 zunächst fassungslos gegenüber. Dann raufte sich der alte Kontinent zusammen, übernahm Verantwortung für die eigene Sicherheit und steigerte seine Rüstungsausgaben. Auch das gab es in Europa lange nicht mehr.
Zugleich machte sich in europäischen Hauptstädten ein Gefühl breit, dem sich Regierungen dort ebenfalls lange nicht mehr stellen wollten – das Gefühl der Ohnmacht. Solange die USA für Europas Sicherheit bürgten, konnten sich Politiker in Berlin, Paris, Brüssel, Rom oder Warschau einreden, handlungsfähig zu sein.
Doch Trump lässt seine europäischen Partner kontinuierlich darüber im Unklaren, ob er sich noch an die Beistandsgarantie des Artikels 5 des Nordatlantikvertrags gebunden fühlt oder ob er seine Verbündeten wie ein Bully auf dem Schulhof opfert, wenn ihm das besser in seine Pläne passen sollte.
Handlungsfähig war Europa außerdem nur, solange seine Exporte von einer regelbasierten, globalen Handelsordnung profitierten und billiges Gas aus Russland sowie IT und Software aus den Vereinigten Staaten die Volkswirtschaften der EU-Staaten zuverlässig befeuerten. Nichts davon ist heute mehr garantiert. Manches gibt es schon gar nicht mehr.
Die Handelsordnung hat Trump durch seine Zollpolitik schwerstens beschädigt. Ihre Dominanz bei IT-Infrastrukturen, digitalen Dienstleistungen und Software nutzen die USA heute, um die "Werte" der Camarilla im Weißen Haus durchzusetzen. Weil ihnen der vom Internationalen Strafgerichtshof gegen Israels Präsident Benjamin Netanjahu erlassene internationale Haftbefehl nicht gefällt, sperrten die Vereinigten Staaten beispielsweise vier Richtern und Anklägern des Gerichts in Den Haag ihre Outlook- und Paypal-Konten sowie Kreditkarten von Finanzdienstleistern wie Visa und Mastercard . Die sanktionierten Personen können bei Amazon nicht einmal mehr Bücher bestellen oder bei Airbnb und Expedia Unterkünfte und Flüge buchen.
Doch statt dagegen entschlossen einzuschreiten, ließ sich Brüssel 2025 dazu erpressen, die Digitalgesetze der EU mit einem sogenannten Omnibus-Gesetz an die Vorstellung von Trumps Unternehmerbuddys aus dem Silicon Valley anzupassen. Den Entwurf dafür legte die Kommission am 19. November vor. Wenige Tage zuvor hatte US-Handelsmilliardär Howard Lutnick die EU-Kommission besucht und ihr erklärt, er werde weitere Zölle auf den Import von europäischem Stahl und Autos in die USA erheben , wenn die Staatengemeinschaft ihren Digital Markets und den Digital Services Act (DSA) nicht den Vorstellungen der Vereinigten Staaten entsprechend überarbeite.
Ja, die EU verhängte wegen eines Verstoßes gegen den DSA auch eine Strafe in Höhe von 120 Millionen Euro gegen Elon Musks Plattform X und eröffnete ein Verfahren auf Grundlage ihres Wettbewerbsrechts gegen Google. Dennoch hat sie ihre Fahne in der Gesetzgebung selten zuvor derart offensichtlich vor Erpressung aus dem Ausland gestrichen – wenn überhaupt jemals.
Die Ohnmacht Europas entsteht auch, weil europäische Regierungen zunehmend auf Druck in ihren jeweiligen Gesellschaften reagieren müssen und nicht mehr wissen, wie sie das erreichen sollen. Die ältere Generation und die Babyboomer machen in allen Ländern Europas einen immer größeren Anteil an der Bevölkerung aus. Renten lassen sich daher nicht mehr vollständig aus Sozialversicherungsbeiträgen der erwerbstätigen jüngeren Generationen finanzieren. Die Staaten müssen oft Milliarden Euro zuschießen.
Das schränkt ihre Fähigkeit ein, die neuen Notwendigkeiten in der Geo- und Sicherheitspolitik sowie den Kampf gegen den Klimawandel und den Aufbau digitaler Souveränität zu finanzieren. Dieses Problem war noch nie so drängend wie heute. Denn auch der Anteil der Älteren an den Gesellschaften und damit ihre Macht als größter Wählerblock, Politik und öffentliche Ausgaben für sich zu vereinnahmen, war noch nie so groß wie 2025.
In Deutschland trifft diese Entwicklung seit Anfang vergangenen Jahres auf eine Bundesregierung, die so wenig geopolitische Intelligenz, wirtschaftliche Kompetenz und Haushaltsdisziplin hat, wie lange kein Kabinett mehr vor ihr. So will Innenminister Alexander Dobrindt Überwachungssoftware von Peter Thiels Unternehmen Palantir kaufen .
Bundeswirtschaftsministerin Katherina Reiche verkauft die Deutschen derweil – wie ein Dealer Abhängige an Drogenbarone – an Autokraten, deren Länder Gas fördern. Um Deckungslücken bei der Versorgung mit von erneuerbaren Energien erzeugtem Strom zu schließen, baut sie Gaskraftwerke . Sobald Norwegen, Belgien und die Niederlande kein Gas mehr über Pipelines liefern können, kann Reiche die Turbinen aber nur noch mit russischem oder Flüssiggas betreiben.
Ersteres scheidet nach heutigem Stand aus. Letzteres kommt zu 90 Prozent aus den USA . Beide Unionspolitiker machen Deutschland daher durch ihre Entscheidungen abhängig und erpressbar.
Doch es kam 2025 noch schlimmer: Mit dem Versprechen, umfangreiche Investitionen in Straßen und Schienenwege, die Bildung, Energienetze und die Modernisierung der Verwaltung zu finanzieren, ließen sich CDU, CSU und SPD vom Bundestag noch während der Koalitionsverhandlungen im März die Aufnahme von 500 Milliarden Euro neuer Schulden genehmigen. Sie sollten in ein "Sondervermögen" fließen.
Seit Ende November steht nun der Bundeshaushalt für 2026. Von den großen Versprechungen alles verändernder Investitionen in die Modernisierung der Bundesrepublik findet sich darin nichts mehr. Der Sachverständigenrat zur Begutachtung der gesamtwirtschaftlichen Entwicklung berechnete vielmehr (PDF) , dass nicht mal jeder zweite Euro aus dem Sondervermögen für Verkehr und Infrastruktur 2026 in zusätzliche Investitionen fließt . Einen derartigen "Etikettenschwindel" im Umgang mit dem von uns erarbeiteten Geld gab es in der Geschichte der Bundesrepublik schon so lange nicht mehr, so dass wir damit 2025 zumindest gefühlt etwas Neues erlebt haben.
Doch ist Politikversagen wirklich etwas Neues? Nein. Neu ist aber, dass deswegen noch nie so wenige Deutsche Vertrauen in den Staat hatten wie derzeit. Nur noch ein Drittel der Bundesbürgerinnen und -bürger gab im Egovernment-Monitor der Initiative D21 im vergangenen Jahr an (PDF) , dass er oder sie noch an die Leistungsfähigkeit der Bundesrepublik und ihrer Bundesländer glaube. Vor drei Jahren waren es unter der von Olaf Scholz geführten Regierung immerhin noch vier von zehn Deutschen. Schlechte Politik macht also etwas mit uns – und wenn sie uns am Neujahrsmorgen nur einen Kater verpasst, der mit der vorangegangenen Nacht nichts zu tun hat.
Der Schmerz ist dabei so groß, dass Menschen bereit sind, Dinge zu tun, an denen sie nicht wirklich ein Interesse haben können. Wäre am kommenden Sonntag Bundestagswahl, bekäme die AfD fast genauso viele Stimmen wie CDU und CSU. Das zeigen aktuell die Antworten auf die von Infratest Dimap und der Forschungsgruppe Wahlen für das ZDF beziehungsweise die ARD gestellten Sonntagsfrage.
Vor einem Jahr war das noch nicht so. Im Herbst und Winter 2024/25 gingen in ganz Deutschland Zehntausende auf die Straße, um gegen das Gewölle aus Rechtsextremisten, Verschwörungstheoretikern, Verfassungs- und Europafeinden, Faschisten und Neonazis zu demonstrieren. Am Abend der Bundestagswahl freuten sie sich, dass sie Schlimmeres verhindert hatten. Die AfD bekam fast acht Prozentpunkte weniger Wählerstimmen als die Union. Dass der demokratieschützende Puffer binnen nicht mal eines Jahres dahinschmelzen würde, hatten wir damals nicht erwartet.
Doch ein knappes Jahr nach der Wahl verschluckte sich AfD-Chefin Alice Weidel fast an ihrer selbstgefälligen Häme, als sie in der Haushaltsdebatte im Bundestag erklärte, ihre Partei sei die einzige Partei, die sowohl offene Kanäle nach Washington als auch nach Moskau habe, sie mithin sowohl Freundin des Finanzbetrügers und Verleumders Donald Trump wie auch Wladimir Putins sei, gegen den der Internationale Strafgerichtshof 2023 einen Haftbefehl wegen Kriegsverbrechen und der Verschleppung ukrainischer Kinder nach Russland erließ.
Zu sagen, das sei nicht neu, verkennt die Situation. Denn wer vor einem Jahr gegen derartigen Zynismus demonstriert hat, steht nun nicht wieder da, wo er oder sie zwölf Monate zuvor stand. Die Gefahr für die Demokratie in Deutschland ist 2025 größer geworden. Das mag nur einen Trend fortgesetzt haben, der schon seit langem anhält. Trotzdem fühlen sich Demokraten seinetwegen an jedem Neujahrsmorgen schlechter als zu Beginn des vorangegangenen Jahres.
Vermeintlich einfache Antworten
Andere europäische Staaten haben übrigens die gleichen Probleme. Nur das Ausmaß variiert. In Frankreich führten ausufernde Wahlgeschenke und Sozialausgaben zu einer Haushaltsverschuldung, die Politiker nicht mehr in den Griff bekommen. Mit Sébastien Lecornu amtiert dort inzwischen der vierte Premierminister, seit Präsident Emmanuel Macron im August 2024 das Parlament aufgelöst hat.
Die Lage ist so verfahren, dass der Rechtsradikale Jordan Bardella in den 2027 anstehenden Präsidentschaftswahlen Macrons Amt erobern könnte. In Großbritannien steht zu befürchten, dass der Rechtspopulist und Anstifter zum Brexit, Nigel Farage, demnächst Premierminister wird. In Ungarn, der Slowakei, der Tschechischen Republik und Italien haben Putin-Versteher und Freunde Trumps die Regierungsgeschäfte schon lange übernommen oder taten es 2025.
Russlands Trolle in den sozialen Medien und die Faszination für Trumps Maga-Movement haben noch nie so viele Menschen davon überzeugt, dass sich Probleme mit vermeintlich einfachen Antworten lösen lassen, wie zu Beginn dieses neuen Jahres.
Das nächste Mal stehen wir allein im Regen
Das sind keine guten Ausgangsbedingungen für kommende Krisen. Wirtschafts-, außen- und sicherheitspolitisch stecken wir bereits in einer solchen. In diesem Jahr könnte eine Krise an den Finanzmärkten hinzukommen.
Erste Vorboten zeichnen sich in der Morgenröte des neuen Jahres ab. Zwölf Monate zuvor gab es diese noch nicht. Ja, eine weitere Krise wäre für Deutschland nichts Neues. Wir erleben seit mehr als sechs Jahren eine Katastrophe nach der anderen – zuerst das Ende des exportbasierten Wirtschaftswachstums ab 2019, die Coronapandemie 2020 und 2021, den kalten Entzug von russischem Gas nach Putins Überfall auf die Ukraine 2022, Trumps Wiederwahl zwei Jahre später.
Doch Deutschland hatte bei der Bewältigung vieler dieser Krisen noch einen Freund mehr auf der Welt. Inzwischen drohen Freunde, selbst in Europa, verloren zu gehen. Deutschland konnte sich außerdem lange mit der Stärke wehren, die es in den wirtschaftlich erfolgreichen Jahren nach 2010 erworben hatte. Beim nächsten Mal wird das nicht mehr so sein. Das instinktive Wissen, dass dem so ist, war es, das wir in der Silvesternacht und am Neujahrsmorgen als kalten Hauch im Nacken gespürt haben.
Sieben kritische Sicherheitslücken mit Höchstwertung bedrohen Coolify
Von Heise — 08. Januar 2026 um 14:16
(Bild: Black_Kira / Shutterstock.com)
Die Self-Hosting-Plattform Coolify ist schwer verwundbar. In Deutschland gibt es Sicherheitsforschern zufolge fast 15.000 angreifbare Instanzen.
Admins von Platform-as-a-Service-Umgebungen auf der Basis von Coolify sollten ihre Instanzen zügig auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer unter anderem an sieben „kritischen“ Sicherheitslücken mit Höchstwertung (CVSS Score 10 von 10) ansetzen, um Server vollständig zu kompromittieren.
Scans von Sicherheitsforschern von Censys zeigen [1], dass sich der Großteil verwundbarer Systeme in Deutschland befindet. Weltweit sind es mehr als 52.000 Instanzen. Hierzulande fanden sie knapp über 14.800 Systeme. Ob es bereits Attacken gibt, ist zurzeit unklar. Admins sollten mit dem Patchen aber nicht zu lange zögern.
Ansatzpunkte für Angreifer
Auch wenn Angreifer in den meisten Fällen authentifiziert sein müssen, ist der Großteil der Schwachstellen mit dem Bedrohungsgrad „kritisch“ eingestuft. Setzen Angreifer erfolgreich an den Lücken an, können sie etwa als Rootnutzer Schadcode ausführen und so die volle Kontrolle über Systeme erlangen (etwa CVE-2025-64424). Außerdem sind Zugriffe auf eigentlich geschützte private SSH-Schlüssel möglich (CVE-2025-64420), sodass sich Angreifer unbefugt Zugriff verschaffen können.
Fehlende Sicherheitspatches
Insgesamt sind 16 Lücken bekannt. Laut Einträgen auf GitHub (siehe Ende dieser Meldung) sind derzeit aber nur Sicherheitsupdates für acht Schwachstellen verfügbar. Wann die Entwickler die verbleibenden Lücken schließen, ist derzeit unklar.
Diese Patches sind zurzeit verfügbar:
v4.0.0-beta.420.7
>= 4.0.0-beta.451
Weiterführende Informationen zu den Lücken bedrohten Ausgaben und Sicherheitsupdates finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:
Kanboard-Sicherheitslücke ermöglicht Anmeldung als beliebiger User
Von Heise — 08. Januar 2026 um 14:03
(Bild: heise online / Kanboard)
In Kanboard stecken drei Sicherheitslecks. Das gravierendste erlaubt die Anmeldung als beliebiger Nutzer. Ein Update steht bereit.
Das Open-Source-Kanban Kanboard ist von drei Schwachstellen betroffen. Eine davon gilt den Entwicklern als kritisches Risiko und ermöglicht die Anmeldung als beliebiger User – sofern eine bestimmte Konfigurationsoption gesetzt ist.
Die Release-Ankündigung zu Kanboard 1.2.49 [1] nennt einige sicherheitsrelevante Korrekturen. Zu den Schwachstellen gibt es auch CVE-Einträge. Sofern die Option REVERSE_PROXY_AUTH aktiviert wurde, vertraut Kanboard HTTP-Headern blindlings, dass sie von authentifizierten Usern stammen, ohne zu prüfen, ob die Anfrage von einem vertrauenswürdigen Reverse-Proxy stammt (CVE-2026-21881 [2], CVSS 9.1, Risiko „kritisch“). Das ermöglicht faktisch die Umgehung der Authentifizierung.
Kanboard: auch mittelschwere Sicherheitslücken
Zudem können Angreifer eigene Eingaben in LDAP-Suchfilter einschleusen, die nicht korrekt ausgefiltert werden. Damit lassen sich alle LDAP-User durchiterieren und sensible Nutzerattribute herausfinden, und mit diesem Wissen gezielte Angriffe gegen bestimmte Accounts ausführen (CVE-2026-21880 [3], CVSS 5.4, Risiko „mittel“). Eine Open-Redirect-Schwachstelle ermöglicht Angreifern, authentifizierte User auf von ihnen kontrollierte Webseiten umzuleiten, indem sie URLs der Gestalt „//evil.com“ erstellen, womit sich der URL-Filter umgehen lässt. Das erlaubt zudem Phishing-Angriffe, das Stehlen von Zugangsdaten oder das Verteilen von Malware (CVE-2026-21879 [4], CVSS 4.7, Risiko „mittel“).
All die Probleme lösen die Entwickler in Kanboard 1.2.49. Die aktualisierten Quellen stehen auf der Github-Seite von Kanboard [5] bereit. Die Linux-Distributionen dürften in Kürze mit neuen, fehlerbereinigten Paketen nachlegen. IT-Admins sollten die Paketverwaltung ihrer Distribution zur Update-Suche bemühen.
Dr. Ansay: Neue Sicherheitslücke machte 1,7 Millionen Rezepte einsehbar
Von Heise — 08. Januar 2026 um 13:54
(Bild: Dr. Ansay)
Bei dem Telemedizin-Anbieter Dr. Ansay hat es erneut eine Sicherheitslücke gegeben. Dadurch waren hunderttausende Kunden gefährdet.
Bei dem Telemedizinanbieter Dr. Ansay hat es eine Sicherheitslücke gegeben, durch die rund 1,7 Millionen Rezepte von rund einer halben Million Kunden potenziell einsehbar waren. Betroffen sind vor allem Cannabis-Rezepte mit Gesundheits- und personenbezogenen Daten, darunter Namen, Adressen, E-Mail-Adressen, Telefonnummern und Angaben zu den rund 15 verschreibenden Ärzten, die meist nicht aus Deutschland kommen. Außerdem waren dort Daten zu Medikamenten, Dosierungen sowie ausgewählten Apotheken einsehbar sowie beispielsweise auch Bestellungen zu Schmerzmitteln. Fragen dazu, ob Daten abgeflossen sind, beantwortet das Unternehmen nicht.
Bei heise online gingen Hinweise darauf ein, dass die Lücke auf einer Fehlkonfiguration der Zugriffsregeln einer Firebase-Firestore-Datenbank basiert. heise online konnte das bestätigen. Durch die Fehlkonfiguration konnten eingeloggte Nutzer mit einem gültigen Token nicht nur auf ihre eigenen Rezepte, sondern auf sämtliche Datensätze zugreifen. Trotz mehrerer Meldeversuche an das Unternehmen blieb eine Reaktion zunächst aus, die Daten waren bis Anfang Januar weiterhin ungeschützt. Am Abend, nachdem heise online eine Anfrage an das Unternehmen gestellt hatte, wurde die Lücke geschlossen.
Bug-Bounty-Programm
Zentrale Fragen von heise online lässt Dr. Ansay unbeantwortet und begründet den Fund mit einem neu aufgelegten Bug-Bounty-Programm: [1] "Wir gehen davon aus, dass die Lücke aufgrund eines von uns initiierten Bug-Bounty-Programm gefunden wurde“.
Die Frage, ob eine Meldung an die Betroffenen gemäß Art. 34 der DSGVO erfolgt ist, lässt Dr. Ansay unbeantwortet. Gegenüber dem Sicherheitsforscher, der die Lücke gefunden hat, hatte Dr. Ansay angegeben, eine DSGVO-Meldung an die zuständige Behörde initiiert zu haben. Eine Anfrage von heise online an die Datenschutzbehörden in Malta wurden noch nicht beantwortet.
Bei der Datenschutzbehörde in Hamburg ist keine Meldung eingegangen, wie eine Sprecherin auf Anfrage von heise online mitteilt. „In Hamburg hat Dr. Ansay nach unserem Kenntnisstand nur noch für das Segment der Entwicklung und Vermarktung von telemedizinischer Software eine Niederlassung, die Dr. Ansay AU-Schein GmbH“. Daher habe die Meldung in Malta erfolgen müssen.
Die Kontaktaufnahme des Sicherheitsforschers hatte sich über die Feiertage leider verzögert", sagte eine Sprecherin. Inzwischen funktioniere die Kommunikation und das Problem habe sofort gelöst werden können. "Wir danken dem Sicherheitsforscher für die Arbeit und behandeln den Vorfall intern weiter". Weitere Details wolle Dr. Ansay "aktuell nicht teilen, da in Zukunft Black-Hat-Hacker diese nutzen könnten und wir unsere Systeme schützen".
Von Dr. Ansay unbeantwortet bleibt, seit wann die Sicherheitslücke bestand, ab wann das Unternehmen davon wusste, ob und in welchem Umfang Daten tatsächlich abgeflossen sind un ob die Betroffenen bereits informiert wurden. Offen bleibt auch, welche Schutzmaßnahmen geplant sind und warum die Lücke nicht durch eigene Sicherheitsprüfungen entdeckt wurde.
Interne Sicherheits- und Monitoringprozesse
Gegenüber heise online und auf Reddit hatte Dr. Ansay noch im Dezember zugesichert, dass "interne Sicherheits- und Monitoringprozesse [...] kontinuerlich" laufen würden und es "keine Hinweise auf unautorisierten Zugriff oder einen Abfluss von Daten" gebe. Zu dem Zeitpunkt wurden in einem Untergrundforum vermeintlich von Dr. Ansay stammende Datensätze zum Verkauf angeboten. Woher die Daten kommen, ist unklar. Denkbar ist auch ein Mix aus bereits veröffentlichten Leaks anderer oder ähnlicher Plattformen. Bisher konnte die Echtheit der Daten nicht bestätigt werden.
Dr. Ansay legt großen Wert auf die Sicherheit seiner Systeme.
(Bild: Reddit)
Datenschutz habe "oberste Priorität“, gibt Dr. Ansay an. „Die Systeme werden fortlaufend überprüft. Vor dem Hintergrund der aktuell vermehrt auftretenden Phishing- und Smishing-Versuche wurden die internen Kontrollen zusätzlich noch einmal intensiviert, ohne Befund".
Datenpanne im Mai 2024
Bereits im Mai 2024 hatte es bei Dr. Ansay eine öffentlich bekannte Datenpanne gegeben, bei der Cannabis-Rezepte über Suchmaschinen abrufbar waren. Damals meldete das Unternehmen den Vorfall an die Datenschutzbehörde, sprach von einer behobenen Lücke und informierte Betroffene per E-Mail.
Update
Antwort der Landesdatenschutzbehörde von Hamburg ergänzt.
URL dieses Artikels: https://www.heise.de/-11134191
Links in diesem Artikel: [1] https://dransay.com/security [2] https://heise.de/investigativ [3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp [4] mailto:mack@heise.de
Die beiden Topversionen kommen mit den 16-Kernern Core Ultra X9 388H beziehungsweise Core Ultra X7 358H. Ersterer taktet lediglich 300 MHz höher (5,1 statt 4,8 GHz). Beide Prozessoren integrieren Intels größte Grafikeinheit mit 12 Xe-Kernen. Bei diesen zwei Mini-PCs verlötet Asus bis zu 96 GByte RAM mit hoher LPDDR5X-9600-Geschwindigkeit, um die Übertragungsrate zu maximieren. Die CPUs laufen mit einer maximalen Turbo-Leistung von 65 Watt.
CPU- und RAM-Konfigurationen des Asus NUC 16 Pro.
(Bild: Asus)
In der dritten Variante sitzt der Core Ultra 7 356H. Er hat zwar ebenfalls 16 CPU-Kerne, allerdings eine deutlich schwächere GPU mit vier Xe-Kernen. Er läuft ebenfalls mit bis zu 65 Watt. Im vierten NUC setzt Asus den Achtkerner Core Ultra 5 325 mit bis zu 45 Watt ein.
Die zwei letztgenannten Varianten verwenden Speicherriegel vom Typ CSO-DIMM. Wie bei CU-DIMMs für Desktop-PCs [3] sitzt auf den Riegeln ein Takttreiber (Clock Driver, CKD), der das Signal an die Speicherchips verstärkt. Asus nennt hier keine Taktfrequenzen; anhand von Intels Spezifikationen erscheinen jedoch DDR5-7200 und DDR5-6400 realistisch.
Dank der Riegelbauweise haben die zwei günstigeren NUC-Varianten einen Vorteil: Sie laufen auf Wunsch mit bis zu 128 statt 96 GByte RAM.
Bis zu zwei Lüfter
Zwischen den Konfigurationen mit 65 und 45 Watt unterscheidet sich die Kühlung. In den stärkeren Mini-PCs bringt Asus einen zweiten Radiallüfter an der Unterseite unter, der primär für das RAM gedacht ist.
Explosionsdarstellung des NUC 16 Pro mit zwei Lüftern.
(Bild: Asus)
Erstmals in einem klassischen NUC ist das Mainboard nicht mehr 110 x 110 mm beziehungsweise 4 x 4 Zoll groß. Asus verbreitert die Platine auf 127 x 110 mm. Bisheriges Zubehör wie Fremdanbieter-Gehäuse sind somit nicht mehr immer kompatibel. Das Standardgehäuse lässt sich weiterhin werkzeuglos öffnen. Per VESA-Halterung kann man den Mini-PC hinten an einem Monitor befestigen.
Für Massenspeicher gibt es zwei M.2-Steckplätze, je einer ist mit PCI Express 5.0 beziehungsweise 4.0 angebunden (je vier Lanes). Zudem ist ein Funkkärtchen mit Wi-Fi 7 und Bluetooth 6.0 vorinstalliert.
Doppeltes 2,5-Gbit/s-Ethernet
An der Rückseite befinden sich je zwei Thunderbolt-4-Anschlüsse (USB-C), USB 3.2 Gen 2 (10 Gbit/s) Typ A, HDMI 2.1 und 2,5-Gbit/s-Ethernet. Mindestens für Unternehmen soll es eine Option auf Displayport 2.1 statt HDMI 2.1 geben. Vorn gibt es dreimal 10-Gbit/s-USB, zweimal als Typ A und einmal als Typ C ausgeführt. Die Stromzufuhr erfolgt über ein externes DC-Netzteil.
Die Anschlüsse des NUC 16 Pro. Asus verdoppelt das 2,5-Gbit/s-Ethernet.
(Bild: Asus)
Zu den Preisen und Verfügbarkeitsterminen des NUC 16 Pro hat sich Asus bislang nicht geäußert.
heise medien ist offizieller Medienpartner der CES 2026.
URL dieses Artikels: https://www.heise.de/-11135099
Links in diesem Artikel: [1] https://www.heise.de/news/Panther-Lake-Intel-stellt-14-Core-Ultra-300-vor-11130804.html [2] https://www.asus.com/displays-desktops/nucs/nuc-mini-pcs/asus-nuc-16-pro/ [3] https://www.heise.de/news/Ein-kleiner-Chip-mit-grosser-Wirkung-Takttreiber-beschleunigt-RAM-9982109.html [4] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html [5] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner [6] mailto:mma@heise.de
Touch ID in separater Box: Bastler schlachten Apple-Tastatur aus
Von Ben Schwan — 08. Januar 2026 um 12:23
3D-gedruckte Touch-ID-Hülle: Nach viel Arbeit funktioniert sie gut.
(Bild: @Calvin_5743 / Printables)
Wer ein mechanisches Keyboard nutzen möchte, muss auf Apples Touch ID am Mac verzichten. Doch der Sensor lässt sich auch entnehmen.
Apples hauseigene Tastaturen sind zwar beliebt, doch haben sie allerlei Einschränkungen bei Bauweise und Tastenhub. Das Problem: Wer weg möchte vom Magic Keyboard, um etwa künftig mechanisch zu tippen [1], verliert Zugriff auf ein zentrales Komfortelement: den Fingerabdrucksensor Touch ID. Diesen bietet Apple nämlich nur eingebaut in MacBook Pro und MacBook Air sowie eben in besagtem Magic Keyboard an. Einzeln lässt sich dieser nicht erwerben, und so müssen Tastaturwechsler künftig bei Anmeldung oder Freigabe bestimmter macOS-Aktionen wieder zur Eingabe des Passworts greifen. Doch es gibt eine Lösung für das Problem: Wer bereit ist, ein Magic Keyboard als Spendeeinheit auszuschlachten, kann den Touch-ID-Knopf per Hardware-Hack auch ausbauen und in ein Gehäuse packen. Das ist zwar technisch aufwendig, wurde aber zuletzt gleich von mehreren YouTubern durchexerziert.
Viel Arbeit und viel Geld
So zeigte der bekannte Maker, NAS- und Raspberry-Pi-Bastler Jeff Geerling den Vorgang im Detail [2]. Klar wird dabei allerdings schnell: Für Einsteiger ist die Umsetzung eher nichts. Auch Grobmotoriker dürften schnell daran verzweifeln: Zunächst an der verklebten Unterseite des Magic Keyboard, dann an den zahllosen (unterschiedlichen) Schrauben und schließlich am Einbau in eines der mehreren 3D-gedruckten Touch-ID-Gehäusen, die etwa bei Printables [3] bereitstehen. Denn: Die Toleranzen sind sehr niedrig, zudem schlägt man sich mit empfindlichen Flachbandkabeln herum.
Wer sich den Aus- und Einbau zutraut (was die Entnahme der korrekten Platinenbestandteile involviert), kann sich danach aber durchaus freuen: Der mit Lightning-nach-USB-C angeschlossene Button (alternativ: USB-C nach USB-C mit neueren Tastaturen) funktioniert wie gewohnt. Doch weder finanziell noch vom Arbeitsaufwand her lohnt sich die Aktion: „Warum stellt Apple also keine kleine Touch-ID-Box her? Sie könnten 50-US-Dollar dafür verlangen, und ich würde es bezahlen, wenn auch widerwillig“, sagt Geerling. So habe er eine 150-Dollar-Tastatur und ein paar Stunden Zeit geopfert, um eine „intelligente“ Taste zu erhalten.
Alternative: Apple Watch zur Hilfe
Immerhin offeriert Apple selbst eine Alternative zu der Touch-ID-Problematik: Es ist seit einigen Jahren auch möglich, den Mac mittels Apple Watch zu entsperren [4]. Dazu muss man die Computeruhr aber zuerst einmal besitzen.
Sie wird dann mit dem Mac gekoppelt und dient als Entsperrinstrument – auch für Passwortabfragen, für die sonst nur Touch ID verwendet werden kann. Die Uhr muss zuvor entsperrt werden, damit nur der Besitzer sie auch nutzen kann.
URL dieses Artikels: https://www.heise.de/-11133551
Links in diesem Artikel: [1] https://www.heise.de/tests/Tipp-Top-Tastaturen-17-Keyboards-fuer-den-Mac-im-Test-9989999.html [2] https://www.youtube.com/watch?v=tzB6m2VTxAg [3] https://www.printables.com/model/355924-clickable-touch-id-box-tkl-board-wired#instructions [4] https://support.apple.com/de-de/102442 [5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html [6] https://www.heise.de/mac-and-i [7] mailto:bsc@heise.de
FreshRSS 
